專家提供強化防禦機制建議
香港 – Media OutReach Newswire – 2024年10月25日 – 剛發表的《行政長官2024年施政報告》重申,新擬定的《保障關鍵基礎設施 (電腦系統) 條例草案》將於今年 (2024年) 內提交立法會審議。近年網絡罪犯越見猖獗,這項採取「機構為本」原則的新條例, 正好推動本港企業重新審視自身的網絡防護及應急計畫能否應對AI (人工智能) 攻擊等新風險之餘,還能檢視是否忽略了如DDoS (分散式阻斷服務) 這類行之有年,但已經默默演變轉型的網絡威脅。
DDoS成勒索軟件幫兇
隨著企業越來越依賴網絡連線能力來驅動關鍵業務及應用程式,欠缺適當防護的基礎設施便成為DDoS攻擊的絕佳目標。黑客發動的龐大惡意流量可能導致網絡系統運作停擺,造成大規模服務中斷或效能下降。但另一個更令人擔憂的問題是,近期黑客進行DDoS攻勢的目的並不單純。香港網絡安全事故協調中心 (HKCERT) 早前針對亞太地區,特別是香港的勒索軟件情況進行分析,結果發現網絡罪犯的一種新手法是對勒索軟件受害者的基礎設施發動DDoS攻擊,以進一步施壓,迫使其支付贖金。雲端服務供應商Akamai亦指出,DDoS攻擊在全球日益成為黑客轉移網絡安全系統焦點及資源的有效煙幕,以掩飾他們真正的犯罪企圖。
影子API助新型DDoS冒起
Akamai 發現,透過 API (應用程式介面) 實施的專門針對 OSI 七層網絡架構中第七層 (應用層) 的 DDoS 攻擊數量急劇增加。主要原因相信是企業的網絡安全團隊對未經記錄的 API,即所謂的「影子 API」,並不知曉,因此一般不會加以保護,令黑客有機可乘。在亞太及日本地區,第七層 DDoS 攻擊次數在短短 18 個月內增加了五倍,期間的攻擊總數更達到了 5.1 萬億次!然而,許多企業的網絡防禦措施仍集中在第三層 (網絡層) 和第四層 (傳輸層) ,導致防範這類新興 DDoS 的效果有限。
現時,DDoS攻擊模式呈現兩極化的發展趨勢:一方面,黑客利用AI工具協調更複雜精密,更分散出擊的機械人/殭屍網絡攻勢;另一方面,雖然這種現象並非主流,但像NoName057這類新興黑客組織會利用Telegram等社交媒體招募志願者攻擊特定目標。這種「真人化」的攻擊涉及多樣的流量來源和使用者代理,讓受害機構更難以偵測和防禦。
由此可見,長期存在的DDoS攻擊,由相關的攻擊工具、系統漏洞、入侵手法、影響層面,以至最終目均已不同於以往。因此,企業要真正防範DDoS來襲,就必需整合能為第三層、第四層、第七層和DNS提供保護的網絡安全解決方案,落實深度防禦策略,而在評估DDoS攻擊時,需同時考慮攻擊頻率和攻擊量,才能針對性地制定防禦措施。
強化防禦機制建議
總括來說,WAF (Web應用程式防火牆) 和流量速率管控機制是企業應對DDoS攻擊必不可少的防禦基礎。此外,專家亦建議企業作如下長遠規劃:
- 將源伺服器設置在高DDoS耐受性的數據中心或網段,以防止受到牽連
- 為防止直接攻擊源伺服器,隱藏或混淆源伺服器的主機名稱和IP位址
- 引入CDN (內容交付網絡) 的故障轉移設定,並在源伺服器故障時通知用戶
- 利用Client Reputation檢視全球IP位址信譽等級
- 利用EdgeDNS防範DNS查詢型DDoS攻擊
- 以Bot Manager排除Bot的影響
- 運用托管式安全服務在SOCC (安全監控指揮中心) 緊急處理DDoS事故
這些措施有助於增強企業的防禦能力,降低DDoS攻擊帶來的風險。
無論企業屬於哪個行業或規模,企業與客戶、消費者、合作夥伴及員工等不同持份者保持互聯是保障業務的基礎。如果企業因受DDoS攻擊而令部分服務暫停甚至全面停擺,不僅會失去各方的信任,影響業績,還有可能導致監管處罰,因此企業必須認真看待DDoS安全問題,妥善保護關鍵基礎設施。
Akamai Technologies
Akamai 支援並保護網絡生活。全球各大優秀公司紛紛選擇 Akamai 來打造並提供安全的數碼體驗,為數十億人每天的生活、工作和娛樂提供助力。 Akamai Connected Cloud 是一種大規模分散式邊緣和雲端平台,可使應用程式和體驗更靠近用戶,幫助用戶遠離威脅。有關 Akamai 雲端運算、安全和內容交付解決方案的更多資訊,請瀏覽 akamai.com 和 akamai.com/blog。