上圖中灰色部分表示帶寬——數(shù)字越大意味著被攻擊企業(yè)在互聯(lián)網的出入口位置受到的壓力越大;藍色部分表示吞吐量���、即報文數(shù)量——數(shù)字越大意味著網絡設備的處理能力面臨更大壓力。由圖可見��,過去十年間“灰藍”兩項指標基本呈指數(shù)型增長���,增長了約二十倍,而去年兩項指標又再次被刷新�����。具體而言,2020年6月的第一周���,Akamai應對了迄今見到的最大規(guī)模帶寬的DDoS攻擊(灰色)。其針對的是一家互聯(lián)網主機提供商����,主要攻擊對象共有五個IP地址,使用了ACK Flood����、CLDAP反射、NTP Flood等九種不同的攻擊向量和多種僵尸網絡攻擊工具����。這起攻擊流量來源于全球�����,持續(xù)了近兩個小時,最終峰值達到1.44 Tbps和385 Mpps���,其中超過1 Tbps的帶寬就超過了一個小時����。而上一次Akamai觀察到如此大帶寬的DDoS攻擊還是在2018年���,當時的攻擊帶寬僅為1.3 Tbps[1]�。由這起攻擊事件可見�,攻擊者為了達到目的,非常重視DDoS攻擊技術的開發(fā)與變化��。事實上��,多向量DDoS攻擊在去年非常普遍���,Akamai平臺緩解的攻擊中約有33%起攻擊包含三個或更多攻擊向量��,最高者為14個不同向量���。
另一起破吞吐量紀錄的DDoS攻擊(藍色)發(fā)生在去年6月,目標為一家歐洲大型銀行。Akamai觀察到�,其帶寬在幾秒鐘內從正常流量水平激增至418 Gbps,隨后在約兩分鐘內達到809 Mpps的吞吐量峰值�。整起攻擊雖持續(xù)不到十分鐘,但獨特之處在于Akamai觀察到的數(shù)據(jù)包源IP地址數(shù)量大幅增加��,這意味著在攻擊期間����,攻擊者向該銀行目的地注冊的源IP數(shù)量大幅增加,表明攻擊來源高度分布����。Akamai觀察到的每分鐘源IP數(shù)量是通常觀察到的客戶目的地址的600倍以上。以上述兩起破紀錄的DDoS攻擊為代表的去年數(shù)起攻擊反映出�����,雖然某些攻擊未得逞����,但攻擊者愿意花費的成本與代價十分巨大,企業(yè)若沒有富有經驗的技術����、人員和流程,將難以應變���,最終被擊垮���。
以勒索為威脅訴求,存在魚目混珠情況
從2020年8月開始��,Akamai的部分客戶陸續(xù)收到幾個攻擊組織發(fā)來的DDoS攻擊勒索信�。信中措辭與此前已公開的勒索內容并無二致:勒索信警告若對外曝光勒索要求,則立即發(fā)起攻擊����,攻擊不但會破壞基礎設施,還將造成聲譽等更大影響�。可見勒索者精心策劃過信件內容�,希望達到“不戰(zhàn)而屈人之兵”的效果。一些勒索信注明了身份�����,如主要針對金融機構進行勒索的Fancy Bear(APT 28)和Armada Collective分別要求支付10個比特幣(時價為12萬美元)和20個比特幣(約合24萬美元)����,若超過付款期限��,還會增加勒索要求�����。還有一些勒索信指明了攻擊目標并威脅發(fā)起一次小的“測試”攻擊來證明情況的嚴重性以及攻擊決心����。
圖二�、Akamai使用信號識別山寨勒索
Akamai平臺曾觀察到一個受勒索的客戶遭到了50 Gbps的攻擊,但經過分析����,該勒索攻擊者并非信中聲稱的組織,而是利用知名攻擊組織的名聲來恐嚇企業(yè)加緊付款����。而這樣的渾水摸魚勒索在去年的勒索型DDoS攻擊中更是屢見不鮮。上圖運用了Akamai平臺的數(shù)據(jù)和專家的經驗��,將勒索DDoS攻擊中的向量�����、所利用的漏洞等技術特征�,即“攻擊信號”進行提取,然后把該攻擊是否在平臺上出現(xiàn)過來鑒別已知和未知威脅,最終Akamai發(fā)現(xiàn)去年的勒索型DDoS攻擊并不都是信中宣稱的那些組織發(fā)起的�,雖然很多人宣稱自己是某一黑客組織�,但他們所使用的安全信號完全不同��,有些攻擊甚至被Akamai平臺自動攔截了��。從Akamai的數(shù)據(jù)來看,真正由信中宣稱的組織發(fā)起的勒索型DDoS攻擊在所有攻擊中只占約10%����;從另一個角度來說,并不是每一起去年發(fā)生的DDoS攻擊都會告知勒索需求�。
