全球高效能網路安全廠商Fortinet建議企業組織採行多層次網路安全防護策略,保護DNS伺服器與IT架構,以有效阻絕DDoS的攻擊,並進一步降低安全防護的成本。
過去多項研究報告皆指出,DDoS(Distributed Denial of Service,分散式阻斷服務攻擊)為最具威脅的網路攻擊。研調公司Stratecase的報告則指出,DDoS攻擊每年增加20%至45%,而針對應用程式攻擊的DDoS甚至成長率可達3位數。
另一項由Gartner所提出的報告,即明確指出2013年DDoS攻擊會有25%是針對應用程式。藉由洪水般地傳送指令給應用程式,造成CPU與記憶體的大量負載,來讓應用程式癱瘓而無法正常運作。
台灣Fortinet技術總監劉乙表示,「DDoS是駭客最常使用的一項工具,當他們採用多種技術的攻擊策略時,大多時候會是其中之一。DDoS攻擊模式的持續進化,預計將會對企業組織帶來壓力,最後不得不採行適當的策略來強化安全防護,進一步降低遭受攻擊的風險。」
劉乙進一步指出,如同其它的網路威脅一樣,DDoS攻擊亦將持續成長,未來也勢必更加猖獗。研究人員發現,DDoS攻擊不僅頻率會增加,頻寬和攻擊時間也會。例如十年前,50Gbps的攻擊一年只有幾次,現在則幾乎每星期都會發生。DDoS本質上的演變,會使企業做出改變,採行更積極的防護方式。
DDoS的防護策略,需著重在不干擾既有的重要服務。為達此目的,企業必須評估網路環境,制定因應計劃。同時,該計劃必須包含系統的備援與回復,以及如何儘快有效率地復原服務的方法。
Fortinet提供三個積極防護的簡單步驟:採行多層次的安全防護策略、保護DNS伺服器與其它重要IT架構,最後則是維持IT架構的可見度與掌控性:
1.採行多層次的安全防護策略:多層次的防護策略對阻絕DDoS攻擊至關重要,這需要一個本地端的解決方案,能專注於降低網路所有面向可能的風險。此解決方案必須能偵測假IP位址的入侵(Anti-spoofing),提供主機認證技術、特定封包與應用程式的檢查機制、狀態與通訊協定的驗證、黑/白名單,以及地理位置存取控制等。
2.保護DNS伺服器:許多企業擁有自己的DNS伺服器,而它們通常是DDoS攻擊的首要目標。一旦DNS伺服器遭受攻擊,駭客就能輕易讓其Web服務停擺,造成服務被阻斷的狀態。目前市場上有許多的DNS防護解決方案可供選擇。
3.維持IT架構的可見度與掌控性:能精細掌控整個網路,並以視覺化的方式呈現,協助管理人員快速偵測出網路流量的異常與攻擊的發生。最佳的網路防護,是能夠持續自動地監控,並透過警示系統預警,當偵測到DDoS流量時啟動因應計劃。
目前台灣已有許多知名企業,在Fortinet的協助下強化了網路架構與因應計劃,能妥善地面對DDoS與其它的網路威脅。現今的IT管理人員必須能立即發現網路威脅的來源,降低攻擊帶來的衝擊,並且能儘速回復各種網路服務,讓企業能隨時隨地專注於主要業務的營運。