善用巨量資料服務 建構DDoS防禦平台

如2012年美國West銀行為遭受DDoS攻擊時，因採取錯誤的防禦方式，最後導致網路銀行帳戶被竊取90萬美元。另外，2013年也有駭客組織以DDoS攻擊癱瘓美國46個城市的ATM，在服務終止的2個小時內，有900萬美元被趁機竊取。而2014年爆發大筆資料被竊取的JPMorgan，也因為資安防護設備遭到DDoS攻擊癱瘓，最終損失高達700萬筆機密資料。

▲風險高低取決於駭客發動攻擊的難易程度、攻擊複雜程度，以及財務價值與商譽高低等等。（資料來源：Nexusguard）

從流量進行分析 才能破解DDoS攻擊

讓金融機構倍感威脅的DDoS攻擊手法，從過去到現在並沒有太大改變，基本上仍然是在瞬間呼叫大量殭屍電腦攻擊目標發動連線，以達到癱瘓網站服務的目的。唯一差別在於，如今行動裝置日趨流行，受到惡意程式入侵的裝置愈來愈多，以致於攻擊連線與規模比過去高上數十倍，從而讓金融機構陷入不知道從何著手建置防禦網的窘境。

首先，現今DDoS攻擊流量動輒高達數十GB以上，遠遠超過傳統DDoS設備所能夠承受的範圍，其次，網路銀行服務對象遍及全球各地，也不可能利用白名單機制來杜絕DDoS攻擊連線，只能選擇讓網路銀行服務被癱瘓。

面對此種狀況，Nexusguard認為金融機構應該從收集網路流量著手，包含流量日誌、網路應用程式防火牆提供的日誌、Web代理伺服器日誌、收集偽裝的IP地址等等，再搭配諸如Nexusguard提供的巨量資料分析服務，便能從中找出潛藏的惡意連線，讓金融機構免於DDoS攻擊的威脅。

流量日誌會記錄完整封包，包含網路來源IP位址，以及取得哪些網路資料等等，有利於找出DDoS攻擊來源。此外，網路應用程式防火牆提供的日誌也很重要，因為該設備能夠對封包進行深度檢查與過濾，將封包還原出最原始的狀況。 而在Web代理伺服器日誌中，除會詳細記錄訪客活動狀況外，設備本身亦有解讀封包能力，只要善加分析亦能從中挖掘出值得參考的訊息。至於收集偽裝的IP地址，同樣有利於追溯攻擊來源，進而找駭客組織使用的其他偽裝IP位址，對舒緩DDoS攻擊亦會有極大幫助。

駭客組織發動DDoS攻擊的時間並不長，每次持續時間多半不超過1個小時，或許當下所收集與分析所得的資料，不一定能夠用於解決當下攻擊行為。所以企業應尋找有能力分析網路流量的業者，再搭配DDoS業者提供的流量清洗服務，便能讓企業免於下次相同攻擊手法威脅，對保護金融機構的網路銀行安全會帶來極大幫助。

SSL加密流量成駭客溫床 金融機構應正視

金融機構為保護網路銀行交易過程中的安全，都已大量採用SSL加密機制，避免連線過程中被駭客側錄、竊取，而蒙受龐大的經濟損失。然而這種原本用於保護網路交易過程安全的作法，現今反而成為駭客躲避資安設備檢查的工具，因為許多資安設備都會將SSL攻擊視為是正常連線，而略過不檢查，導致金融產業頻頻陷入DDoS攻擊威脅，卻又無法藉由傳統資安設備防禦的困境。

一般而言，企業要讀取SSL加密通道中的封包資料，最常用作法會在閘道端點上安裝SSL解碼器，但是這種作法在面臨大流量DDoS攻擊時，反而會成為網路傳輸上的瓶頸，嚴重影響到網路銀行的正常運作。另一種作法，則是會在高效能的雲端平台上，為封包進行SSL加解密，雖然能夠解決前述大流量封包連線的問題，但因網站很容易被駭客攻破，以致於SSL密碼流失，反而讓金融機構陷入更大的營運危機之中。

為協助銀行業者解決隱藏在SSL機制中的DDoS攻擊，Nexusguard透過SSL憑證管理中心，進而推出專為銀行業設計的SSL雲端應用服務，不僅能夠應付大量連線需求，也可在DDoS攻擊事件來臨時，確保網路銀行服務能維持一定的穩定性。

網路風險日增 企業應做好交叉評估

不可否認，要添購一套能夠防禦DDoS攻擊的設備，勢必會佔用原本擬訂好的資安預算，加上引進不同防護等級的費用差距甚大，也往往會造成資安人員上的困擾。因此，Nexusguard建議企業在添購解決方案之前，應該要做好風險評估，檢視現行的風險管理機制，作為後續添購DDoS設備與服務的參考。

金融機構面臨的風險高低，基本上取決於駭客發動攻擊的難易程度、攻擊複雜程度，以及財務價值與商譽高低等等，資安人員不妨從上述幾點進行交叉評估，作為引進DDoS設備與服務的依據，讓有限的IT預算發揮最大 效益。

（本文作者現任Nexusguard產品總監）