智能自動化DDoS防御

許多商業(yè)組織難以及時有效地檢測分布式拒絕服務(wù)（DDoS）攻擊，大部分組織每分鐘的停機成本可能超過500美元，這并不只是風險。DDoS越來越被用作更廣泛的攻擊活動的一部分，這些攻擊活動包括以竊取重要信息資產(chǎn)為目標的勒索軟件和下載型惡意軟件。

Neustar對全球1000多位總監(jiān)、經(jīng)理、首席信息安全官、首席安全官、首席技術(shù)官進行了一項獨立調(diào)查，超過一半（51%）的受訪者表示他們的組織需要三個多小時才能檢測和識別一次DDoS攻擊。自2016年以來，這些數(shù)字變得越發(fā)嚴重。接近一半48%）的受訪者表示，檢測到DDoS攻擊后他們需要三個多小時進行響應(yīng)，較2016年增加了8%。

DDoS攻擊規(guī)模日漸擴大且更加復(fù)雜

DDoS攻擊的規(guī)模和頻率發(fā)生了巨大變化，更重要的是，攻擊變得越來越復(fù)雜，持續(xù)時間也發(fā)生了變化。例如，根據(jù)NETSCOUT Arbor的第13次年度《全球基礎(chǔ)設(shè)施安全報告》，2017年，DDoS攻擊的平均持續(xù)時間為46分鐘左右，較前一年的55分鐘有所降低，但持續(xù)時間縮短并不等于風險降低，因為攻擊產(chǎn)生的影響會延續(xù)更長時間。例如，一個前端網(wǎng)站遭到了DDoS攻擊，依靠它進行通信的多個后端系統(tǒng)可能會用30多分鐘進行同步并恢復(fù)正常。而且與惡意軟件在組織內(nèi)部一次潛伏好幾個月不同，DDoS攻擊在攻擊前沒有警告，對組織產(chǎn)生的是直接影響。

對于DDoS攻擊越來越高的復(fù)雜性，從利用物聯(lián)網(wǎng)（IoT）的多層僵尸網(wǎng)絡(luò)的出現(xiàn)便可窺見一斑。連接到互聯(lián)網(wǎng)的數(shù)百萬不安全設(shè)備為大規(guī)模的動態(tài)僵尸網(wǎng)絡(luò)創(chuàng)造了絕佳的“繁殖環(huán)境“，這讓傳統(tǒng)的防護策略難以招架。據(jù)估計，僅Mirai一種僵尸網(wǎng)絡(luò)就危害了全球50多萬臺IoT設(shè)備。

僵尸網(wǎng)絡(luò)不僅能發(fā)起大容量攻擊，而且會形成更為復(fù)雜的混合攻擊，包括：SYN洪水攻擊、UDP 洪水攻擊、閥蒸汽機（VSE）查詢洪水攻擊、GRE洪水攻擊、CK洪水攻擊（包括旨在破壞智能DDoS緩解系統(tǒng)的變體，或 IDMSes）、偽隨機 DNS標簽內(nèi)容添加攻擊（也稱為DNS“水刑”攻擊）、HTTP GET攻擊、HTTP POST攻擊、HTTP HEAD攻擊。

這些攻擊技術(shù)遠遠超過直白的容量耗盡攻擊，Mirai及其衍生攻擊可以同時對以下目標發(fā)起攻擊：GRE隧道（在一些DDoS緩解架構(gòu)中用于清洗流量）、可能受到攻擊的第三方向量（如DNS服務(wù)）、直接通過第7層（HTTP GET/POST）實施的應(yīng)用。

智能自動化防護

“自動”和智能自動化是兩個不同的概念，如今的DDoS防護最佳做法需要智能自動化的本地和云端緩解策略。本地組件（置于防火墻和WAF等靜態(tài)設(shè)備之前）非常適合快速緩解大部分攻擊，尤其是難以檢測的應(yīng)用層攻擊。云端DDoS防護能夠在真正的上行容量耗盡攻擊滲透您的互聯(lián)網(wǎng)連接之前將其緩解。

