雖身為ISP業者,中華電信亦有提供獨立的資安健檢服務,例如滲透測試、弱點掃描、社交工程演練等項目,以協助客戶強化自身能力來因應外界攻擊的變化,非網路接取用戶也可採用。
此外,中華電信基於將近4Tbps骨幹頻寬優勢,日前再增添DDoS攻擊演練服務,中華電信資通安全處處長洪進福指出,國內遊戲業經常是DDoS攻擊勒索的首要對象,同樣手法,日前亦發生在金融證券業,對此,金管會、國家資通安全會報技服中心皆已開始要求組織單位必須擬定因應措施。
「從中華電信本身掌握的網路頻寬、全球情資交換後發現,DDoS攻擊不僅是流量大幅增長,頻率也變得更高,面對如此現況,企業或組織有必要及早擬定因應DDoS攻擊的作業程序。」洪進福強調。
|
▲中華電信資通安全處處長洪進福認為,服務通常難以量化,各領域皆然。儘管如此,仍可依照:完成度、時效性、技術品質等三方面來估算,才不致因為無法量化,一味以最低價格標執行資安健檢。 |
一般業者紙上談兵式的沙盤演練,只是為了確認組織面對災害發生時,得以儘速恢復正常運行的標準工作程序。但洪進福指出,中華電信提供的DDoS攻擊演練服務為真槍實彈,客戶端環境的網站必須先具備防禦能力。執行演練時,透過DDoS攻擊流量產生工具,由客戶選定較不影響營運的時間,配置好攻擊量與頻率,即可開始發動攻擊演練,期間防守端的職責則是盡可能抵擋攻擊行為。
整個演練過程執行完畢後提供的報告內容,包含防守端的相關人員是否有依據標準作業程序抵擋因應與通報,來檢視客戶方面擬定的標準因應作法是否實際可行,並評估抵禦能力不足的主因。
其實,對於評估實際建立防禦機制的企業,洪進福認為,企業端連外的線路通常僅100MB,只要從ISP源頭著手,確保系統得以正常運行即可,實在無須自建強大的DDoS防禦閘道設備,因為真實的攻擊流量尚未到達企業閘道端,頻寬就已先被塞爆,即便要自建,部署位置也應該是在上游的局端,而非自家閘道端,才得以發揮效果。
萬一發生如同日前法國網站代管業者OVH,遭受網路攝影機組成的殭屍網路發動近1Tbps的DDoS攻擊量,假設連線標的就在台灣,即使來自全球各地的訊務湧入,因中華電信本身擁有龐大的國際海纜,得以縱深防禦架構協助客戶因應,也就是由不同區域處理訊務的邊界路由器(Border Router)直接攔阻,而非讓流量進入島內才執行清洗。
「此服務實際上是傾整個Internet架構來處理,ISP彼此之間透過網路介接點(POI)串連,對於異常訊務,皆有能力設定阻擋攔截,不至於影響正常流量傳輸。在通過POI之後,才會進入中華電信的DDoS防護區,執行解析封包內容以過濾攻擊。」洪進福說。