Imperva Incapsula F5 Silverline Nexusguard Always-on On-demand Radware Akamai Mirai 台灣大哥大 數位通國際 Arbor 中華電信 遠傳電信 DDoS 物聯網 IoT Tb級

超狂駭客拉DDoS警報 電信商當關全面協防

2017-03-03
去年(2016)開始出現針對物聯網裝置所設計的Mirai惡意軟體,其原始碼甚至已在網路公開任由全球駭客取用,即是藉由感染網路監視器、家用路由器設備後集結成殭屍網路,來發動頻寬耗盡式DDoS攻擊,且創下每秒Tb等級的新記錄,毋須借助DNS或NTP等攻擊放大技術,即足以癱瘓國際級IDC業者骨幹網路。而國內企業與組織對外連網頻寬平均僅為MB等級,攻擊者只需啟動少量殭屍資源即可癱瘓服務,自然淪為駭客組織發動DDoS攻擊勒索的目標。
剛過完春節連假的2月3日,台灣股市才開紅盤,就爆發多家證券業者陸續遭到國外駭客勒索,囂張狂妄的駭客還先發動小規模「火力展示」,再威脅以比特幣支付贖款否則後續將以大型分散式阻斷服務(DDoS)攻擊,讓券商的網路下單服務全面停擺。前後三波共有13家券商遭受勒索,所幸最後在主管機關、券商及電信業者通力聯手協防之下順利化解攻擊流量,並未造成實質損害,但這宗台灣金融證券史上最大規模的網路攻擊勒索案件已然震驚全國,DDoS攻擊正式成為足以影響金融秩序甚至國安層級的網路安全議題。

不僅證券業者,其實只要企業營運業務高度仰賴網路傳輸來提供的組織企業,皆可能成為勒索標的,除了長期深受DDoS攻擊勒索之苦的遊戲業以外,電子商務、金融業等,近年來也成為駭客組織覬覦的對象,只是顧及商譽往往不願聲張。未浮上檯面的受災企業,遠比新聞揭露的數量更多,也才使得位居網路骨幹優勢防禦位置的網路運營商,例如中華電信、台灣大哥大、遠傳電信、數位通國際等,皆陸續開展提供DDoS流量清洗服務。

連網裝置助長DDoS攻擊規模與頻率

針對連網裝置組成殭屍大軍締造Tbps等級的攻擊流量,中華電信資通安全處處長洪進福觀察,DDoS為害之所以演變至此,主因不外乎設備製造商不重視、採用者亦欠缺安全意識。畢竟物聯網設備製造商最在意的是成本,產品設計訴求簡單,本就未考量安全性機制,甚至還預留便於售後支援的遠端登入模式或管理帳號,惡意人士只要深入研究,很容易即可找到共通的弱點,得以任意操控;至於消費者關注的焦點則著重於功能性,常不在意內嵌韌體的帳密是否被盜用,仍維持設備出廠時的設定值。

此外,Mirai開放原始碼亦可說是助長利用物聯網發動DDoS攻擊的因素之一,在惡意軟體快速的變種與散播下,全球殭屍網路愈來愈龐大、發動攻擊門檻較以往更低,可能將威脅到更多企業或組織。

台灣大哥大企業產品暨營運管理處副處長魏政賢亦認為,Mirai惡意軟體的出現,更加劇了攻擊手法持續不斷推陳出新的情勢,資安威脅只會日漸嚴峻,無法被瓦解或消滅。尤其是近兩年,從上游骨幹網路發現,不僅DDoS攻擊手法轉變,且頻率與規模皆倍數成長,預期將影響更多企業或組織營運。

頻寬塞爆式攻擊 須由局端骨幹下手緩解

在Mirai敲響物聯網安全警鐘後,反應速度較快的美國,已由國土安全部於2016年11月發布「物聯網安全策略準則」,提出應在產品設計階段納入安全性、部署後的安全更新與漏洞管理、根據潛在影響性制定安全措施的優先等級、提升物聯網的透明度等建議,為裝置製造業者建立依循的方向。同時亦可搭配非營利跨國資安組織OWASP的物聯網專案中,具體提供連網裝置潛在的威脅與測試方式,來評估整體安全性。洪進福認為,隨著製造商開始正視安全議題,企業應用環境亦將各式連網裝置納入IT資產盤點與控管政策中,將有助於物聯網安全的正向發展。

