第233期 / March 6, 2017

資安前哨站

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

阻斷服務攻擊因應之道─從券商集體遭駭客勒索事件談起

作者/阮建霖

[發表日期:2017/3/6]

券商遭勒索事件

今年二月初剛過完農曆新年,台灣就發生史上首次券商集體遭分散式阻斷服務攻擊的勒索事件,相當多家證券商收到勒索信件,威脅支付7至10元不等的比特幣 (以現在匯率折合約台幣20餘萬至30餘萬元),否則就會發動DDoS攻擊。並且券商確實陸續受到DDoS攻擊癱瘓下單網站,遭駭客攻擊的券商超過十家,攻擊流量主要落在800 Mbps至2 Gbps。

阻斷服務攻擊介紹

阻斷服務攻擊DoS (Distributed Denial of Service) 就是使目標電腦的網路或系統資源耗盡的行為,而分散式阻斷服務攻擊DDoS (Distributed Denial of Service) 專指多重來源發起攻擊,現在大部分的攻擊都屬於此種。DDoS攻擊會讓政府與企業受到嚴重的立即衝擊,服務停擺、聲譽受損。勒索式DDoS (Ransom DDoS) 國外前兩年已經是個議題,這回首次在台灣受到矚目。


《圖一》


攻擊者最常用的攻擊就是突發式攻擊,也就是打了就跑,這次券商事件就屬這種,此次事件雖然流量不高,但對於券商相對小的頻寬已經產生嚴重衝擊。另一方面,物聯網 (IoT) 被用於建立強大的殭屍網路這個趨勢值得注意,駭客也在尋求可以實行網路癱瘓式攻擊的新載體和方法,根據研究現有五大DDoS載體為:HTTP/s、DNS、TCP、UDP和通用路由封裝 (Generic Routing Encapsulation, GRE)。

因應解決方案說明與分析

就分散式阻斷服務攻擊而言,這一兩年算是多事之秋,國外遭遇了許多大規模的攻擊,並出現了很多挑戰現代防禦措施的攻擊方法,傳統的資安設備和作法已經無法防禦。在此簡介這方面專屬的解決方案:

一、國外雲端清洗服務

採用像CDN (Content delivery network) 業者的清洗機制,必須將流量導到國外清洗中心,因此需要更改架構、有資料傳送國外敏感性問題、而且產生嚴重延遲 (latency),不適合券商的要求屬性。

二、ISP清洗中心

客戶線路如果是特定ISP的,可以直接勾選服務;但是無SSL防護,導入防護區則需數十分鐘,也難以訂定個別IP設定防護規則。平時若無導入時無法學習正常流量行為以提高防護率,並不能防護來自非該電信業者線路之攻擊。

三、本地部署DDoS防禦系統

客戶端自建設備的優點很明顯,反應時間快,可以達到SSL流量防護,並真正達成DDoS完整防護。因此,下面將特別探討客戶本地部署的特色與優勢。

客戶本地部署的特色與優勢

DDoS攻擊可以具體分成兩種形式:「頻寬消耗型」以及「資源消耗型」。它們都是透過大量看似合法或偽造的請求 (Request) 占用大量網路以及設備資源,以達到癱瘓網路及系統之目的。國內資訊部門最主要評估的方案就是ISP清洗中心與客戶本地部署,簡單地說除了攻擊量遠超過出入口線路頻寬的攻擊狀態,ISP清洗中心必須負起解決的責任,其他大部分的攻擊型態,本地部署DDoS防禦系統有著許多管理上與技術上的好處,整理比較如下:


《圖二》


本地部署設備最為知名的為Radware DefensePro,為提供應用交付和攻擊緩解系統的全球領導廠牌,Radware作為那斯達克上市公司,每年均投入檢測數以百萬計的攻擊,以便更深入地了解攻擊載體現狀的趨勢和改變,其出色的產品表現,更吸引國內提供DDoS進階防護服務的大型ISP業者採用Radware DefensePro作為組成本身基礎建設及資安服務。思科(Cisco)資安設備FirePOWER高端產品型號具有DDoS功能,亦完全OEM採用Radware的DefensePro,Radware技術領先的地位不言可喻。而國內系統整合商中,凌群電腦則除了是台灣思科少數金質合作夥伴,更同時成為全台唯一榮獲Radware Top AMS Reseller的廠商,而國內最大的電信業者DDoS防護網亦由凌群參與協助建置,顯示凌群安全實力值得信賴。

結語

網路安全威脅無所不在,政府企業隨時可能成為駭客造訪目標。與大部分其他攻擊不同的是,DDoS攻擊並非資訊作業上的漏洞或被植入惡意程式。而網路攻擊一旦發生,通報主管機關與警察機關,往往首先被要求的就是提供系統日誌與網路原始封包,唯有透過網路封包側錄才能完整保留封包,日誌集中保存和網路封包的保留是目前組織與企業很容易忽略的領域,大大影響到後面的鑑識調查。

總之,「資訊安全」既已足以左右金融秩序與國家安全,特別是DDoS防禦必須本地部署,而日誌保存、SIEM (Security information and event management) 與封包側錄也是發生DDoS此類攻擊事件時,於IT維運上不可或缺的一環,國內證券業者需要更全面檢視DDoS防禦,否則類似攻擊事件還會重演,各企業組織亦需更嚴加重視此類攻擊勒索手法之防範。在資訊社會中,惟有持續地對資訊安全投入關注,其生存和發展才能得到保障。<作者目前任職凌群電腦資安產品經理>