將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2015/7/31

引進風險評估機制 做好網路安全管理

善用巨量資料服務 建構DDoS防禦平台

張運達
繼美國金融機構在2012年受到駭客組織發動的DDoS攻擊後,2015年5月又爆發香港的中銀與東亞銀行受到DDoS攻擊勒索事件,相較於過去常見癱瘓網路服務的作法,這次駭客則直接提出勒索贖金的要求,完全突顯出DDoS攻擊是為獲取龐大的商業利益。此外,從兩家香港銀行遭受攻擊的事件,已改以勒索虛擬貨幣的方式,讓犯罪更加難以被追蹤,也能避免到手獲利被追回。
在DDoS攻擊威脅的背後,其實隱藏兩個容易被企業忽略的重大含意。首先,當網路線上服務變慢之後,勢必會影響到網路銀行用戶,造成客戶抱怨,讓企業辛苦建立的商譽受損。其次,駭客會以聲東擊西的手法,誤導資安人員的防禦方向,再趁隙入侵銀行系統竊取龐大金額。

如2012年美國West銀行為遭受DDoS攻擊時,因採取錯誤的防禦方式,最後導致網路銀行帳戶被竊取90萬美元。另外,2013年也有駭客組織以DDoS攻擊癱瘓美國46個城市的ATM,在服務終止的2個小時內,有900萬美元被趁機竊取。而2014年爆發大筆資料被竊取的JPMorgan,也因為資安防護設備遭到DDoS攻擊癱瘓,最終損失高達700萬筆機密資料。


▲風險高低取決於駭客發動攻擊的難易程度、攻擊複雜程度,以及財務價值與商譽高低等等。(資料來源:Nexusguard)


從流量進行分析 才能破解DDoS攻擊

讓金融機構倍感威脅的DDoS攻擊手法,從過去到現在並沒有太大改變,基本上仍然是在瞬間呼叫大量殭屍電腦攻擊目標發動連線,以達到癱瘓網站服務的目的。唯一差別在於,如今行動裝置日趨流行,受到惡意程式入侵的裝置愈來愈多,以致於攻擊連線與規模比過去高上數十倍,從而讓金融機構陷入不知道從何著手建置防禦網的窘境。

首先,現今DDoS攻擊流量動輒高達數十GB以上,遠遠超過傳統DDoS設備所能夠承受的範圍,其次,網路銀行服務對象遍及全球各地,也不可能利用白名單機制來杜絕DDoS攻擊連線,只能選擇讓網路銀行服務被癱瘓。

面對此種狀況,Nexusguard認為金融機構應該從收集網路流量著手,包含流量日誌、網路應用程式防火牆提供的日誌、Web代理伺服器日誌、收集偽裝的IP地址等等,再搭配諸如Nexusguard提供的巨量資料分析服務,便能從中找出潛藏的惡意連線,讓金融機構免於DDoS攻擊的威脅。

流量日誌會記錄完整封包,包含網路來源IP位址,以及取得哪些網路資料等等,有利於找出DDoS攻擊來源。此外,網路應用程式防火牆提供的日誌也很重要,因為該設備能夠對封包進行深度檢查與過濾,將封包還原出最原始的狀況。 而在Web代理伺服器日誌中,除會詳細記錄訪客活動狀況外,設備本身亦有解讀封包能力,只要善加分析亦能從中挖掘出值得參考的訊息。至於收集偽裝的IP地址,同樣有利於追溯攻擊來源,進而找駭客組織使用的其他偽裝IP位址,對舒緩DDoS攻擊亦會有極大幫助。

駭客組織發動DDoS攻擊的時間並不長,每次持續時間多半不超過1個小時,或許當下所收集與分析所得的資料,不一定能夠用於解決當下攻擊行為。所以企業應尋找有能力分析網路流量的業者,再搭配DDoS業者提供的流量清洗服務,便能讓企業免於下次相同攻擊手法威脅,對保護金融機構的網路銀行安全會帶來極大幫助。

SSL加密流量成駭客溫床 金融機構應正視

金融機構為保護網路銀行交易過程中的安全,都已大量採用SSL加密機制,避免連線過程中被駭客側錄、竊取,而蒙受龐大的經濟損失。然而這種原本用於保護網路交易過程安全的作法,現今反而成為駭客躲避資安設備檢查的工具,因為許多資安設備都會將SSL攻擊視為是正常連線,而略過不檢查,導致金融產業頻頻陷入DDoS攻擊威脅,卻又無法藉由傳統資安設備防禦的困境。




一般而言,企業要讀取SSL加密通道中的封包資料,最常用作法會在閘道端點上安裝SSL解碼器,但是這種作法在面臨大流量DDoS攻擊時,反而會成為網路傳輸上的瓶頸,嚴重影響到網路銀行的正常運作。另一種作法,則是會在高效能的雲端平台上,為封包進行SSL加解密,雖然能夠解決前述大流量封包連線的問題,但因網站很容易被駭客攻破,以致於SSL密碼流失,反而讓金融機構陷入更大的營運危機之中。

為協助銀行業者解決隱藏在SSL機制中的DDoS攻擊,Nexusguard透過SSL憑證管理中心,進而推出專為銀行業設計的SSL雲端應用服務,不僅能夠應付大量連線需求,也可在DDoS攻擊事件來臨時,確保網路銀行服務能維持一定的穩定性。

網路風險日增 企業應做好交叉評估

不可否認,要添購一套能夠防禦DDoS攻擊的設備,勢必會佔用原本擬訂好的資安預算,加上引進不同防護等級的費用差距甚大,也往往會造成資安人員上的困擾。因此,Nexusguard建議企業在添購解決方案之前,應該要做好風險評估,檢視現行的風險管理機制,作為後續添購DDoS設備與服務的參考。

金融機構面臨的風險高低,基本上取決於駭客發動攻擊的難易程度、攻擊複雜程度,以及財務價值與商譽高低等等,資安人員不妨從上述幾點進行交叉評估,作為引進DDoS設備與服務的依據,讓有限的IT預算發揮最大 效益。

(本文作者現任Nexusguard產品總監)

這篇文章讓你覺得滿意不滿意
送出
相關文章
資安攻防應具新思維
關鍵基礎設施成為下個資安攻防重點
Check Point 年度資安盛會 CPX360
嵌入防毒與深度學習 網路攝影機兼具安全智慧
Frost & Sullivan 評 NETSCOUT 為亞太區最佳 DDoS 防禦機制
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章