混合DDoS防護部署將本地組件與云端緩解策略結(jié)合起來，為應(yīng)對如今的混合DDoS攻擊提供最全面的防護措施。從下面的例子可以看到智能自動化的意義所在。經(jīng)過自定義的本地DDoS解決方案可以為在特定數(shù)據(jù)中心運行的特定應(yīng)用提供保護。自定義的內(nèi)容包括具有特定白名單/黑名單的策略、地理定位信息等。在攻擊發(fā)生之前，或者說在和平時期，這些位于本地的自定義策略被持續(xù)發(fā)送到云端DDoS防護服務(wù)。

當本地防護無法應(yīng)對發(fā)生的攻擊時，云端DDoS防護會收到信號，此時，攻擊流量被自動重路由到適當?shù)脑贫饲逑粗行?，在這里，之前發(fā)送的自定義防護策略和其他措施自動應(yīng)用到攻擊流量。這就是智能自動化的一個例子，攻擊流量分流更加智能，并利用之前發(fā)送的自定義策略進行自動緩解。

可行的自動化威脅情報和利用自動化流程（如果可能）對快速檢測和緩解今天日益復(fù)雜的混合DDoS攻擊至關(guān)重要。企業(yè)只有通過更深入地了解攻擊的范圍和內(nèi)在作用機理，才能實現(xiàn)快速、高效的DDoS防護。

真正可行的威脅情報

真正可行的威脅情報具有以下特點：持續(xù)提供企業(yè)之外的真實網(wǎng)絡(luò)流量和威脅數(shù)據(jù)，流量樣本越大，數(shù)據(jù)越有效；根據(jù)環(huán)境對以上源數(shù)據(jù)進行優(yōu)化處理：在數(shù)據(jù)點和相關(guān)的攻擊活動和具體威脅之間建立對應(yīng)關(guān)系；高度可信，產(chǎn)生誤報的情報不是真正的情報。

通過考察多種來源的網(wǎng)絡(luò)攻擊數(shù)據(jù)，集中分析持續(xù)性惡意軟件的特征，真正可行的情報不僅識別單個威脅點，而且識別與攻擊活動相關(guān)的數(shù)據(jù)。結(jié)合根本的命令和控制基礎(chǔ)架構(gòu)、歷史記錄以及相關(guān)的策略、技術(shù)和程序（TTP）等更廣泛的環(huán)境，數(shù)據(jù)變得更加可靠。

這種可靠情報對實現(xiàn)更高自動化、更高速度的DDoS檢測和有效防護至關(guān)重要。無論攻擊的規(guī)模有多大，基于最新可行威脅情報的自動化識別都可以發(fā)揮作用，不需要等到威脅達到容量上限再啟動緩解措施。您可以識別多種類型的DDoS攻擊，包括“低頻、慢速”的應(yīng)用層攻擊。自動檢測特定類別的僵尸網(wǎng)絡(luò)可以阻止它們危害網(wǎng)絡(luò)，同時讓其他安全設(shè)備能夠發(fā)揮自身的作用。

許多DDoS防護措施可以實現(xiàn)自動化，例如阻止以帶寬、應(yīng)用和協(xié)議為目標的特定類型的攻擊。自動化可以根據(jù)風險狀況和可信度提供多級防護，與安全服務(wù)提供商或ISP溝通威脅檢測和識別情況也可以實現(xiàn)自動化，從而提高上行DDoS緩解工作的速度和效率。

通過結(jié)合使用可行情報和智能自動化流程，您可以更好地管理如今的大容量攻擊。自動化還能夠讓您更高效地部署安全資源，并將這些資源集中用于威脅分類：更快檢測、識別和阻止真正威脅。例如，利用基于環(huán)境的可靠威脅情報（如IP信譽數(shù)據(jù)、當前的活躍惡意軟件和TTP）自動預(yù)先填充SOC調(diào)查可以加快DDoS和其他攻擊的威脅管理速度，并提高管理效率。