身為二類電信,同時也提供IDC服務的是方電訊,除了具備中立開放的台北網際網路交換中心(TPIX)角色,同時也是國際流量清洗中心主機部署的接取點(Point-of-Presence),擁有ISO 27001/27011/27017/27018四種資安認證的IDC機房,亦提供是方雲端交換平台(Chief Cloud eXchange,CCX),讓全球主流的公有雲服務平台得以運用VPN接取服務,提供高可靠度、高遞送率的網路連線品質。
是方電訊產品發展部資深經理蔡銘鴻說明,是方電訊已攜手Imperva、Cloudflare、Akamai共同合作,為企業用戶提供DDoS流量清洗服務。透過蓋亞資訊的專業顧問團隊提供技術支援,幫助企業用戶得以依據業務範圍評估合適的流量清洗模式,可選用Always-on即時監控與回應,網路傳輸影響時間是以秒為單位;On-demand模式則是從通報遭受攻擊到執行緩解,大約需花費30分鐘左右時間。
他進一步指出,回顧台灣近十年來的大型DDoS攻擊事件,不外乎是攻擊者藉此勒索取財或競業相爭,受影響的客戶群較為明確。反觀中小企業,如今營運業務已高度仰賴網路,萬一中斷會直接造成損失,更加不可小覷現代化DDoS攻擊威脅。
裝置老舊或管理疏失遭惡意人士控制
DDoS攻擊來源主要是源自於殭屍電腦所致,隨著企業普遍對於辦公室環境的端點安全防護能力提升,攻擊滲透門檻較以往更高,反而是網路攝影機、監控主機等直接暴露在網際網路上卻不具備安全機制的老舊裝置,簡單的駭客工具即可滲透控制。更有甚者,許多連網裝置的登入方式仍維持出廠帳密從未變更,國際駭客組織根本不需要高深的技術,即可組織成較以往更龐大的殭屍網路,除了用來發動勒索獲取利益,同時還有餘力在暗網中兜售DDoS代客攻擊服務,正是DDoS攻擊不減反增的主要因素。
從國際研究數據或是國內新聞報導遭受DDoS攻擊的事件來看,頻率與規模確實已明顯倍增,蔡銘鴻認為,除了前述的連網裝置問題,各行業業務型態轉型以數位化為目標,也讓惡意人士有更多可趁之機。尤其是B2C類型的業務,例如證券商、電子商務、遊戲業者等,商業模式與業務推展都必須透過網路來遞送,即使短時間的服務中斷都會造成商譽與營收上的損失。其次是相較於傳統耗時費力的滲透入侵活動,DDoS攻擊具有成本低廉、效果顯著且難以追蹤來源的特性。
相關的防禦機制,近幾年主要是採用緩解清洗服務,蔡銘鴻觀察,實際上若非清洗中心協助,殭屍電腦攻擊活動也無法被遏制,尤其是DDoS攻擊規模逐年擴大,如今已呈現已100Gbps為單位起跳,不僅遠遠超過目前企業對外頻寬,更足以癱瘓多數IDC機房骨幹,單一企業根本無力自行處理。問題是,即使是方電訊或電信營運商,都不會留存大量閒置頻寬等著因應大規模殭屍網路流量湧入,必須得靠全球防禦,由DDoS緩解服務廠商共同清洗過濾,例如Imperva、Akamai、Cloudflare等,在全球不同地區部署的DDoS防禦設備先行處理才得以有效緩解。
清洗中心全球部署瓦解癱瘓式攻擊
隨著物聯網、智慧化等數位應用場域興起,企業已無法迴避DDoS攻擊威脅,除了營運環境須建立縱深防禦,事先擬定DDoS應變計畫亦不可或缺,以便在事發當下得以有效降低營運損失。蔡銘鴻強調,特別是如同是方電訊提供主機代管業務,一旦遭遇DDoS攻擊,恐會影響到許多客戶應用服務的正常運行,更須謹慎因應。
他進一步說明,是方電訊提供的DDoS緩解服務,若企業用戶未採用,在合約中已明定,一旦遭遇攻擊時,處理流程會採用黑洞(Blackhole)方式封鎖被攻擊的標的。例如電子商務業者遭遇到DDoS攻擊,攻擊者其實是鎖定某個網段IP位址,發動大流量癱瘓式攻擊,若企業用戶完全沒有採用過濾與清洗服務,只好先把受駭的用戶IP位址封鎖,讓封包經過路由繞進ISP時找不到目的位址而自動丟棄,以免影響周邊「鄰居」。當然,是方電訊維運團隊會提出攻擊活動的證據,假設企業用戶租用的是30Mbps,瞬間流量卻湧入30Gbps,比對過去統計的平均值,該流量屬於異常,則直接觸發政策執行封鎖回應,或是由資安監控中心(SOC)團隊介入處置。
至於選用DDoS緩解服務的處理程序,蔡銘鴻以Imperva Incapsula為例說明,當偵測到異常狀況時,企業用戶所有網路流量會先經過Incapsula全球節點清洗,經過辨識之後,再把正常流量導回到用戶端。由於Incapsula已經在全球至少47個地區部署清洗架構,可就近過濾來自各地殭屍電腦發起的攻擊封包,以避免流量集結過於龐大,影響傳輸頻寬或導致癱瘓。
在地化優勢兼顧合規與安全性
儘管DDoS攻擊只是外部威脅的一環,為避免導致營運損失,企業仍須及早制定處理方針,才得以有效控制損害。蔡銘鴻表示,營運業務高度仰賴網路來提供的企業,以金融業來看,業務範圍主要在台灣,在數位化轉型過程中開始把應用系統部署在雲端平台,多數會增添流量清洗服務,可在不改變原有架構下執行緩解攻擊,而且是惡意流量尚未進入到本島時就已被過濾攔阻。
另一種方式是應用系統維持自建部署,運用CDN服務加速遞送,由於CDN服務供應商部署規模吸納量較大,殭屍網路發起的惡意流量無法直接影響到應用服務,只是CDN業者是以流量計費,可能費用因此暴增,儘管未能達到癱瘓或勒索目的,卻也導致企業得支付更多費用。
是方電訊產品發展部資深經理蔡銘鴻說明,為了避免遭遇DDoS攻擊影響眾多企業用戶,是方電訊已制定嚴謹的管理規範與事件處理標準作業程序,並且定期實施演練,在關鍵時刻可藉此達到緩解效果。
也有企業是把應用系統遷移部署到是方電訊提供的IaaS環境,不僅便於搭配CDN服務,同時可借助雲端資料中心的IT規模,對外頻寬總量更大,再搭配國際清洗中心,更有助於共同抵禦DDoS攻擊威脅。
蔡銘鴻強調,相較於公有雲服務供應商,是方電訊更具優勢之處即為在地化,讓企業得以在符合法規限制之下,把應用系統部署到雲端資料中心,藉由台北網際網路交換中心的優勢,匯聚了國內外各家網際網路服務業者、海纜業者與固網業者,建立多方互連與雙方互連基礎。並且搭配合作夥伴蓋亞資訊專業DDoS防禦服務代理商,擁有豐富的實戰經驗,有能力針對各種攻擊手法提供多元的DDoS防禦措施建議。