随着黑客们隐藏自己的手段愈发高明、攻击招式更为凶狠,各行各业的安全领导者们需要尽快做好准备。
如果向全国各大主要银行的CSO们询问近几个月来所遭遇过的分布式拒绝服务攻击(简称DDoS),他们一定会三缄其口。没错,保持沉默正是安全人士的首选态度。
安全高管们从不愿意谈论这些攻击活动,因为他们不希望自己的言论使企业受到更多关注。他们甚至担心光是提供防御策略的基本信息就足以吸引攻击者前来并找到安全漏洞。
但很多企业在初次受到攻击时就已经发现端倪,而安全管理者也需要针对恶意攻击是否还将卷土重来给出答案。因此尽管CSO们不愿多谈,但我们仍然希望能了解他们的处理态度。为了避免意外的麻烦,我们以不具名的形式转述几位CSO在工作中所亲历的情况,并探讨原先一直奏效的安全策略为何最终折戟沉沙。
DDoS攻击在过去几年中的凶猛程度可谓史无前例,黑客行动主义者们清楚,金融服务网站一旦停机意味着每分钟都将造成数百万美元的业务损失。曾针对美国银行、第一资本金融公司、大通银行、花旗银行、PNC银行以及富国银行的攻击可谓冷酷无情而又精妙复杂,使得众多安全高管甚至畏惧到不敢对细节进行深入讨论。
“这些DDoS攻击活动已经成为非常敏感的话题,我们现在无法进行公开讨论,”某家太平洋西北部地区中型银行的CISO如是说。
“企业通信部门目前禁止我们与媒体探讨具体情况,高调声张可能会导致公司成为更多攻击者的关注目标,”某位美国东南部金融服务企业的安全负责人表示。
尽管二次世界大战的宣传海报曾经道出“言多必失”这一真理,但“知识就是力量”同样是不容置疑的箴言,在现代业务技术系统的保护方面更是如此。毫无疑问,作为一位新兴银行组织的首席信息安全官,在遭遇首轮攻击后选择避而不谈绝对有失水准。面对安全威胁,大家需要的是畅通的信息、新型攻击资料以及防御体系发展趋势,而这一切都需要良好的交流环境。
有人认为,监管部门、公共部门以及金融机构之间长期以来的紧张关系至少应该为网络安全事故承担一部分责任,因为企业正是由于这种矛盾而往往选择大事化小、小事化了。
“推动协作与信息共享进程的最佳途径在于确保机构之间能够顺利交流关于成功与失败的任何信息,同时不会引发后续风波。如果一家机构在提交了攻击活动报告后,监管部门反倒第一个跳出来准备进行处罚,那么没人会愿意再把安全情况放到桌面上来谈,”安永会计师事务所信息安全咨询服务主管ChipTsantes指出。
谈到最近兴起的一股股DDoS攻击波澜,是否有能力识别出攻击活动并迅速组织威胁应对手段成为决定事故结果的关键性因素。做到这两点,企业就能保持自己的服务持续可用;一旦失败,服务将只能被迫下线。
“最近这些DDoS攻击发展势头非常迅猛,每次出现的新攻击都采取与之前不同的实施策略,”IBM公司财务部门安全战略专家LynnPrice表示。从本质上讲,攻击者的策略旨在提高自身攻击能力,借助先进的基础设施与应用程序指向工具并实现攻击活动的自动化进行。
“他们的攻击能力越来越复杂且难以捉摸,安全人员甚至很难发现到底哪些IT堆栈成为其攻击目标,”她解释道。
在这种环境下,保持沉默几乎成了一种协助犯罪行为。因此尽管CSO们对于分享信息采取“非暴力不合作”态度,我们仍然设法通过一些内幕会议及采访活动收集到一部分资料,借以了解安全专家原先是如何帮助这些受害企业构建防御机制的。通过这样的方式,我们为各位读者朋友总结出以下应对DDoS攻击的诀窍。
为实时防御调整做好准备
“这些攻击不仅指向多个目标,其具体战术也在实时进行改变,”Arbor网络美国公司解决方案架构师GarySockrider表示。攻击者们会观察站点的响应情况,并在站点重新上线之后立即组织新的攻击方式。
“他们绝不会半途而废,尝试不同端口、不同协议或者从新的源头实施攻击,总之他们不达目的誓不罢休。战术总是处于变化之中,”他指出。“企业用户必须理解对手的这种快速灵活特性,并为之做好准备。”
不要仅仅依靠内部防御机制
在与所有采访对象的交流中,我们发现传统的内部安全体系——防火墙、入侵防御系统以及负载均衡机制——都无法阻止攻击活动。
“我们亲眼见证这些设备在攻击面前被一一摧毁。得到的教训非常简单:只有在攻击真正抵达这些设备前就加以扼制,我们才能真正缓和DDoS危机。安全设备同样存在漏洞,其漏洞之多与我们想要保护的服务器本身并无二致,”Sockrider解释称。为了实现更理想的防御效果,我们必须依赖上游网络运营商或托管安全服务供应商们的支持,他们的协助能将攻击活动阻隔在网络体系之外。
