当今互联网领域,网络犯罪正变得愈加猖狂,新闻报道中也经常能看到关于DDoS攻击、数据泄露等安全问题,因为如何避免网络遭受DDoS攻击成为一项巨大的挑战。但是,在瞬息万变的互联网时代,有些组织还相信几年前引入的DDoS防护设备仍然能抵御如今的DDoS威胁。文中将主要介绍5个关于DDoS防护的常见误解。
误解1:防火墙、IPS 或内容分发网络能解决问题
IT基础架构的演变以及对于第三方云的依赖早就形成一个复杂的环境,周界不复存在。诸如防火墙和IDS/IPS的传统“周界”安全解决方案仍然是集成安全态势的关键部分。然而,因为这些设备会进行网络连接的状态检测,此过程容易遭受 DDoS攻击,反而使情况恶化。
许多组织还错误地相信内容分发网络(CDN)能为阻止DDoS攻击提供解决方案。事实上,一个CDN仅可解决一个DDoS攻击症状。通过吸收如此大量的数据,一个CDN实际上能将所有信息引入网络之中。此外,大部分以CDN为基础的DDoS防护解决方案仅专注于吸收HTTP/HTTPS DDoS攻击,而忽略了所有其他诸如NTP/DNS的放大攻击,此类攻击极为常见。
误解2:单层 DDoS 防护足以应对攻击
由于现在的DDoS攻击正从使用容量、TCP 状态枯竭和应用层攻击向量的方向集合,业界推荐各组织使用的最佳方法是分层防护方法。
在多如潮水般的攻击压垮本地网络连接或内部部署的DDoS防护系统之前,阻止这些攻击的最佳位置是在安全提供商云的上游。并且,阻止秘密应用层攻击的最佳位置是用户端,因其靠近关键应用或服务的位置。同样重要的是,您必须拥有由最新威胁智能感知支持的这两个层面的智能形式交互,以阻止动态DDoS攻击。
不幸的是,许多组织仅选择一层防护,造成其DDoS防护解决方案不完整。
误解3:我们有可能不会成为目标,所以值得冒险
DDoS攻击数量飞速增长的因素主要有两个,一是发起攻击很容易;二是攻击的动机多样化。以往从未像现在这样容易发起DDoS攻击,任何人可以通过免费或支付少量费用的方式,下载自助DDoS攻击工具发起DDoS攻击。攻击者可以用数十美元的低成本,导致组织数千万美元的损失。另外,DDoS攻击背后的动机多种多样,例如向不再获得经济利益或由国家赞助的组织发起的DDoS攻击等。
如今,可能仅仅因为意见不合或基于某议题的政治立场或态度不同而使用多种工具或服务来发起DDoS攻击。更糟糕的是,如果您的服务基于共享云环境,即便您不是DDoS攻击的目标,也可能遭受相关损害。所以您应扪心自问:“我真的那么幸运吗?”
误解4:DDoS攻击的影响不值得防护系统的增加成本
DDoS攻击的影响会显而易见并且十分严重。事实上,许多组织并未进行有效的风险及应对措施分析,从而无法为其购买DDoS防护解决方案提供可靠依据。当然,算出盈利服务停机成本可能很简单;但您是否全面考虑过其他DDoS攻击的相关成本?
许多间接成本常常被人们忽略,比如SLA信贷、法律/管理费用、品牌形象维护的公关成本、客户流失等等。甚至在一些记录在册的案例中,有高管或董事会成员因为对阻止DDoS攻击及其他威胁未作充足准备而被解雇。
误解5:DDoS攻击并非高端威胁
确实,就技术而言,DDoS攻击本身可能并不高端。然而,最近对僵尸网络和DDoS攻击的研究结果表明,它们实际上与使用恶意软件、RAT的高级威胁行动关系密切。
例如,有记录在册的案例显示,DDoS攻击会出现在下述情况:
- 在早期侦查阶段用以测试某组织回应某种威胁的能力;
- 在恶意软件传输阶段,用以填写安全法医产品日志和数据文件;用以让已植入的恶意软件更加难以被搜索到;
- 数据提取阶段用以作为转移注意力的策略工具。
所以这就引发了一个问题:“最近这次DDoS攻击是孤立事件,还是只针对本组织的未来高级威胁行动的一部分?”为了保险起见,强烈推荐您使用全球威胁智能感应系统,在威胁降临之前就可积极“搜寻”危害或违规迹象。
来源:IT168网站
