現階段Prolexic已具有超過20 Tbps的專用DDoS防禦能力,以及7×24小時的全球安全操作指揮中心(SOCC)持續監看與回應。日前再推出Prolexic Network Cloud防火牆,讓企業IT可自行定義與管理存取控制清單(ACL)、防火牆規則,在地端既有的次世代防火牆前方建構多層次防禦,緩解網路層的DDoS攻擊。
Akamai大中華區資深技術顧問王明輝指出,目前企業用來緩解DDoS攻擊的作法,不外乎訂閱網路流量清洗服務或自建資安設備執行抵禦。深受法規規範的產業,例如金融、證券等,網路流量清洗服務大多為電信服務供應商所提供,抑或藉由CDN服務實作加速與攔阻惡意攻擊。
隨著金管會放寬上雲的策略,王明輝預期企業對於CDN的採用需求將逐漸增加。他說明,Akamai同時擁有Prolexic網路流量清洗,以及全球分散式佈建的CDN架構,可就近攔阻惡意程式封包,更有效率地緩解DDoS攻擊威脅。只是過去礙於法規因素,網路流量清洗中心或CDN架構不在境內則無法採用。隨著上雲策略的鬆綁,有機會讓更多企業利用Akamai的技術來緩解DDoS攻擊威脅。
金融業成DDoS攻擊首要目標
從國際DDoS攻擊態勢來看,物聯網應用普及之下,眾多聯網裝置成為惡意攻擊者的為害工具。犯罪組織大肆入侵聯網裝置,使其成為殭屍網路成員,再以遠端控制要求大量聯網裝置針對特定網站執行存取請求,排擠正常使用者的存取,甚至導致網站完全癱瘓。
王明輝觀察,儘管DDoS攻擊已存在數十年,但近兩年來攻擊的規模和強度不斷增長。攻擊目標包括政府網站、私人網路、教育機構,以及金融機構。根據Akamai統計,針對金融業所發動的DDoS攻擊,在過去一年中增長了22%。在歐洲地區尤其明顯,攻擊增加了73%,其中金融服務業佔比高達50%。
他以某東歐客戶的案例說明,2022年,Akamai Prolexic平台檢測並緩解了有史以來針對東歐地區發起的最大規模DDoS攻擊,在14小時內達到最高流量853.7Gbps以及659.6每秒百萬封包(Mpps)的峰值。這起DDoS攻擊鎖定該客戶擁有的大量IP地址,構成了Prolexic平台上有史以來最大型的多向量攻擊,包括UDP碎片(Fragmentation)、ICMP洪水(Flood)、SYN洪水、TCP異常等手法。
未料惡意攻擊者二個月後再次來襲,還刷新峰值紀錄達到704.8 Mpps。不同於先前只攻擊單一地點(東歐主資料中心),這次一舉轟炸該客戶位於歐洲到北美六個不同地點的八個子網段,且幾乎是瞬間就能發動多目標攻擊,每分鐘攻擊的目標IP數竟在60秒內就從100個擴大到1,813個。面對這種規模的同步打擊,通常資安團隊只能被告警事件淹沒,別說緩解攻擊了,連搞清楚當下狀況都有困難。
Akamai為了協助該東歐客戶緩解如此大規模的DDoS攻擊,旗下全球安全操作指揮中心(SOCC)與客戶內部資安團隊合作,針對攻擊手法調整主動防禦措施,才得以緩解惡意封包,讓正常存取行為恢復順暢。參考前述案例,王明輝建議,金融業雖因應法遵已制定DDoS攻擊緩解執行策略,後續仍須跟進當前攻擊手法的演進,適時調整以應對DDoS攻擊的多樣性、規模和強度的增長。
同時擁有CDN與流量清洗技術
面對不斷變化手法的DDoS攻擊,借助DDoS緩解服務供應商,才有機會讓惡意網路流量在幾秒之內被過濾,不至於影響系統正常運行。而DDoS緩解服務供應商為增進向量攻擊的辨識與處理能力,則須持續投資提升防禦。儘管Akamai Prolexic成立至今已超過20年,仍須不斷地因應攻擊手法轉變增進檢測機制,以順利破解攻擊的戰術、技術與程序(TTP)。例如日前推出的Prolexic Network Cloud防火牆,藉此開放讓企業IT或資安人員可自行定義控管政策。
王明輝說明,DDoS緩解服務常見導引網路流量到清洗中心的方式,可透過邊界閘道器協定(BGP)路由,或DNS設定導向(A Record或CNAME)至清洗中心,讓網路流量可持續地進行監控和檢查惡意活動,一旦發現DDoS攻擊的網路封包,隨即執行攔阻。即便對外的IP或應用服務正遭受DDoS攻擊,透過DDoS清洗中心運行過濾,仍可讓對內與對外網路維持暢通。
他進一步強調,針對緩解DDoS攻擊,運用Akamai Prolexic以及CDN是不同的機制。Prolexic網路流量清洗服務可保護資料中心所有的IP、連接埠、通訊協定等運行,也就是偏重於Layer 3/4的服務。CDN則基於全球部署邊緣伺服器處理Layer 7的HTTP、HTTPS協定網路流量,確保用戶存取網站的體驗,同時就近攔阻殭屍電腦發起存取該網站的流量。
隨著企業數位化應用模式愈來愈多元,DDoS攻擊活動可鎖定的標的更廣,例如針對特定API服務、SD-WAN(軟體定義網路)等近年來興起的技術,僅單純篩選過濾Layer 3/4、Layer 7未必能全數攔截惡意流量,須進一步解析封包內容輔助判斷。於是Akamai持續擴展提供Prolexic Network Cloud防火牆服務,讓IT或資安人員自定義存取控制清單(ACL)和防火牆規則,提供可更細緻地攔阻針對性攻擊活動的能力。
FWaaS自主設定加速回應攻擊
Akamai為Prolexic平台發展的Network Cloud防火牆,以防火牆即服務(FWaaS)方式提供,功能特性包含手動或自動定義防禦措施以阻止惡意流量;控管政策規則可移到邊緣執行以減輕地端防禦負擔;維運人員可藉由Akamai提供的單一入口網登入操作。當企業IT瞬間遭遇DDoS攻擊,可立即採取行動,增添規則阻斷特定存取連線,無須擔心因此影響內部防火牆的配置。
Prolexic的主動緩解控制功能,可通過零秒服務等級協定(SLA)立即阻止超過80%的攻擊,並且證明能夠在不犧牲用戶存取體驗的前提下阻止複雜度高、破紀錄規模的DDoS攻擊。如今Prolexic平台再添增Network Cloud防火牆機制,可為地端或雲端再增添一道屏障。
王明輝舉例,當企業內部關鍵應用系統揭露最新漏洞時,須先行確認修補更新程式可用性與相容性,因此通常須一段時間才得以正式安裝。為避免驗證期間遭零時差攻擊,可藉由Network Cloud防火牆在網路邊緣端增添的規則進行攔阻以降低風險。此外,在地端的次世代防火牆前方再增添一層防禦機制,先行檢查與過濾惡意流量,亦可減輕資安設備的工作負擔。