DDoS防護新標準出臺
常言道“無論規模大小,任何金融機構都難逃DDoS攻擊一劫”。2017年6月,黑客組織Anonymous與Armada Collective就再次露面,針對包括多家金融機構在內的全球企業實施了一系列惡意行動。這些黑客團體不僅對包括中國人民銀行與香港金融管理局在內的近140家機構發起了DDoS攻擊、展示了極大的危害性,還向這些受害者發送勒索信索要大額贖金,以此換取攻擊停止。
當前,DDoS攻擊在各行各業、尤其是在金融服務行業非常普遍,且規模與頻率不斷上升。Akamai一直通過《互聯網發展狀況安全報告》公布關于DDoS攻擊的最新研究結果,其最近一期報告顯示:游戲行業仍是Akamai抵御的DDoS攻擊最大的單一目標,而電信與金融服務機構則在目標排行榜上分居第二位與第三位。
與此同時,如上述攻擊事件所示,互聯網金融服務行業因DDoS攻擊而遭受網絡勒索已成一種趨勢。這些攻擊的目的日益明確:接管本屬于金融服務提供商的站點與數據,并據此索要大量贖金。一旦這些網絡攻擊者在首輪攻擊中得手,則這些攻擊所帶來的傷害將變得更大、發起大規模DDoS攻擊的成本也將顯著下降。此外,系統漏洞與未知的惡意軟件已經成為網絡安全的主要威脅。金融機構可能會遭遇大量勒索軟件與DDoS的混合攻擊,各種未知的漏洞攻擊也在瞄準應用。因此,企業預防與處置的時間窗口期變得越來越短。這些均給金融機構的網絡保護與修復提出了更高的要求。
作為全球金融系統的重要組成部分,中國在金融服務的網絡攻擊方面也難以獨善其身。雖然中國十分重視金融行業的網絡安全,但中國金融機構也已不可避免地成為網絡犯罪的主要目標。根據第三方網絡安全評估服務平臺安全值發布的2017年報告,36%的中國金融機構受到了DDoS攻擊威脅。其中第三方支付公司是最大目標,它們中的67%都遭受過不同程度的DDoS攻擊。第三方支付公司僅使用了17%的公有云資源,大部分仍在使用本地服務器托管資源,因此第三方支付公司面臨著更多有針對性的網絡攻擊。其次,55%的小額貸款P2P公司遭受過DDoS網絡攻擊。其中近半數(44%)使用公有云資源,因此受一系列針對云資源工具的攻擊感染概率相對較高。
在這種背景下,全球及中國金融機構愈發重視網絡安全問題,并將更多支出投向安全服務。另一方面,這也催生了對于DDoS攻擊防護服務的更多需求,使得大量服務提供商進入該市場。但是,由于許多此類服務駐留于云端,金融機構通常難以評估、評價及區分眾多的DDoS攻擊防護服務提供商。那么,金融機構如何才能確保其所選用的DDoS攻擊防護服務提供商能夠兌現阻止互聯網上最大、最復雜攻擊的承諾呢?
基于Akamai在久經考驗的攻擊防護方面的豐富經驗——每周幫助全球前300大金融服務公司抵御至少50次攻擊,我們提出了以下4項重要標準,幫助全球及中國金融機構評估提供商的威脅情報、經驗、防護能力與容量:
1. 威脅情報
金融機構對DDoS攻擊的了解越深入,越可以更加主動地管理DDoS攻擊防護策略。金融機構的防護服務提供商應定期向其提供由專屬DDoS安全專家研究團隊所編輯的全面威脅情報。Akamai的《互聯網發展狀況報告》為金融機構提供了關于在線連接以及網絡安全趨勢與指標的多種信息與分析,包括互聯網連接速度、寬帶使用率、移動使用情況、宕機、網絡攻擊與威脅。
2. 一線經驗
在金融機構討論防御網絡黑客團伙時,沒有什么比第一手經驗更具說服力了。這些攻擊者不僅攻擊提供商給予其客戶的防護能力,而且還迫使提供商保護自身免遭最惡意的網絡攻擊。Akamai擁有業經驗證的一線經驗。例如:香港的一家領先金融機構曾在2017年9月遭遇過一場大規模的DDoS攻擊,其峰值攻擊達到了11.20 Gbps、3.09 Mpps。由于每隔30秒鐘,IP目標與攻擊向量就會改變一次,因此使得這家金融機構疲于奔命。最終,Akamai成功幫助該機構卸載了全部攻擊,并沒有遭受任何影響,且該機構站點仍能提供卓越的web性能。
3. 防護能力
無論金融機構規模如何,重要的是要使用一家擁有穩健能力的DDoS防護提供商,以抵御當前及未來的各類攻擊向量,包括互聯網上最大規模的攻擊。實際上,DDoS攻擊者已在使用同樣的、高度復雜的工具包入侵全球最大型銀行以及小型社區信用社。由于在各類網絡環境下都擁有業經驗證的能力,因此無論是邊界網關協議(BGP)路由通告更改、代理或基于DNS的重定向、或者混合解決方案,Akamai均擁有為任何金融機構環境創建適合解決方案的經驗與專長。
4. 防護容量
防護容量是區分DDoS攻擊防護服務提供商的一個關鍵因素。所有DDoS攻擊的目標都是要耗盡金融機構的資源(處理流量的所有設備帶寬、內存與CPU資源),以造成網絡或系統宕機,并擊潰其在線業務或應用。Akamai智能平臺由分布式的服務器與智能軟件網絡組成,每天能夠處理近3萬億次互聯網交互,每年處理價值1萬億美元以上的金融交易。Akamai全球分布的防護網絡能夠提供必要的擴展冗余,有效抵御最大規模、最具破壞性的攻擊。
一次DDoS攻擊就可能會給企業造成無法挽回的損失,在由DDoS攻擊導致的宕機期間,金融服務公司每小時估計損失10000美元[5]。更可怕的是,網絡攻擊者的目標同時瞄準大型與小型機構,并盡其可能地尋找漏洞!網絡安全不再僅僅是IT部門所面對的問題,企業高管也需關注該問題。了解如何選擇適合的DDoS攻擊防護提供商可能將事關金融機構的生死存亡。
