352
技術社區[雲棲]
企業安全最佳實踐:多層級對抗DDoS攻擊
本文講的是 : 企業安全最佳實踐:多層級對抗DDoS攻擊 , 【IT168 編譯】最近《紐約時報》報道了反垃圾郵件組織Spamhaus如何深受史上最大型DDoS攻擊之害。很少有人會忘記那次針對全球金融機構JP Morgan Chase,Wells Fargo,美國銀行和美國運通等的定向攻擊,這次攻擊讓這些公司的業務癱瘓了數小時,造成的損失達數百萬美金。
這還沒算上其他數以千計沒登上新聞頭版的DDoS攻擊。簡而言之,沒有人可以置身事外。借助新式的複雜的攻擊工具,DDoS威脅變得比以往更為強大。
除了變強和衍生更快以外,DDoS現在也變得越來越智能。許多當代應用層攻擊都不是想發起大規模的攻擊,而是想從根本的應用邏輯層處進行秘密定向攻擊。和舊的DDoS攻擊不同,許多新的DDoS攻擊都側重某些特定威脅向量和目標。一旦破壞成功,威脅就會繞開安全基礎架構。
從某種程度而言,每個組織都將被迫投資某種形式的DDoS防護或是可能破壞其係統,中斷其業務的威脅。而當一個組織向市場尋求專業的DDoS安全方案時該作何選擇呢?
首先,是可視性。你無法為看不到的東西提供保護。在采取任何措施之前,用戶需要一個整體方案,此方案要讓用戶看清所處的IT環境,還要授予IT管理人員完整的控製權。
合適的方案不僅要可以識別攻擊,還要能夠鎖定攻擊,並分析DDoS惡意軟件。為了達到這個目的,方案就得包含一種指示威脅自然屬性和嚴重程度的通知和警告機製,並為IT管理人員提供緩解措施。
一旦檢測到威脅,安全管理人員要對其進行攔截並進行根除。合適的方案還應該包含消除威脅的技術,以解決APT,蠕蟲,DDoS,僵屍網絡以及內向或外向型攻擊。
一份全麵的DDoS方案還應該包含報告工具和日誌及關聯機製。這些信息可以讓IT管理人員對威脅的全貌以及組織的安全態勢有更清晰的了解,這樣才能分析複雜的惡意軟件。而且,由於缺乏嚴格的服從條款,所以就更需要報告功能滿足審計員的需求,並避免因違規導致的罰款。
強大的攻擊需要更強大的防禦方案。用戶需要一個具備足夠帶寬的DDoS安全方案,防止攻擊者控製網絡。這樣的方案還應該結合帶寬管理特性,使方案供應商和IT管理人員可以貫徹政策,並根據用戶,集團,時間和其他標準調節預定義的帶寬。
幾乎每個企業都麵臨著雲,虛擬化和內部部署基礎設施的複雜性。為了解決複雜的多平台環境,如果一個DDoS方案不具備隔離和虛擬化網絡流量的能力,就不能稱之為完整。因為隔離網絡流量並將之虛擬化的性能可以讓安管人員對多租戶環境的不同部分使用不同的策略。
組合成多層級方法的各種工具可以緊緊咬住隱秘的DDoS攻擊。雖然在複雜的新式DDoS惡意軟件麵前,沒有哪種方案是百分百安全,但是其保護作用的防護層會降低用戶受損的幾率。
vivian
最後更新:2017-10-18 16:03:29