施耐德

台灣大哥大多層次協防 助企業甩脫DDoS恐懼

  • 魏于寧
台灣大哥大與Arbor Networks攜手建置電信級多層次DDoS防禦服務。

對於許多企業主而言,今年(2017)可謂充滿挑戰的一年,除了在業務拓展上,得應付全球經濟滿天飛舞的黑天鵝,還得提防駭客扯後腿,造成營運服務中斷。

尤其才開春之際,驚爆多家券商集體遭到分散式阻斷服務(DDoS)攻擊勒索,之後甚至部份國小相繼落難,同樣慘遭勒索,這些壞兆頭,更讓許多企業機構如坐針氈,只因從近年來DDoS攻擊發展態勢來看,已趨近「全民皆兵」意味,各行各業皆可能淪為苦主。

 點擊圖片放大觀看

Arbor Networks台灣區總經理 金大剛。

台灣大哥大企業用戶事業群副總劉建倫。

台灣大哥大多層次DDoS防禦服務。

為何企業機構視DDoS為洪水猛獸?因為它實在太難對付,可偽裝成合法流量,不帶有任何已知惡意軟體行為的特徵代碼,所以不會被防火牆或入侵防禦系統(IPS)等傳統邊界安全設備攔阻。

但更可怕是,DDoS攻擊型式愈來愈多樣化,光是基本款,即已包括屬於L3/4層次的洪水式DDoS,以及屬於L7層次的狀態耗盡式DDoS或應用層DDoS,其間有粗魯暴力型攻擊,也不乏細膩型攻擊,迫使防守方必須具備多次檢測與緩解能力,才可能遏阻其攻勢,但持平而論,要建立這般防衛機制,實在不是簡單任務。

面對如此難纏的資安威脅,單憑企業一己之力,確實防不勝防。有鑑於此,台灣大哥大在去年10月27日,正式宣布與全球DDoS防禦服務之領導廠商Arbor Networks攜手合作,推出電信級「多層次DDoS防禦」服務。

強調包括核心端、邊界端的Anti-DDoS防禦設備,通通架設在台灣大哥大的骨幹網路,意即不管是「自來水廠」或「家用淨水器」皆由台灣大哥大提供7x24 Always-on監控維運,因此企業一旦採用此服務,毋需自行斥資添購防禦設備、配置專業團隊,即可輕鬆建立L3∼7所有類型DDoS攻擊的防護實力,確保進入家門的網路流量,皆是純淨無瑕。

提供純淨網路服務  是電信商的責任

台灣大哥大企業產品暨營運管理處、企業整合業務暨服務處副總經理劉建倫表示,回顧早期,DDoS攻擊的受難者,多侷限於遊戲網站、線上賭博等族群,且攻擊流量大抵落在300 Mbps以下,直到兩多年前,因為反綱課事件,引發知名駭客團體「匿名者」(Anonymous)表態聲援抗議群眾,於是針對政府、政黨、教育及金融等單位發動攻擊,其間曾爆發高達TB級的攻擊流量,自此該公司意識到,DDoS的威脅性與殺傷力,真的與從前大不相同,萬萬不可掉以輕心。

劉建倫接著說,當時台灣大哥大即研判,展望未來,DDoS必然變得益發兇猛劇烈,不僅流量大,而且除了暴力攻擊外,亦將夾雜意圖攻陷應用層、或耗盡受害單位關鍵資源的L7攻擊手法,導致型態更加詭譎多變。

除此之外,牽扯範圍也愈來愈廣,幾乎各行各業都可能慘遭荼毒;因此今後DDoS所帶來的風險,必然隨著時間推移,如雪球般愈滾愈大,成為不會回頭的趨勢。

爾後金管會開始祭出規定,要求所有金融機構,都必須因應DDoS防護需求,確實建立監控、事故應變等必要機制,每年至少實施一次程序演練。

台灣大哥大開始認真思考,網路存取猶如民生必需品,每個行業日常開門做生意,都一定用得到,然而一旦接入網路,卻得面臨險惡威脅,面對此一態勢,身為上游的電信業者,實有必要挺身而出,設法在骨幹網路架設金鐘罩,盡力為用戶濾除惡意流量,提供純正潔淨的網路接取服務,此乃無可迴避的責任;在此情況下,台灣大哥大建立「DDoS防禦服務」機制的構思,就此正式萌芽,且緊鑼密鼓展開規劃。

