掌握島內最大骨幹頻寬的中華電信,為了抗DDoS設計四道緩解機制,包含境外阻絕、邊境管制、骨幹管制、緩解清洗,以因應頻寬塞爆或資源耗盡式攻擊。
中華資安國際副總經理游峯鵬觀察,相較於過去常見的頻寬塞爆式DDoS攻擊,實際上,每秒封包數量過多更是棘手。駭客組織控制的殭屍電腦可持續不斷地發送小封包,使得資安設備得變得更加忙碌,耗用更多資源處理。如今連網裝置增多,以往認知的殭屍成員主要為辦公室桌機、筆電,如今駭客組織更多著眼於網路攝影機、印表機、感測器等,大量具備網路功能的裝置,卻可能僅須簡單的猜密碼程式即可取得控制權,可發動的DDoS攻擊規模自然不可同日而語。
現階段企業主流的對外頻寬是300Mbps,對規模動輒上百Gbps的DDoS攻擊簡直束手無策,勢須委由網路營運商防範,如此不僅才有能力抵禦頻寬塞爆的威脅,同時可搭配清洗中心提供的服務,避免網路設備、伺服器等資源消耗而導致服務停擺。
為連網裝置增添防護機制
攻擊者為了達到最終目的,運用的手法勢必會不斷地推陳出新,多年前演進到反射式就已經是個里程碑,例如基於標準的Memcached、UDP等服務創造出倍數流量,這屬於技術上的演進。另一方面,隨著5G開台,以往礙於頻寬限制發展的物聯網、智慧化應用場景得以逐步實踐,帶來的影響是連網裝置數量愈來愈多,自然吸引駭客組織投入研究漏洞,再加上直接暴露在公開網路上的連網裝置,相較於過去滲透企業內部網路得設法繞過多層次防禦,如今攻擊成本更加低廉,同樣可利用為跳板進入內網,抑或是集結發動大規模DDoS攻擊。
「即便是新製造的連網裝置,安全機制仍並非為功能特性之一,儘管政府不斷呼籲,實際上卻難以有效落實,正是攻擊者可有所發揮的時期。」游峯鵬說。難以有效落實的關鍵因素往往在於連網裝置初期導入部署的單位並非為IT部門,後續維運可能IT人員也不便介入,根本未納入持續監控範圍,導致正常運作的連網裝置同時也執行攻擊活動。
近幾年政府與產業界已經開始重視連網裝置安全性問題,並且積極研擬規範加以防治,勢必會朝向更好的方向發展。只是舊有部署的裝置則仍舊是個盲點,企業仍須有所防範,切勿等到爆發資安事件才想要緊急控管或汰換危險性過高的裝置,屆時恐已造成難以彌補的損害。
防駭與防禦服務降低維運負擔
對於過去遺留的連網裝置,游峯鵬建議,首要關鍵必須變更預設密碼,其次是定期安裝修補更新,第三是建立監控機制,可藉由中華電信提供的防駭守門員服務,掌握連網設備的情資、協助進行偵測,企業可藉此提升防護力,例如追蹤IP連線的目的地來判斷是否為惡意。
「我們日前參加公開研討會中曾發表自行架設的誘捕系統(iHoneypot),已蒐集取得相當多島內視訊監控錄影主機(DVR)所發動的攻擊流量,經過解析Payload掌握行為模式資料,會被回饋到防駭守門員的情資資料庫,讓企業多一層保障。在線路傳輸的同時也持續監控內容,避免無力汰換的舊式連網裝置導致資安事故,抑或是淪為駭客組織的工具。」
前述防駭的範疇,較著重於偵測內部裝置漏洞已遭滲透後與遠端操控的通訊,例如遭駭的DVR自動連線到攻擊中繼站「報到」時,防駭守門員可立即辨識並予以阻擋。至於針對由外而內的攻擊防護,原本的HiNet新世代防火牆服務已升級成「先進網路防禦系統服務(ANDs)」,基於Palo Alto Networks次世代防火牆所建構,除了既有的防止入侵攻擊、病毒與惡意連線、上網內容過濾功能,先進網路防禦系統服務更增添了應用程式控管、檔案傳輸控管、國別流量控管、沙箱行為分析。該服務採月租計費,相較於傳統自建部署資安防禦設備,預估可藉此降低約2.5倍的建置及維護成本。
無須變更設定啟用DDoS防護服務
攻擊者遠端操控集結眾多殭屍電腦發動攻擊特定目的IP位址,所匯集到局端的總網路流量相當驚人,若要加以偵測與過濾亦須動用龐大資源,因此國內營運商已自建部署抗DDoS架構,或是協同國際清洗中心服務,在攻擊發起的地區就先行攔阻,才不至於形成無法因應的DDoS攻擊規模。
游峯鵬強調,特別是進入到5G世代,連網裝置逐年倍增,更加需要全民攜手正視資安問題。今年多家主機代管公司遭DDoS攻擊源自於島內即是警訊,意味著接下來各行業所發展的數位化應用,勢必無法避免遭遇DDoS攻擊威脅。以往本土企業大多認為自家營運模式不至於被駭客組織盯上,對於外部的攻擊威脅更是抱持僥倖的心態,尚未意識到資安已成為應用服務必備要項,殊不知在有利可圖的驅動之下,資安防護相對較弱的企業更容易遭遇攻擊。
如今高度仰賴網際網路提供服務的企業,皆必須在風險控管中納入DDoS攻擊因應措施,畢竟攻擊方可利用來發動的管道相當多,任何企業都無法置身事外。眾所周知,中華電信利基點即為掌握局端骨幹,搭配DDoS過濾防護機制,相較於採用國際清洗中心服務,網路流量必須經過海纜遞送到最接近的地區執行過濾,中華電信DDoS防護服務直接在骨幹環境中阻斷,才不至於產生傳輸延遲的問題。
游峯鵬說明,緩解機制包含境外阻絕,例如若偵測到惡意流量來源IP為美國,可透過國際Border Router BGP協定,傳送封鎖特定IP網段資訊,阻絕攻擊訊務;邊境管制則是當用戶遭受大量DDoS流量攻擊,經資安維運中心(SOC)專業人員分析攻擊訊務來源,若9成以上為境外,且影響的應用服務業務範圍僅限島內,便可藉由國際Border Router管制目的IP限縮傳輸流量,並將該客戶網路訊務導入骨幹環境的緩解服務清洗中心執行過濾。
更重要的是,市場上的流量清洗服務不論採用Proxy、BGP導流、CDN等方式,無法避免須變更設定,直接採用中華電信提供的防護服務,企業不需要變更既有的設定配置即可啟用。