資訊系統發展至今,安全與效率始終是天秤的兩端,必須取得平衡,兼顧用戶體驗與安全性,新興應用服務才得以順利地發展。
針對DDoS攻擊,Imperva強調採取混合式架構,以企業內部自建SecureSphere方案為基礎,搭配佈建在全球40多個網路介接節點(POP)、收容流量達5Tbps的Incapsula雲端清洗服務。台灣更有部署於台北內湖的機房來提供DDoS緩解服務,以接近服務對象來加快遞送速度。
根據Imperva安全實驗室針對2017年第四季的研究調查數據,DDoS攻擊對於當前企業造成了相當強烈的困擾與威脅。
Imperva大中華區技術總監周達偉指出,特別是在亞太區,因為混合模式DDoS攻擊的資安事件迅速增多已達到68.9%的比例,許多企業都正在尋求DDoS攻擊防護的解決方案,包括應用層、網路層、DNS系統等安全防護。在該調查報告中,亞太區資安威脅數量暴增幅度超越全球,台灣也有上榜,相較於其他國家而言人口不多、腹地不大的台灣,成為攻擊源頭或目標的次數卻都名列前茅,可說是攻擊活動相當頻繁的區域,在台北內湖機房建置Incapsula雲端清洗服務正可協助解決。
以應用安全為核心落實雲端發展策略
為了因應企業IT應用朝向雲端平台發展,Imperva長期以來發展的應用安全防護設備,亦須隨之轉變,透過自主研發與併購方式持續不斷地演進,例如目前提供的Incapsula雲端清洗服務即是數年前併購取得的技術,不久前才剛發布最新併購的Prevoty,則為落實DevOps應用安全的重要策略。
|
▲ Imperva資安團隊運用逆向工程追蹤到殭屍電腦的控制與命令指標。 |
周達偉說明,「Prevoty可說是執行時應用自我保護(Runtime Application Self-Protection,RASP)市場中的領導者,著眼於日漸盛行的微服務、容器技術架構增添安全性機制。由此可看出Imperva策略核心,不論自主研發或併購,皆是以應用服務的安全性為主要方向。」
如今地端自建的SecureSphere安全方案已整合Incapsula的核心優勢,進而擴展雲端大數據分析平台,成為混合雲應用安全架構解決方案,不再僅是單一方向的防護。大數據分析平台包含既有的CounterBreach,以及近來發布的AA(Attack Analytics)服務,兩者皆為借重Incapsula雲端平台為基礎所發展的人工智慧應用,同時也納入Incapsula的專利技術,例如機器人程式攻擊防禦如今已整合運行。
「資安領域運用機器學習技術,如今已成主流,但是蒐集與學習這麼多的資料,必須有效地應用與協助人力維運工作才是關鍵。過去懂網路底層或撰寫網頁程式的技術人員較多,但是懂得網頁應用安全的人才,可能就相對難找。若企業應用還需要發展大數據分析使用者行為,可藉由我們提供的人工智慧應用方案,輔助與簡化現有IT人員維運複雜度,以及因應現代化攻擊威脅。」
對抗混合式DDoS攻擊實戰
|
▲ Imperva大中華區技術總監周達偉觀察,發展中的物聯網應用系統遭受混合式DDoS攻擊手法將更明顯,不僅可利用網路層與應用層的HTTP/HTTPS,亦可能利用WebSocket等傳輸協定來發動。 |
前述提及Imperva安全實驗室的調查報告,台灣亦屬於DDoS攻擊活動頻繁的區域,一旦客戶遭遇大規模網路層的DDoS攻擊,即可藉由Incapsula在台北內湖機房建置的清洗平台協助緩解處理。周達偉指出,若僅仰賴上游ISP,恐無法符合企業營運不中斷的需求,畢竟網路傳輸流量需要付費購買,一旦客戶遭受DDoS攻擊,流量使用愈大,即代表須投入更多成本購買頻寬。
「過去對於DDoS攻擊的看法是持續不斷地增加對外頻寬來因應,讓攻擊者因成本過高而主動放棄,從逐年創新高的攻擊量來看,此觀念已不再適用於現代普遍採用的反射放大式攻擊手法。因此Incapsula在全球佈建40個清洗中心,總計提供5Tbps流量來協助DDoS緩解,同時亦可透過專利技術,達到全球網路傳輸的負載均衡,不僅可進行分流,也可讓正常用戶的存取行為達到加速的作用。」
除了單純網路層的DDoS攻擊,周達偉觀察到,針對應用層的攻擊亦不容忽視,表面上看起來是大規模網路流量,但是背後隱藏的機制,往往卻未必只是頻寬耗盡攻擊。
他以實際協助客戶處理混合式DDoS攻擊事件為例,該客戶遭遇到的整個攻擊流程大致分為五個階段。第一階段是SYN Flood攻擊,這是常見且成本較低的手法,只要掌握殭屍網路資源便可發起。透過Incapsula Behemoth系統執行過濾處理時,偵測到最高攻擊量可達到30Gbps。
攻擊者在第一階段失敗後,隨即發動HTTP Flood攻擊,此為第二階段。攻擊者挑選了些會造成高資源消耗的瀏覽網站網頁,同時發起10M存取網頁請求。此手法持續了超過一個星期,由於HTTP Flood較SYN Flood更加複雜,因此Imperva資安團隊利用分類技術,藉此識別區分機器人與人為操作存取流量,從而阻擋由機器人程式所發起的攻擊行為,並保障正常使用者不會遭受到影響。
第三階段採用的是AJAX程式攻擊,主要攻擊目標為後端資料庫。由於機器人辨識技術是利用JavaScript語法實作,對於AJAX程式運行邏輯無法發揮效果,因此攻擊者改以AJAX程式來迴避辨識,試圖直接進入後端資料庫。Imperva資安團隊處理方式是基於連線存取行為模型、客戶端信譽分數等資訊,來識別出可疑的存取者。
第四階段攻擊者利用了大約二萬台的殭屍電腦,以真實的瀏覽器同時對目標網頁點選存取,就如同使用者的實際操作行為,造成網站效能相當大運算負擔。剛開始發動時,Imperva資安團隊在網頁中植入驗證碼(Checksum)來緩解此狀況,但仍舊影響真實用戶操作體驗,於是資安團隊進一步研究攻擊者存取行為封包,並運用逆向工程追蹤到殭屍電腦的控制與命令指標,藉此建立特徵碼輔助攔阻,讓網站恢復正常運行。
第五階段發動的策略則改以混合模式,攻擊者利用第三階段所擷取的認證訊息,以及第四階段的殭屍網路,運用自行撰寫的惡意程式感染更多瀏覽器,藉此發動了超過18萬個IP地址、861支變種程式,每天產生約700Mbps存取流量,攻擊時間持續150個小時。Imperva資安團隊利用了於第四階段的方法,找出攻擊者採用的PhantomJS指標,並根據機器人程式特性分類,重新撰寫特徵碼,阻斷了後續的活動,才讓整起攻防戰順利落幕。