隨著5G服務開台,物聯網應用將更加普及,連網裝置部署數量增長後,勢必會在不同環節引發更多資安風險,DDoS攻擊即屬於其中一項。
從電信源頭來看,台灣大哥大企業產品暨營運管理處副處長魏政賢指出,去年(2019)就已發現殭屍電腦發動的攻擊流量呈現明顯增長趨勢,今年則更為嚴重,不僅攻擊次數更頻繁,且流量不斷在增長,台灣大哥大在年初時即決議調整架構因應,原本設計的DDoS緩解服務平台,經過骨幹擴容,目前最大處理能力已提升到200Gbps。在架構方面也予以優化,有別於以前採購DDoS緩解服務流量等級較高的客戶,只可提供設定為On-demand模式,客戶須確認遭受DDoS攻擊並且同意台灣大哥大切換,網路傳輸流量才會被導向設備執行清洗。隨著攻擊速度變快,原本台灣大哥大針對企業用戶設計的資安戰警服務,其中多層次DDoS緩解已轉換成為In-line架構,讓所有流量先經過清洗設備檢查,同時也進行優化調整,以加快處理速度。 魏政賢進一步說明,調整防護架構後,必須配套提升封包處理的速度,才可避免發生效能瓶頸。過去架構是部署兩台設備,負責事前與事後的過濾,如今則全數集中交由大型設備來處理Layer 3到Layer 7封包,速度不僅可因此加快,容量亦可提升。
專業人力持續監控與及時回應
骨幹擴容、架構優化,都是針對台灣大哥大既有的企業客戶,主要是因應DDoS攻擊次數頻繁,且流量不斷在增長,驅動緩解服務須隨之提升處理能力。緊接著要解決的是網內(On-net)型攻擊,也就是發動攻擊來源為台灣大哥大IP位址,例如日前DVR錄影主機被利用來發動DDoS攻擊,舊架構處理能力較弱,經過優化之後,此後殭屍電腦產生的攻擊流量不再區分島內或境外,全數皆可轉送到設備運行清洗。
台灣大哥大基於既有的線路服務增添安全防護,對於企業而言,在租用網路服務同時選用,無須自建部署與維運即可具備防護力。例如DDoS攻擊通常是瞬間產生,除非有設置7×24監控團隊,否則難以在第一時間及時處理,台灣大哥大既有的網路維運監控中心(NOC)團隊,正可在骨幹環境就先行過濾與清洗。
魏政賢說明,台灣大哥大維運團隊7×24持續監控,當客戶出現網路流量暴增,維運人力會進一步查看影響因素,若判斷為DDoS攻擊,則轉由專業資安人員承接,解析攻擊手法以便調整參數精準地回應進行緩解處理。「現代化攻擊手法相當多樣,由專業人力介入解析並調整參數,才可達到實質效益。防護工具不是導入部署就可了事,還必須搭配專業人力依據實際狀況調整回應策略。」
甚至調整的同時,還必須跟客戶協同合作,以網路銀行系統為例,非必要的應用服務通常可予以關閉,只是為了避免把用戶正常交易誤判為攻擊活動而加以阻擋,前端控管措施通常不會設定得過於嚴苛,如此一來,攻擊者可研究各種操作模式找到弱點進行滲透。資安維運團隊發現異常操作模式時,必須調整參數降低風險,問題是,正常交易也可能會受到影響,對此狀況,在維運人員執行調整之前,必須通知客戶並且討論因應作法,以免影響正常交易。
建立合法行為模型分析異常
至於明顯為惡意攻擊的行徑,資安維運人員可逕行調整設定參數,讓網路流量經過DDoS防護設備過濾篩選,以免影響正常流量存取行為。較棘手的是現代攻擊手法愈來愈狀似合法行為,相當難以識別,資安控管較為嚴謹的單位通常會選擇逕行過濾攔阻,當然其中難免會有少部分為誤判,但只能考量整體資安風險來取捨權衡。
另外有一種攻擊者控制殭屍電腦,利用合法操作行為發動的慢速攻擊(Slowloris),並非常見的洪水式阻斷,因此即便採用國際知名的機器人過濾技術,也無法避免誤判。魏政賢指出,坊間解決方案遇到這類狀況可能會搭配二次驗證機制,若未通過則自主判斷為SYN Flood予以阻斷,造成誤判。
「為了降低防護技術潛在的誤判問題,現代資安防護機制大多會採以機器學習方式,參考基準值調整合適的門檻值,避免讓臨界點的定義過於僵固。舉例,運用機器學習一週以後,掌握合理的存取流量區間,超過常態運行流量時,可進一步分析判斷究竟是正常或偽裝為合法的攻擊行為所致,並且通知客戶討論調整因應。」
線路源頭防堵癱瘓式攻擊流量
台灣大哥大自2016年引進Arbor Networks解決方案打造多層次DDoS防禦,至今仍持續沿用。魏政賢回想,當時偵測到的攻擊量峰值最高約為30Gbps,今年則已開始出現破百Gbps。所幸台灣大哥大骨幹已完成擴充到200Gbps,足以因應殭屍網路集結後發動的癱瘓式攻擊。
他強調,Arbor併入NETSCOUT旗下之後,仍然持續投資在全球重要的接取點(Point-of-Presence)部署設備,擴大DDoS清洗服務的能量。國際清洗中心要在台灣推廣,比較可行的做法,至少得在亞太區或台灣接取點部署DDoS緩解設備,才有實質上的效益。
台灣大哥大企業產品暨營運管理處副處長魏政賢觀察,近兩年來攻擊者主要是利用連網裝置的資安漏洞來執行攻擊,不僅成本更低,亦可集結更龐大流量,使得DDoS攻擊狀況變得較以往更普遍且嚴峻。
「Arbor專注於經營電信產業,並非基於CDN(內容遞送網路)平台搭配網頁應用程式防火牆(WAF)技術延伸發展的資安防護技術,Arbor藉由全球接取點部署規模,可協助電信業者從線路著手處理殭屍電腦流量,以免影響整個網段的用戶群。」魏政賢說。
此外,通常網銀客戶無法採用CDN技術來防護,首先是CDN會改變目的地位址,可能會有繞出境外的疑慮,其次是驗證必須交給CDN平台,受到高度監管的銀行業自然無法採用。因此目前本土金融業引進的DDoS流量清洗服務,多數是委由網路線路營運商協助。
至於遊戲、電子商務等未受到法規限制的產業,或許更傾向採用CDN業者提供的DDoS清洗服務,畢竟各產業特性不同,衍生出各式各樣應用方面需求,不同領域的供應商各自以擅長技術為基礎設計DDoS清洗服務,讓企業得以有多重的選項。他認為,實際上本土企業需要採用國際清洗中心的需求量並不多,如今有營運商介入,幾乎已可滿足市場需求。