有組織全行業(yè)掃蕩��,勒索難以獨善其身
總體而言����,Akamai在去年發(fā)現(xiàn)北美�����、亞太���、歐洲��、中東和非洲的企業(yè)收到的勒索信日益增加��。金融服務業(yè)起初是受威脅最大的行業(yè),但隨后的勒索信又將目標對準了其他行業(yè)���,波及電商�����、社交媒體����、制造��、酒店和旅游等各行各業(yè)。勒索組織進行全行業(yè)掃描�,從最有利可圖的行業(yè)入手�,勒索完一個便調轉槍口對準另一個行業(yè)����。
圖三���、Akamai統(tǒng)計的各行業(yè)遭受的DDoS攻擊情況
而攻擊最終發(fā)起的情況也反映出沒有行業(yè)能夠幸免。由上圖可見��,去年8月前�,DDoS攻擊主要針對游戲業(yè)。但從8月開始���,攻擊突然轉向金融業(yè)��,隨后又擴散至多個行業(yè)��。由于疫情期間在線學習的需要��,教育業(yè)在去年成為了DDoS攻擊重災區(qū)����,DDoS攻擊會使學生無課可上,產生非常糟糕的后果�。
五大舉措應對“新時代”的勒索型DDoS攻擊
去年很多遭到攻擊的大型企業(yè)表示勒索信被系統(tǒng)當成垃圾郵件過濾了����,因此沒有收到勒索郵件的企業(yè)并不代表能夠獨善其身。而中小型企業(yè)往往在勒索的成本與付出的安全投資之間舉棋不定?����?梢源_定的是���,勒索型DDoS攻擊會長期存在����,攻擊者正在改變和更新其攻擊手段�����,不斷躲避網絡安全從業(yè)者和執(zhí)法機構��。那么面對“新常態(tài)”下的網絡環(huán)境,企業(yè)該如何應對DDoS攻擊呢?
首先���,面對DDoS攻擊�����,企業(yè)機構決不能妥協(xié)�����,不能助紂為虐���。按照攻擊者的要求支付贖金既無法保證攻擊者停止攻擊���,也不能確保未來不再受到其他攻擊威脅����。
其次,企業(yè)機構可以向有經驗的組織尋求幫助���,借力專家����,尋求適當?shù)燃壍淖稍兣c安防建議以及應對突發(fā)情況的緊急服務�����。企業(yè)機構可以以情報研判��、實戰(zhàn)經驗��、緩解能力和緩解容量四個方面作為評估標準����,尋找合適的合作伙伴。
第三����,DDoS攻擊在發(fā)生的那一刻�����,可能就已經造成了數(shù)萬美金的財務損失,所以��,企業(yè)機構應該隨時準備迎戰(zhàn)�,結合合適的防護方案與安全合作伙伴,主動緩解DDoS流量����,讓攻擊者難有可乘之機。
第四���,企業(yè)機構應該優(yōu)化自身安防流程和技術���,改善自身安全態(tài)勢,有針對性地設立防御層次���。根據(jù)自身業(yè)務形態(tài)與風險承受能力�,來確定應采用的安防形式�����,形成閉環(huán)�,不斷優(yōu)化���,從而更好地保護自身資產。
第五���,企業(yè)機構應該協(xié)調好技術�����、流程和人員的關系���,召集相關職能部門,確保準備充分�����,了解在發(fā)生攻擊時各自應采取何種措施�����。企業(yè)機構可以定期執(zhí)行桌面演練�����,以確保適當?shù)娜藛T�、流程和技術都準備就緒,讓投資的技術���、工具都能落到實處���,使價值最大化。
2020實“鼠”不易����,DDoS攻擊帶來的威脅從未像現(xiàn)在這樣嚴峻。企業(yè)機構只有做到以上五點��,通過“人員+流程+技術”結合的方式�,建立應對DDoS攻擊的全方位安防網,才能有條不紊地應對水平不斷上升的DDoS攻擊�,打好DDoS反擊戰(zhàn),在2021“?��!鞭D乾坤����。
馬俊
