已累積多年資安專業代理商經驗的逸盈科技,產品及技術服務處副總經理王美芬指出,其實台灣的各種行業,多少都面臨過DDoS攻擊威脅。但近兩年的手法中,單純透過塞爆頻寬方式的攻擊已少見,除非背後的目的並非謀取利益,而是為了復仇示威、彰顯技術能力等方面,否則根本無須發動大量的殭屍電腦同時運行。
實際上,DDoS攻擊行為更可能是APT攻擊的前哨站。王美芬觀察,現在網路上很容易即可取得執行Layer 4到Layer 7的攻擊工具,通常攻擊者會先設法讓標的企業或組織的In-line資安設備停擺,導致網路停止服務。此時受攻擊的單位為了讓網路連線盡速恢復正常,第一時間可能會先選擇開啟In-line資安設備的Bypass模式,暫時停止防護。在閘道端防護失效後,攻擊者即可長驅直入到內部網路進行滲透,進而盜取數位資產。
|
▲逸盈科技產品及技術服務處副總經理王美芬(右)與逸盈科技產品及技術服務處產品經理曹瑞彬(左)提醒,既有防護的政策無法過濾DDoS攻擊時,必須要有能力針對性地建立對抗機制,此時服務供應商能否支援,將非常關鍵。 |
正因為攻擊目的強烈、手法複雜,逸盈科技所代理的Arbor,除了協助ISP業者合作建置DDoS緩解機制,近年來也推出企業級DDoS防護方案Pravail APS,搭配Arbor Cloud流量清洗服務,建立多層式(Multi-Layer)防護架構。
儘管市場上具備DDoS攻擊防禦機制的供應商眾多,包含防火牆、ADC、WAF等設備商,或是CDN服務業者,皆已陸續提供號稱DDoS防禦措施,但逸盈科技產品及技術服務處產品經理曹瑞彬認為,Arbor從十?多年前成立之初即是為了因應DDoS攻擊而設計,所累積的特徵資料庫、研發能量,皆為後進者較難超越之處。再加上專屬設備的無狀態表(Session Table)技術,亦不至於發生傳統資安設備資源耗盡的問題。
「實際上我們曾經遇到客戶雖有採用Always-on的流量清洗服務,仍舊發現被Arbor Pravail APS攔截到攻擊的封包,主要因素即在於整起攻擊模式混雜多種手法,而服務業者提供的防護機制,大多都是制式標準,不會針對個別企業用戶的IT環境、應用服務型態來調整攔截策略,或是針對每個單次的攻擊事件客製化抵禦措施,因此除非企業本身具備專業技能,否則勢必需要業界專家協助。」曹瑞彬說。
當然,後續的技術支援服務正是逸盈科技的專業團隊可發揮之處。畢竟Arbor已是相當成熟的產品,且逸盈也代理多年,在網路遊戲業、學術業、線上賭博業、政府等組織單位,累積許多知識與技能,各種手法都已掌握,較得以有效地應對不同狀況。