設備等級反應能力  實現緊急應變聯防

針對DDoS防禦服務的設計,台灣大哥大有相當清楚的思維脈絡,務求一出手,就端出電信等級的銅牆鐵壁。只不過,要建造面面俱到的最高等級防護機制,有諸多難題亟待解決,因為按照電信業界慣性,一般僅會興建大型清洗服務中心,但此類服務僅能監控洪水式攻擊流量,卻無法識別L7等級的狀態耗盡或應用層攻擊流量,從最終用戶角度來看,這般防禦體系仍有破口。

因此劉建倫深信,要想有效抵禦DDoS,單憑上層流量清洗中心是不夠的,用戶端亦須部署如同家用濾水器般的防禦設備。但問題來了,不見得所有企業都有足夠的資源與專業技能,能夠維持這套設備之正常運作,況且在多數情況下,萬一攻擊來襲,當下往往需要倚靠用戶端防禦設備與上層流量清洗中心緊急串聯,形成聯防體系,才足以徹底斬斷駭客攻勢。

所以上下層防禦系統之間,一定要有暢通無礙的溝通管道,好讓用戶端的「求救訊息」,得以順利傳遞到流量清洗中心;然而在實務上,要想全面兼顧一、二層防禦,且保證緊急應變能力即時到位,確實需要煞費苦心。

幸運的是,幾經嚴謹審慎的評估,台灣大哥大看到了曙光,便是Arbor Networks,因為這家公司耕耘電信等級DDoS防禦市場,已有長達16年歷練,全球有超過9成的電信營運商,都使用其SP/TMS託管安全服務管理設備。

不僅如此,Arbor Networks也著眼於端點即時的DDoS防護需求,提供Availability Protection System(APS)設備,而更難能可貴的是,APS一旦遭逢諸如低頻寬攻擊、或消耗頻寬的洪泛性攻擊,為了防止最後一哩被塞爆,會主動發送雲信號(Cloud Signaling)通知TMS流量清洗服務進行即時協防,單憑設備等級的自動反應,完全不必仰賴人力溝通,就可確保用戶端服務的可用性與持續性,與台灣大哥大亟欲打造高效率緊急應變體系的初衷,可謂完全契合。

於是Arbor Networks雀屏中選,正式成為台灣大哥大「多層次DDoS防禦」服務的戰略合作夥伴;特別值得一提的,台灣大哥大為分擔用戶自行佈建維運Anti-DDoS防禦設備(APS)的沈重負荷,發揮創意巧思,決定將APS架設於骨幹網路、而非用戶端,等於是在自家管轄範圍內,協助用戶分憂解勞,一併負責設備佈建、維護與管理,務求L3∼7偌大範圍內的各種型態DDoS攻擊流量,都能全面監控、無所遁形。

主動告警通報  即時掌握攻擊狀態

Arbor Networks台灣區總經理金大剛盛讚,伴隨「多層次DDoS防禦」服務成形,對廣大的企業用戶,可謂最為有利的選項,因為面對各種類型的DDoS防護需求,舉凡監控、應變、管理乃至演練等服務,從頭到尾皆由台灣大哥大操刀,企業毋需再因為部署In-house設備而揹負維運重擔,更毋需費心更動現有網路架構,便可輕易獲取全面性DDoS防禦能量,尤其對於金融業用戶來說,更完全呼應了金管會三申五令的監控、應變、演練等相關規定。

金大剛說,除此之外,台灣大哥大「多層次DDoS防禦」服務另有一項關鍵特質,完全切中企業用戶的實際需要,即是提供友善直覺的Portal介面,方便用戶端網管人員隨時造訪,查看關於自身的DDoS攻防狀態,一旦確實遭受攻擊,不僅立即接獲通報,對於攻擊事件的起迄時間、IP來源、攻擊型態等細部資訊,亦能一覽無遺。

不僅如此,用戶亦可根據實際需求,利用Portal客製化調整主動告警的通報對象、分析報表的發送週期與頻率,並善用豐富統計分析結果及圖示化資訊,及早預見可能的威脅,作為防禦措施的補強依據。

劉建倫透露,某金融機構有鑑於DDoS防護已成為資安顯學,雖然自認為過去一直相安無事,但仍決定採用台灣大哥大「多層次DDoS防禦」服務;有一天網管人員透過分析報表,赫然發現該機構曾在某些時段遭受DDoS攻擊,只是在攻勢發動的瞬間,便被台灣大哥大的防禦機制清洗殆盡,以致絲毫未影響任何服務的正常運行,而最終使用者也完全無感,這才慶幸預先架設了保護傘,否則只要DDoS攻擊得逞,將會對於營運、商譽或客戶信賴度造成何等傷害,真的不敢想像。

DDoS防護成顯學  各大門派紛簇擁

但不可諱言,既然DDoS防護已成全民運動,甚至蔚為當今顯學,那麼在大勢所趨之下,自然也會有其他業者提供類似防禦服務;難免有用戶好奇,不論採用台灣大哥大或其他業者提供的服務,在實際的防禦成效上,將會出現何等差異?

