自從2016年殭屍病毒Mirai成功地利用網路攝影機、數位監視錄影機(DVR)、路由器等物聯網裝置,創下最高峰值達Tbps等級的DDoS攻擊規模紀錄,先後癱瘓法國網站代管商OVH、美國網路效能管理公司Dyn旗下DNS服務,開始讓人們體認到物聯網裝置所集結的殭屍網路攻擊威力。
如今DDoS攻擊不再僅為競業之間的鬥爭,已經是國際駭客組織用來勒索獲利的慣用手法,進入到5G時代勢必更加嚴峻,面對這種尚無法被有效控制的外部資安威脅,企業在發展數位化應用模式的同時,必須備妥標準處理程序,讓營運風險等級降到最低。
吸取國際經驗研擬物聯網安全規範
提及今年(2020)DVR主機被滲透成為殭屍電腦發動的DDoS攻擊事件,遠傳電信資深協理盧祖耀認為,正可凸顯出物聯網應用興起後對安全性的影響,一旦連網裝置製造商不慎出現漏洞,恐成為惡意人士可用來發動攻擊的工具。對於設備製造商而言,為了更快速地上市搶商機,所付出的代價就是產品本身安全性不足。在尚未爆發資安事件之前,多數製造商只會考慮產品是否符合市場興趣,未能顧及資安風險性。既然物聯網應用引發更頻繁、流量更龐大的DDoS攻擊威脅,不斷地增設防護機制實際上只能治標不治本,最源頭的產品製造才是關鍵。
台灣大哥大企業產品暨營運管理處副處長魏政賢觀察,本土產業寄望於物聯網創新應用提升產業競爭力,同時也擔心連網裝置潛在資安漏洞,恐輕易地被惡意人士操控利用,因此正積極地協同國際間的力量共同制定出相關安全規範。他指出,日前華邦電子與非營利機構GlobalPlatform共同合作舉辦IoT安全和認證計畫研討會(IoT Security and Certification Schemes Workshop),並攜手ARM與工研院合作執行,讓台灣產業得以了解GlobalPlatform推動的國際安全標準元素(Secure Element)、可信任執行環境(Trusted Execution Environment)發展動態,以及全球各地區對於網路安全標準與政策的相關資訊,GlobalPlatform亦分享資安風險評估和認證計畫的內容,藉由物聯網安全架構協助製造商提升國際競爭力。
IoT安全和認證計畫研討會可說是新冠肺炎期間罕見的國際盛事,與會者亦包含國家通訊傳播委員會(NCC)、硬體製造商、營運商等相關產業,畢竟台灣是全球半導體製造的重鎮,擁有完整電子產業供應鏈,已經為國際物聯網資安生態系奠定基礎,政府正可藉此優勢建構完整的物聯網安全產業鏈。
魏政賢進一步指出,物聯網引發的資安問題,主因在於連網裝置品質良莠不齊,勢必得由政府主導制定規範,才有辦法建立端到端的安全性。也就是說必須得從最上游的晶片,到製造成為連網裝置、應用層與網路層,從端到端地建構資安防護機制,以緩解眼前棘手攻擊威脅。更重要的是,確保台灣製造的資通訊產品得以符合國際法規嚴謹的規範,順利地輸出到全球各地。
流量清洗避免大規模PPS耗盡防護資源
從實際的數據來看,中華資安國際副總經理游峯鵬引述資安維運中心(SOC)發布上半年的DDoS攻擊統計,國內平均每天發生約420次攻擊,6月份則是每天攻擊次數高達749次;其中最大攻擊量是今年1月,高達487Gbps,主要是運用手法為UDP Flooding。至於攻擊對象偏重金融保險業(44.2%)、資訊通信(32.6%),其次為製造業、電信業、醫療衛生等。他認為,DDoS攻擊手法已演進到混合式的反射放大攻擊,物聯網裝置易於入侵且不易被發現,成DDoS攻擊來源主力,企業對外的營運服務系統及網站皆須具備DDoS防護能力。
5G世代低延遲、高頻寬、大容量,讓以往探討的萬物聯網應用場景得以實現,接下來無法迴避的即是安全漏洞引發種種事件。「以日前爆發的DVR攻擊量來看,我們在今年初就已追蹤到可取國際(iCatch)DVR遭駭,在HiNet線路中持續發動攻擊。」游峯鵬說。 日前新聞刊登的是多家主機代管業者遭勒索事件,實際上已有更多企業遭受DDoS攻擊勒索,只是並未見報,再加上攻擊活動背後目的究竟是犯罪勒索或同業競爭,亦難以確認。但不論何種意圖發動DDoS攻擊活動,可以肯定的是,今年所見規模較以往更大,影響也更加劇烈。
面對DDoS攻擊威脅,中華資安設計的緩解機制共有四道,包含境外阻絕、邊境管制、骨幹管制、緩解清洗。以前由辦公室桌機組成的殭屍網路可能一百台,如今可集結的連網裝置動輒上千台,所發動的DDoS攻擊規模自然不可同日而語。
實際上,目前企業用戶對外頻寬,下行傳輸量的主流是300Mbps,極少數企業租用到1Gbps,相較DDoS攻擊規模簡直易如反掌,所幸營運商對於頻寬塞爆式的攻擊本就有應對方式,可從骨幹控制受駭IP位址的頻寬或是切換到黑洞(Blackhole)。較難處理的是每秒封包數(PPS)過多,若連網裝置成為殭屍電腦,不斷地發送小封包,恐使得局端的緩解清洗區域防護設備因為執行密集刪選過濾而耗盡資源,導致網路中斷,此時即得仰仗流量清洗中心協助處理。
引進全球知名緩解技術在地化服務
因應DDoS攻擊威脅,本土營運商已攜手國際知名緩解技術供應商,例如台灣大哥大是採用NETSCOUT旗下的Arbor Networks、遠傳電信採用Imperva-Incapsula等,以確保自家客戶安全服務等級。其中較特殊的是二類電信業者是方電訊,是方電訊產品發展部資深經理蔡銘鴻指出,由於同時兼具台北網際網路交換中心(TPIX)、島內網際網路閘道口的角色,讓是方電訊得以彙集國際知名Imperva、Cloudflare、Akamai提供之流量清洗服務,由蓋亞資訊專業顧問團隊在地化協助。
「現階段國際市場上主流的抗DDoS方案即為清洗中心服務。已有多家Gartner、Forrester等市調機構評選的最佳DDoS技術供應商,將設備部署在是方電訊IDC機房,讓客戶得以同時訂閱或換選不同DDoS緩解服務。相較於本土營運商,全球清洗中心可承載頻寬已達Tb等級,更有助於阻擋源自任何地區發起的DDoS攻擊。」蔡銘鴻說。
至於企業最關注的技術支援服務,是方電訊則是協同合作夥伴蓋亞資訊來提供,已成功協助國內企業客戶抵擋數十萬起的DDoS攻擊事件,累積豐富經驗。針對不同的攻擊手法,亦能提供多元的DDoS防禦措施建議,基於7×24小時的中英雙語線上維運服務,確保服務品質。