最近《纽约时报》报道了反垃圾邮件组织Spamhaus如何深受史上最大型DDoS攻击之害。很少有人会忘记那次针对全球金融机构JP Morgan Chase,Wells Fargo,美国银行和美国运通等的定向攻击,这次攻击让这些公司的业务瘫痪了数小时,造成的损失达数百万美金。
这还没算上其他数以千计没登上新闻头版的DDoS攻击。简而言之,没有人可以置身事外。借助新式的复杂的攻击工具,DDoS威胁变得比以往更为强大。
除了变强和衍生更快以外,DDoS现在也变得越来越智能。许多当代应用层攻击都不是想发起大规模的攻击,而是想从根本的应用逻辑层处进行秘密定向攻击。和旧的DDoS攻击不同,许多新的DDoS攻击都侧重某些特定威胁向量和目标。一旦破坏成功,威胁就会绕开安全基础架构。
从某种程度而言,每个组织都将被迫投资某种形式的DDoS防护或是可能破坏其系统,中断其业务的威胁。而当一个组织向市场寻求专业的DDoS安全方案时该作何选择呢?
首先,是可视性。你无法为看不到的东西提供保护。在采取任何措施之前,用户需要一个整体方案,此方案要让用户看清所处的IT环境,还要授予IT管理人员完整的控制权。
合适的方案不仅要可以识别攻击,还要能够锁定攻击,并分析DDoS恶意软件。为了达到这个目的,方案就得包含一种指示威胁自然属性和严重程度的通知和警告机制,并为IT管理人员提供缓解措施。
一旦检测到威胁,安全管理人员要对其进行拦截并进行根除。合适的方案还应该包含消除威胁的技术,以解决APT,蠕虫,DDoS,僵尸网络以及内向或外向型攻击。
一份全面的DDoS方案还应该包含报告工具和日志及关联机制。这些信息可以让IT管理人员对威胁的全貌以及组织的安全态势有更清晰的了解,这样才能分析复杂的恶意软件。而且,由于缺乏严格的服从条款,所以就更需要报告功能满足审计员的需求,并避免因违规导致的罚款。
强大的攻击需要更强大的防御方案。用户需要一个具备足够带宽的DDoS安全方案,防止攻击者控制网络。这样的方案还应该结合带宽管理特性,使方案供应商和IT管理人员可以贯彻政策,并根据用户,集团,时间和其他标准调节预定义的带宽。
几乎每个企业都面临着云,虚拟化和内部部署基础设施的复杂性。为了解决复杂的多平台环境,如果一个DDoS方案不具备隔离和虚拟化网络流量的能力,就不能称之为完整。因为隔离网络流量并将之虚拟化的性能可以让安管人员对多租户环境的不同部分使用不同的策略。
组合成多层级方法的各种工具可以紧紧咬住隐秘的DDoS攻击。虽然在复杂的新式DDoS恶意软件面前,没有哪种方案是百分百安全,但是其保护作用的防护层会降低用户受损的几率。
原文地址:http://security.networksasia.net/content/multi-layered-approach-combating-ddos-attacks
