本業為電信商的遠傳電信,同時也提供主機託管服務,早已部署DDoS攻擊緩解架構保障企業用戶應用服務可用性。攻擊流量若起源於島內,可導向遠傳電信骨幹環境部署的清洗設備,直接過濾攔阻DDoS攻擊封包,例如SYN Flood、ICMP Flood、UDP Flood等;同時也運用雲端平台提供清洗服務的選項,讓企業用戶得以依據業務服務部署的位置選用。
遠傳電信資深協理盧祖耀表示,近兩年來遠傳電信持續強化骨幹環境清洗的能力,目前已經超過100Gbps。針對DDoS攻擊源頭,則是持續發展機器學習演算分析,協同第三方合作夥伴提供的情資不斷地訓練增進辨識能力。此外,遠傳電信較特別的是在網路部門中成立專屬負責的資安維運團隊。原本電信組織對於資安事件的處理,歸屬於既有網路部門的任務之一,在資安事件爆發當下,往往無法有專人即時回應,單獨成立資安維運團隊的目的,即在於可直接操作核心網路,加快資安事件回應速度,讓損害降到最低。
源自島內發起攻擊凸顯新時代隱憂
由來已久的DDoS攻擊威脅,早期主要是競業之間的鬥爭,意圖並非為勒索。近幾年駭客組織可控制的殭屍電腦逐年增加,瞬間集結的網路流量已遠超過企業對外接取線路的頻寬,開始成為惡意組織用來獲取利益的方式之一。
盧祖耀觀察,由於攻擊者控制的殭屍電腦日漸增多,可產生更大規模的流量,即便企業願意持續投資增設對外頻寬,也不足以因應當今DDoS攻擊量的規模。對此國際資安市場上開始提出可利用雲端平台的彈性資源來抵禦,亦有專人維運降低資安風險。
從原理來看,當前危害最大的DDoS攻擊手法是放大攻擊,不外乎利用網域名稱解析與NTP服務產生的放大式流量。當企業把應用系統部署到雲端平台時,攻擊者無法得知實體資料中心位址,較無法準確地鎖定標的,則可藉此讓風險降低。
從遠傳電信提供代管服務來看,DDoS攻擊並不難解,有多種手段可防範。台灣較特殊之處是海島型國家,只要攻擊來源為境外,ISP業者可通知上游,例如PCCW、NTT等國際線路營運商,先行處理惡意流量,運用路由手段來避免。
問題是,從今年發生的DDoS攻擊事件來看,確實凸顯出新時代的隱憂,例如住商場所皆有部署DVR監控設備,開始被攻擊者發現漏洞,進而滲透入侵成為殭屍電腦,從島內發起DDoS攻擊,較境外湧入的惡意流量更難處理。畢竟營運商既有的防護機制,對島內攻擊較不嚴謹,必須得補強弱項,以免再發生類似事件。
營運商合力抵擋以發揮效益
針對島內發起的DDoS攻擊,其實營運商彼此之間已有默契,盧祖耀以遠傳電信為例,早在2012年就已跟中華電信數據分公司相互交流,當時主要是針對DNS管理議題,畢竟台灣DNS服務主要為中華電信數據分公司自主研發與維運,之後發現漏洞修補速度較慢,被惡意人士利用來發動攻擊,為此雙方密切合作以降低遭受威脅的機率。
「其實防禦DDoS攻擊的手法大家都很清楚,不外乎採用清洗服務,或是直接切換成黑洞來緩解。前述提到,台灣是海島型國家,為了保護自家網路順暢無虞,出現問題時通常是協同上游處理,但其實同樣的模式,國內營運商彼此之間也可以攜手合作聯防。尤其是今年開始進入到5G世代,DDoS攻擊可能演變成常態性事件,更須合力共同抵擋才可發揮效益。」盧祖耀說。
以往攻擊主要是來自於境外,營運商只要過濾網路接取點即可緩解;如今開始出現島內的攻擊來源,國內營運商皆無法避免遭遇類似事件,或許彼此之間可以相互協助,在事發當下運用黑洞機制來緩解,藉此讓惡意人士無法達到目的。
骨幹掌握大數據建立輔助辨識分析
近幾年DDoS攻擊次數與流量倍數增長的主因,在於新與舊的連網設備品質與安全性良莠不齊,經常被駭客控制發動DDoS攻擊,就算從上游營運商協助緩解,實際上只能治標而不治本。儘管台灣已有提出物聯網安全規範,問題是並未明定不符合規範的產品禁止上市,如此看來,企業仍舊得準備DDoS攻擊威脅緩解作業程序,藉此降低營運管理風險。
要解決棘手的DDoS攻擊問題,盧祖耀認為,得區分中長期來看,首先政府得先正視問題,制定規範且強制網通產品合規,否則不得上市,這件事勢必得先做,才可能逐漸改變殭屍節點遍布的狀況。在此期間,營運商可協同資安技術供應商提供網路清洗緩解,或是藉由掌握殭屍主機來源的線路,營運商彼此之間可建立相互通報機制,甚至是達到聯合防禦效果,才可在事發當下快速杜絕威脅事件。
至於各個產業,則是必須更加熟練處理DDoS攻擊的標準作業程序。例如相當重視安全議題的銀行業,已制定防禦與應變作業程序,只是尚無法釐清究竟該投資多少才合理,實際上,任何風險管理都有代價,取決於企業願意投入多少資源來防範。從電信業者的角度來檢視企業應該具備的水準,盧祖耀實際接觸客戶卻發現,仍有不少產業尚未正視資安問題,即便是國內知名大型企業,願意投資的金額都仍舊是最低程度,一旦面對資安問題時勢必無法及時排除。盧祖耀呼籲,「網路傳輸頻寬必須得預留緩衝,才得以在攻擊流量尚未塞爆之前可先行應變,以免影響營運服務。」
未來物聯網應用場域增多,源頭的裝置製造商尚未能納入安全機制時,營運商自然須評估可提供的協助項目,包括運用在防堵DDoS的技術,本來合作對象主要是上游業者,若台灣營運商彼此之間得以建立合作模式,將有助於緩解島內產生的DDoS攻擊流量。這並非是技術問題,只是把過去合作對象轉換成本土的同業。
其次是最大程度地降低資安風險,必須得仰賴預警機制。營運商骨幹環境掌握的資料可彙整成為大數據,運用機器學習演算分析輔助,不僅可提升問題排除的效率,同時也可進一步建立行為模式分析方法,以輔助辨識詐騙等惡意行為,甚至達到預警功效。