当面对大规模攻击时,从上游开始抵御攻击就显得更加重要。
“如果我们的互联网连接只能承载10GB数据传输量,而攻击活动却带来100GB传输量,那么希望将其降低至10GB的任何努力都将是徒劳的,因为上游导入的信息总量已经注定了服务崩溃的悲惨命运,”Sockrider总结道。
在内部扑灭应用程序层攻击
指向特定应用程序的攻击活动一般比较隐蔽,规模较小而且更有针对性。
“这类攻击着力改进自身隐蔽性,因此我们需要在内部或者数据中心体系中实施保护,这样才能实现深度包检测并掌握应用程序层中的全部情况。这是缓解这类攻击的最佳方式,”Sockrider告诉我们。
协作
银行业已经在遭遇攻击时采取了一定程度的协作机制。他们所披露的一切信息都会受到严格保护,并只与内部同行进行分享。这种结合了限制机制的协作途径让银行业在安全协作方面的表现优于大多数其它行业。
“他们与其它银行同仁及电信供应商开展交流,而且直接与服务供应商展开合作。当然,他们别无选择,因为单凭自己的力量根本无法在严酷的安全世界中生存下来,”Price指出。
他们还向金融服务信息共享及分析中心寻求技术支持,并与其分享自己的安全威胁信息。
“在这类信息交流会议上,有一些大型银行采取非常开放的沟通态度,积极与他人分享自身所遭遇的安全威胁以及切实有效的处理方案。通过这种方式,大型银行至少打开了沟通渠道,”Akamai技术公司金融服务部门首席战略专家RichBolstridge评价称。
金融行业的战略视角可以也应该被广泛推广到各行各业当中。
提前准备应急预案
企业必须努力预测应用程序及网络服务可能面临的安全威胁,并通过制定安全应急预案来缓解这些攻击所造成的后果。
“企业应该将注意力集中在攻击本身,并提前制定规划以部署响应流程。他们还可以汇总内部攻击信息并将其提供给供应商,从而形成同仇敌忾的攻击对抗联盟,”Tsantes建议道。
IBM公司的Price对此也表示赞同。
“企业需要组织起更理想的响应措施。他们需要将内部应用程序团队与网络团队进行整合,帮助技术人员了解攻击活动出现时应如何做出响应,这样才不至于由于慌乱而导致坐以待毙的状况。由于攻击者们越来越狡猾,金融机构也要快速成长才能跟上形势,”她进一步解释道。
目前,许多大型金融机构已经开始着手强化DDoS防御体系,但观察家们担心攻击者会将攻击目标转移到规模较小的银行、信用社甚至其它行业身上。
“多轮攻击活动的肆虐已经引起了某些地区银行管理层的高度重视,他们开始积极帮助企业做好应对准备,这也算是恶意事故的正面影响,”大西洋中部地区某家银行的IT安全官评论称。
“而受到大型机构的启发,很多规模较小的银行也开始着手筹备,因为他们已经意识到自己同样可能成为攻击活动的下一个目标,并由于担忧而激发出强大的主观能动性,”Bolstridge指出。
Pirce则解释称,这意味着大多数企业都将更多依赖于服务供应商与管理安全服务供应商所提供的支持。
“他们需要对自家系统做出弹性评估,并确保其服务供应商已经准备好应对潜在攻击并能为其提供足够的保护,”她总结称。
当心次要攻击
由于攻击活动的组织成本不断提高,某些恶意侵袭甚至有可能成为规模更大、手段更凶猛的安全威胁的掩护活动。
“DDoS攻击还可能充当一种障眼法,旨在为其它更为险恶的攻击提供掩护。银行一定得明白,他们不仅需要监测并防御DDoS攻击,同时也必须时刻当心尝试窃取账户或其它敏感信息的次要攻击——虽然名为‘次要’,但这才是犯罪分子的真正目的,”Price表示。
非银行业也需要警惕
虽然目前大部分攻击活动都集中在金融领域,但专家们提醒称其它行业同样有可能受到波及。
“我们不希望看到这种级别的攻击出现在医疗保健等其它行业,因为这些行业由于缺乏成为攻击目标的心态而很少配备充分的保护措施,”Bolstridge提醒道。“希望大家能将此视为安全警钟,并以适当方式评估自身面临的风险。”
而信息共享正是攻击活动中的重要环节。
“攻击者们彼此之间当然也会共享信息。事实上,只有第一位攻击者才是真正的技术天才,其他人则只能称为跟风而上的受益者,”他总结道。
坏家伙们的行事方式也应当成为好人们的行为准则。信息共享、携手合作,这才是对抗恶意活动的绝佳方式。