session hijacking WebSocket 應用交付控制器 DDoS SQLi 負載平衡 ADC XSS 資安 攻擊 偵測

低預算部署有效防線 拉高攻擊成本讓駭客卻步

2017-01-10
企業為了設法打造安全無虞的環境,讓那些企圖攻擊你的人為了迴避防護網的偵測而耗費更多時間、精力和金錢,往往要承擔很高的代價。這不僅對於攻擊者而言過於昂貴,對企業而言也同樣如此。不只是方案本身的投資成本過於昂貴,而且營運上也必須承擔成本壓力,因為每一個方案都必須妥善的管理、更新、監控和延展。
最近發生的幾件重大攻擊事件大家應該還記憶猶新。當企業正在慶祝物聯網帶來的營運效益時,從九月開始一個對Blog記者的網頁資安攻擊,撼動了網路託管業者,甚至為了不影響其他客戶更放棄了Bolg的自衛防禦功能。另如DNS在不經意的幫兇下就可任意放縱攻擊者在全球數據中心複製內容,以擴散DDoS攻擊發生。

令人感到矛盾的是,攻擊者覬覦的是資料,然而我們卻傾向於在最遠離資料的地方(亦即網路周邊)構築防衛和保護。那麼該如何做到讓攻擊者承受過高的成本,而不會被迫承擔昂貴的建置費用?在現實的環境中,並沒有所謂的萬靈丹可以解決這個問題,不過卻可以遵循一些方法以達到降低自己的成本,同時增加攻擊者的成本。


▲人為錯誤、欠缺程序以及外部威脅是前三大資安風險。

善用平台

平台是奠基於一個分享共同環境的概念。它可以一如虛擬化與容器化(Containerization)般的降低成本,並且提升運算資源效率。例如,一個應用交付控制器(ADC)可以用模組延伸以支援廣泛的功能,包括安全性。許多企業已利用ADC確保可用性和負載平衡,並且也可以支援Web應用防火牆(WAF)及其他安全相關功能。ADC提供一個整體性的方案,其成本遠低於各項單一功能方案的成本總和。

值得一提的是負載平衡。ADC不同於基本型負載平衡器的是,它通常提供許多與安全相關的防護機制,可用來增加攻擊的困難度。SYN Flood偵測、Cookie加密、URL模糊化以及IP/Port過濾等,都是負載平衡服務常見的功能。如此便可以在更接近應用的地方增加保護,讓攻擊者更難以侵入。

營運化

目前並沒有所謂的「萬寧丹」可以單獨地提供企業所需的一切以維護安全和延展應用。企業需要訴諸多重方案,而這意謂著多重控制台、管理體系和人力。這些都會耗用到預算。

營運化(Operationalization)促成自動化與協調,並且有助於管控方案成本。例如,自動延展能力可以運用既有的資源向上延展,迫使攻擊者增加攻擊成本,同時讓企業的防護成本獲得控制。

營運化也能防範高風險來源,包括人為錯誤和欠缺程序。關於「欠缺程序」問題,你無法為一個不存在的程序提供自動化。而如果你沒有這樣的程序,就應該設法建立。它可以確保當應用邁入生產階段時,採行必要的步驟以維護應用安全和延展。至於人為錯誤方面,它代表一項巨大的風險,因為它會不慎地開啟安全漏洞,讓惡意人士有機會侵入,不論是直接侵入或在巨量DDoS攻擊時潛入。


▲在實際常見的漏洞攻擊中,跨站腳本(XSS)攻擊仍高居第一位。

雲端延展

雲端為無法自動延展及頻寬不足的情況提供了解決方案。雲端延展(cloud as scale)提供一項絕佳的方案讓你有效地防衛並提高攻擊成本。於遭受攻擊時,將DDoS清洗(DDoS Scrubbing)和保護切換到雲端,將可以立即減少對於商務的衝擊,包括生產力和利潤等,而這也意謂著較低成本的防護。利用雲端的無限延展和頻寬吸收攻擊,長期而言就能節省很多成本。

從裡到外的安全性

一如前述,攻擊者通常覬覦的目標是企業資料,因為資料就等於金錢。因此企業對於資料的安全維護必須如同保護網路周邊一樣用心。這意謂著運用所有可用的技術,迫使攻擊者必須為竊取資料而承擔非常昂貴的成本。企業必須保持警覺性,非僅保護那些進入應用的資料,同時也必須保護那些從應用輸出的資料,亦即請求與回應(request and response)保護。

F5的2016年應用交付狀態報告(State of Application Delivery 2016)顯示,大多數(67%)已部署WAF的受訪者對於他們組織在承受應用層攻擊方面的能力,表示有信心。SQLi和XSS、WebSocket安全性、Session Hijacking預防、及其他諸多功能,確保攻擊者若想竊取資料就必須付出非常昂貴的代價。

事實上,涵蓋所有用戶端、請求、回應三大攻擊面向的一致保護,讓企業更有信心承受應用層攻擊。那並不是一項「邊界」而是應用中心(App-centric)功能,它比較接近應用而非網路邊界,而其目標並不是要阻斷網路攻擊,而是那些實際上企圖竊取資料的攻擊。那是攻擊者尋求的「價值」,而你必須讓那個價值變得過於昂貴,迫使攻擊放棄而轉移他們的目標。

我們無法讓安全變得便宜。但有方法可以降低成本,迫使攻擊者必須付出比企業更高的代價,而不需要讓自己為了維護應用安全而破產,如果做得好,企業的防衛將迫使攻擊者耗用過多他們本身的資源與金錢,而功虧一簣。

(本文作者張紘綱為F5 Networks台灣區總經理)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!