日前法國的網站代管服務供應商OVH,才遭受高達1Tbps流量的DDoS(分散式阻斷服務)攻擊,不久後,美國網路效能管理公司Dyn旗下的DNS服務系統,亦遭受大約1.2Tbps的DDoS攻擊量,再次刷新記錄。兩起攻擊手法皆是利用Mirai病毒感染全球網路監視器等連網裝置來發動,在物聯網應用持續發展下,DDoS攻擊次數與數量勢必持續增長,如何具備因應對策與緩解能力,亦將成為所有仰賴網路提供業務服務的企業,必須正視的挑戰。
Imperva大中華區技術總監周達偉認為,現代被DDoS攻擊的頻繁程度更甚以往,主要問題即在於已成形的「商業模式」,有心人士只要在網站上填寫訂購單,即可有專業駭客針對特定對象發動DDoS攻擊,便利性相當高,才導致近年來的DDoS攻擊頻率不減反增,甚至規模量不斷地創新記錄。
網站須正視服務中斷、資料竊取威脅
Akamai日本暨亞太地區安全部門技術長Michael Smith觀察,其實現階段多數資料中心的線路頻寬,只要遭遇平均每秒10Gb的頻寬攻擊量,就已經足夠讓網站癱瘓。他認為,由於DDoS攻擊規模取決於殭屍網路節點數量與頻寬,若各區域的ISP業者能掌握更深入的攻擊模式、來源位置等情資,從局端直接攔阻非法流量,即可有效緩解。
發動大規模癱瘓式DDoS攻擊的動機,通常不只為了炫耀技術,更多是報復、表達觀點,甚至是逐年增多的恐嚇取財,才是攻擊者的真正目的。另一種以獲取利益為目的的攻擊模式,則是規模小、頻率高的網頁應用程式攻擊。
Michael Smith也引述Akamai發布的2016年第二季全球網際網路現況調查報告中指出,針對網路應用程式攻擊手法的統計數據,首要為本機文件入侵(Local File Inclusion,LFI)佔比最高,為44.70%;其次是SQL injection,為44.11%。由此不難發現,大多的網路應用程式攻擊手法,目的並非為了破壞網站正常運行,而是透過網路應用方式執行竊取資料。但由於攻擊頻率通常較高,執行防堵或緩解時,需要耗用相當多的運算資源,則可採用應用程式防火牆(WAF)來協助。
 |
| ▲Akamai發佈2016年第二季網際網路現狀報告中統計,在所觀察到的網路攻擊中,本機文件入侵(Local File Inclusion,LFI)佔比最高,為44.70%;其次是SQL injection,為44.11%。 |
WAF偵測Bot行為 以免影響正常存取
從Imperva於2014年收購取得的CDN業者Incapsula,基於全球佈建的設備統計網路流量發現,由搜尋引擎、殭屍電腦、爬蟲等機器人產生的流量佔比高達61.5%。即便非全數為惡意攻擊,可能僅為了爬取網路上的資料,以便進行分析與探勘,但是對企業而言仍舊必須控管,才不致影響實際顧客的正常存取回應速度。
欲控管機器人流量,首要具備的即為輔助辨識的資訊。周達偉說明,Imperva在台灣已累積許多客戶的WAF平台,情資來源主要是由旗下獨立組織應用防禦中心(ADC),由專職白帽駭客組成的團隊執行研究,再將情資發佈到企業用戶平台,且立即可生效,毋須重新啟動設備;其次是運用Imperva內建的多層次過濾引擎,除了比對已知的內容,同時搭配存取行為邏輯偵測來判定,例如若在幾秒鐘之內執行不同URL的下載,即可能是機器人程式。
過去防護機制常見基於ACL、黑白名單執行允許或丟棄,如今已不敷使用,必須辨識存取行為模式屬於善意或惡意,並且降低誤判與漏判的狀況發生。周達偉指出,「確保不致誤判或漏判,可說是Imperva核心關鍵技術,這也是連續三年被Gartner評選為WAF市場唯一領導象限廠商的原因之一。」
Imperva內建的多層次安全過濾引擎,亦具備動態建模(Dynamic Profiling)能力,可從即時流量中自動學習,以便記錄正常使用的存取模式,進而建立臨界值,若發現異常,可自動觸發告警或強制執行的控管政策。採用Profiling-based的優勢在於可動態、自動化執行,一旦網頁應用程式變更程式碼或模組功能,亦可隨之更新。
為雲端應用趨勢備妥應有保護機制
隨著企業應用環境轉變至虛擬化架構的雲端平台,資安也必須跟上腳步,滿足應用需求。Imperva認為現代化企業的應用服務環境,必須具備:檔案、資料庫、雲端應用、網頁與App的安全性,以及DDoS防護能力。因此以擅長的WAF技術為基礎,於2014年透過併購取得CDN業者Incapsula與雲端存取安全代理(Cloud Access Security Broker,CASB)業者Skyfence,擴展雲端安全防護能力。
周達偉進一步說明,以往企業面對DDoS攻擊後,大多採購自建設備來防禦,但硬體承載量始終無法趕得上規模日漸龐大的攻擊,再加上除了Layer 3的塞爆頻寬,更多是針對Layer 4到Layer 7的攻擊手法,或是直接癱瘓企業DNS伺服器,讓終端用戶無法解析IP位址,造成服務中斷問題。
在攻擊者可運用的手法不斷翻新之下,網站服務的保護措施亦須有所因應。因此,Imperva Incapsula提供的DDoS防護,完全涵蓋網路層的頻寬塞爆、應用層的資源耗盡、DNS服務。其中包含Imperva多年來專注於應用程式安全防護領域所累積的知識,依據最新攻擊威脅手法,調整資安政策控管機制來予以有效反制。至於頻寬塞爆,Incapsula得以消化攻擊流量,憑藉的即是全球佈建的流量清洗中心,運用全球伺服器負載平衡(GSLB)技術執行導向,總承載量可達到幾百Tbps等級,以分散式架構來實作協助緩解。
至於近年來國際市場興起的CASB市場,則屬於不一樣的領域。「我在整個大中華區接觸經銷體系、客戶的經驗來看,CASB銷售模式跟既有的銷售模式系統完全不同。因為主要目標用戶的部門,大多為第一線部門(Line of Business),或是應用開發團隊,並非為傳統基礎架構維運、資安人員。既有的經銷商大多專注於網路應用安全,雖然推展資料庫防火牆時,也會接觸到研發、風險控管、稽核團隊,但是CASB跟WAF、資料庫防火牆的銷售模式,實際上仍有很大差異。」周達偉說。
儘管現況如此,CASB勢必是未來雲端服務控管方面不可或缺的要角。企業應用程式系統,從傳統自建於資料中心演進到架構在公有雲平台之上,進而採用SaaS,已經是大勢所趨,猶如過去從自家資料中心,跨出到主機委外代管的過程,皆會關注安全性問題。畢竟雲端運算模式更有能力應對變化快速的市場需求,例如企業採用AWS、Azure、Google雲端平台等,皆是著眼於毋須冗長的自建流程,即可擁有彈性、靈活的應用環境。既然邁向雲端時代,安全機制勢必也得跟上,針對新興的雲端應用模式建立相關保護措施。