綜觀各大DDoS防護門派,當然都有一定優勢,但也存在一些罩門,可能形成防禦缺口,而讓用戶渾然不覺。市場上有幾種不同的DDoS防禦方式,方式之一同樣是以流量清洗服務為基礎,但與台灣大哥大「多層次DDoS防禦」不同之處,在於一般業者多以Service On-Demand方案為主軸,而非Always-on模式。

所以用戶端的實際網路流量,平時並未流經業者的清洗設備,必須等到用戶求援,業者才會將當下可疑流量導向清洗設備,其間難免耗費一些學習過程,至少歷時30分鐘;常見的情況是,等到業者將清洗服務準備就緒之際,戰事卻結束了,原本告急的用戶無法適時遏止災厄,傷痛已然造成,顯見這類型防禦方式的應變能力,著實值得商榷。

方式之二是以網頁應用程式防火牆(WAF)為軸心,搭配WAF設備原廠提供的國際流量清洗中心,構築DDoS防禦服務體系;由於WAF並非專業電信等級Anti-DDoS,僅擅於抵禦網頁型態的應用攻擊,且有狀態表限制,對於狀態耗盡型DDoS的防範會相對吃力。

但更大問題在於,只要用戶遭遇大流量攻擊,必須藉由海纜導向海外進行過濾清洗,一來一回之間,必然造成網路延遲(Latency)效應,就算僅是行經看似不遠的香港,Latency都可能達到100∼200個毫秒(ms),唯恐導致某些敏感的通訊協定為之中斷,連帶對用戶端的部份營運服務產生衝擊。

至於方式之三,則是多數企業不陌生的「內容傳遞網路(CDN)」,其擅長以轉進方式閃避DDoS侵襲,但一來僅適用於保護靜態網頁,對於諸如金融交易等需要與後台即時連線撮合的動態網頁,其實不太適用。

二來CDN業者僅能協助保護HTTP或HTTPS等有限服務,至於其他應用型態則愛莫能助;再者更嚴重的是,目前愈來愈多駭客偏好鎖定目標對象的真實IP,直接發動攻擊,並非憑藉DNS,只要出現此一狀況,以CDN為基礎的DDoS防護服務,便無用武之地。

L3∼7偵測防禦  全面抵禦DDoS攻勢

劉建倫表示,DDoS攻擊已趨近於國家安全層次,是一個足以影響經濟產值、甚至國計民生的大議題。任何單位一旦遭受DDoS攻擊,不論對於品牌、營收,都將造成重大傷害,且如果被攻擊得逞次數過多,也等於是自曝資安防禦短處,容易淪為駭客經常性攻擊對象,承受更大風險。

由此可見,企業組織為了避免辛苦累積的經營成果,驟然折損或斷送於駭客之手,確實需要對DDoS防禦有所警覺,而所有電信業者也應各展所長提出各種相關防護措施或服務,共同喚醒全台灣用戶的防衛意識。

至於台灣大哥大的「多層次DDoS防禦」服務,所欲凸顯的主要特色,其實很簡單明確,即包括:(一)「安全」:L3~7全面防護;(二)「效率」:7x24全時Always-on、自動即時監控與通報、客製化告警報表系統、即時掌握攻擊狀況;(三)「彈性」:電信骨幹佈建與管理,用戶不需投資設備及改變既有網路架構,終至達到快速無痛導入;(四)「信任」:攜手國內大廠Arbor Networks,聯袂打造電信等級最嚴謹管控之DDoS防禦服務。

劉建倫強調,台灣大哥大對於「多層次DDoS防禦」服務,寄予高度的期待與關注,展望今後,將持續投注資源,力求在既有的服務架構基礎上,打造更契合用戶防護需求的服務內容,包括更快的反應速度、更多的級數選擇,甚至是更多層次的防護設計,都是該公司積極評估與規劃方向。

更多關鍵字報導: Arbor Networks 台灣大哥大(TWM) DDoS