Netscout台灣區總經理金大剛指出,Arbor自2000年成立以來,DDoS攻擊緩解方案的核心優勢即為主動威脅層級分析系統(ATLAS)。ATLAS與全球超過500個網際網路服務供應商(ISP)合作,目的在於共同建構網路的感測器,為每秒超過400Tbps的流量增加可視性。ATLAS基於此優勢,平均每天可蒐集來自93個地區的DDoS攻擊封包,交由資安研究與回應團隊(ASERT)負責追蹤與解析。
ASERT團隊是由軟體工程、惡意程式反向工程、資料科學、軍事情報、網路威脅情報等不同領域背景的專家所組成。ASERT可接近即時地監測殭屍網路、惡意工具的活動狀態,以提供ATLAS Intelligence Feed為自適應混合DDoS防護解決方案提高DDoS攻擊來源、入侵指標等辨識能力,進而達到自動檢測、調整政策措施、阻斷威脅活動,避免影響應用服務正常運行。
TCP直接路徑繞過偵測癱瘓主機資源
根據Netscout日前發布的「DDoS威脅情報報告」統計,2022年追蹤了大約135萬個來自Mirai、Meris、Dvinis等殭屍網路的裝置,曾偵測到單日DDoS攻擊流量峰值可高達436 Petabits,封包數量超過75兆。數量之龐大,即便電信業者可過濾掉大部分惡意攻擊流量,企業應用服務仍無法避免遭受影響。
值得注意的是,TCP直接路徑(Direct-Path)攻擊增加了18%,而傳統的反射放大攻擊則出現了近乎相同比例的縮減,兩者之間的攻擊次數相差近200萬次。
另一個攻擊手法為地毯式轟炸(Carpet Bombing)DDoS攻擊,不再針對特定主機,而是對整個IP地址範圍進行發動,且流量通常不大,可迴避觸發DDoS檢測機制,達到癱瘓資源的目的。
Netscout調查報告統計,地毯式轟炸DDoS攻擊自2021年開始平均每日攻擊數量,從670次增加至2022年統計的1,134次。進一步追蹤攻擊目標產業,發現大部分都是網際網路服務提供商(ISP)。
由於ISP營業模式必須在維持成本、骨幹頻寬容量以及避免客戶服務中斷之間找到平衡,只能優先處理可能造成最大破壞程度的攻擊告警事件。一旦事件過多難以緩解,所有網路封包就會被直接丟棄。攻擊者若只針對特定企業網站,發動TCP直接路徑攻擊,即可繞過電信業者配置的偵測機制,達到癱瘓標的資源的目的。對此,唯有本地端自建DDoS緩解方案,聯合上游ISP或清洗中心進行緩解,才可有效地抵禦。
塑造現代化DDoS防護策略
面對當前DDoS攻擊手法變得更加多元,欲達到有效地緩解,金大剛認為,解決方案須增強硬實力與軟實力的特性。他進一步說明,硬實力是基於傳統抗DDoS技術,例如深度解析封包內容,運用特徵碼比對或行為模式辨識惡意行徑。由於近年來DDoS攻擊模式越來越趨近人類真實操作,使得辨識的難度變高。若貿然調高偵測敏感度,卻又容易導致誤判狀況過多。對此,Netscout在自適應混合DDoS防護解決方案設計增添「反芻(Adapted-DDoS)」技術,透過持續優化清洗邏輯以提高準確度。
金大剛舉例,當網路流量進入內網時,Arbor Edge Defense將對其進行特徵碼資料庫比對和行為模式解析,以阻擋攻擊意圖的網路封包。反芻機制則是用於再審核已放行的網路流量,以免出現遺漏或被繞過。一旦發現放行後的網路流量出現入侵指標,亦可提供建議處理的方式;但當發生誤判時,反芻機制將運用另一套邏輯進行二次判斷,以避免清洗機制無法識別低流量、緩慢的DDoS攻擊。
前述的硬實力須結合軟實力才足以完善防護策略。Netscout提供的軟實力來源於ASERT團隊對DDoS攻擊行為的研究情報,透過ATLAS系統追蹤全球駭客組織慣用的殭屍網路,只要發現在網路封包中的蹤跡,便能立即逕行攔阻。金大剛強調,這種軟實力的戰略至關重要,因為只要能判斷出是否來自殭屍網路,就可以立即攔阻,無須等待完整的封包解析與運算結果。
「我們擁有獨特的DDoS情報,並非市場上常見的以入侵指標進行偵測的方式。ATLAS利用電信業者掌握的400TB網路流量,相當於50%全球網路流量,給我們提供了難得的情報來源。」金大剛說。因此,有效的DDoS防護不僅需要硬實力的技術支撐,還需要軟實力的情報分析。兩者相輔相成,才足以在日益複雜的網路攻擊環境中保持主動因應威脅。
新版金融資安行動方案衍生商機
為了強化金融業的資安韌性,金融監督管理委員會(金管會)今年(2023)年初發布的「金融資安行動方案」2.0版,建議採DDoS攻防演練檢驗有效性。金大剛認為,從新版金融資安行動方案的內文可以看出,實測資安防護的有效性(包含DDoS防護),為此新版的重點項目之一。金管會要求金融機構要自行對DDoS防護的有效性進行實測,另外,也會定期舉辦DDoS實測攻防演練,驗證防護及應變能力,同時累積攻擊應變經驗。
金融法規要求勢必將帶動DDoS防護相關產品及服務市場需求。金大剛說明,主要來自DDoS防護有效性實測或攻防演練,將發現既有防護不足及缺口,產生改善需求。雖然現今金融機構多數已租用ISP提供的DDoS防護服務,但是大多防護服務均採用共通性防護規則,並未依據金融機構應用類型或流量門檻,進行客製化安全措施,在偵測啟動時效上及阻擋完整性方面必有不足之處。這種共通性的防禦規則,無法於有效阻擋攻擊及避免誤擋正常流量間取得最佳平衡。
因此,金大剛認為,DDoS實測攻防演練發現的資安缺口,將產生防禦規則客製化需求。這可能推動ISP業者增添導入DDoS防護設備,以滿足新增的客製化防護需求;或者促使金融機構自行採購DDoS防禦設備,才得以依據自家線上服務類型及流量門檻,來客製化防禦規則,獲得最有效的防禦效果。