只是現階段已形成殭屍網路的連網設備仍不得不防,畢竟未曾遭受DDoS攻擊威脅的企業,對於事前應準備的資產盤點、風險評估、系統調校乃至於事中應變的標準作業程序與防禦機制皆欠缺,有必要及早擬定因應措施。

數位通國際技術長黃維修指出,DDoS攻擊可區分為「頻寬耗盡」與「資源耗盡」兩種模式,針對資源耗盡攻擊,其實台灣企業大多已基於防火牆、UTM等資安設備建置防禦措施,對於大量連線封包的SYN flood等攻擊手法,具有一定程度攔阻能力。但如今面對的是可瞬間產生動輒數百Gbps攻擊規模,直接塞爆企業對外頻寬,資安設備根本鞭長莫及也無能為力,必須得仰賴上游電信業者,或是雲端清洗中心服務來協助才得以緩解。

依產業與服務重要性評估清洗服務

著眼於DDoS攻擊量的增長,國內業者包括中華電信、台灣大哥大、遠傳電信、數位通國際等,如今皆已建立防禦機制,亦對外提供流量清洗服務,協助企業或組織在遭遇DDoS攻擊時,保障正常流量仍舊可順利存取。就目前市場上較活躍的技術供應商來看,遠傳電信企業產品服務管理處經理施文政指出,包含Akamai、Arbor、Nexusguard、F5 Silverline、Imperva Incapsula、Radware等廠商,國內電信與IDC業者所提供的DDoS防禦服務,主要即是以這些廠商技術為基礎所搭建,通常以三個月或一年為租期,按月收取費用。

至於執行流量清洗的模式,主要區分為Always-on與On-demand兩種,差異在於網路延遲性與收費方式。施文政說明,前者是所有流量皆通過清洗中心,檢查每個封包以判斷正常或異常後再導向目的地,但傳輸節點增加可能產生延遲性;後者是偵測到異常流量時才執行切換導向清洗中心,確保平時的傳輸流量得以最短路徑遞送。而採用遠傳電信DDoS服務的客戶,大多會選擇On-demand的方式,畢竟價格也相對較低。

對此,魏政賢則認為,On-demand較偏向於事後補救的概念,實際上在設計規畫DDoS服務時,台灣大哥大是著重於Always-on架構來建置整體性防禦,主要考量DDoS攻擊流量通常是瞬間湧入,平均大約僅15分鐘時間頻寬就已被塞爆,On-demand方式等於是先讓服務停擺後,再由DDoS服務協助恢復運行。此外,犯罪組織發動攻擊前通常會先偵查防禦能力相對較弱的企業,以降低攻擊成本,因此事先部署較紮實的防禦架構,亦可降低未來成為攻擊目標的機率,畢竟攻擊活動也需要效益評估,駭客勢必會選擇以防禦能力相對較弱的企業為標的。

不過,他也不諱言,企業或組織確實仍有採用On-demand的需求,主要是預算有限必須退而求其次的選擇。例如為了法規遵循不得不採用,便可先行簽定On-demand服務,待實際遭受攻擊時才開始支付費用;或是國內眾多小型遊戲業者,營收金額並不高,根本無力每月全面支付DDoS服務費,僅能在遭受攻擊初期,先採以封鎖來源IP或變更本地端IP位址方式來迴避,若攻擊時間持續拉長,再採用On-demand服務執行清洗。

不論Always-on或On-demand,實務上皆有應用需求,企業評估採用DDoS服務時,須權衡營運規模與應用服務的重要性。若已經被鎖定為DDoS攻擊勒索標的,或無法承受斷線的營運業務,仍建議採Always-on模式,以降低可能造成的損失。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!