台灣大哥大多層次協防 助企業甩脫DDoS恐懼

台灣大哥大與Arbor Networks攜手建置電信級多層次DDoS防禦服務。

對於許多企業主而言，今年(2017)可謂充滿挑戰的一年，除了在業務拓展上，得應付全球經濟滿天飛舞的黑天鵝，還得提防駭客扯後腿，造成營運服務中斷。

尤其才開春之際，驚爆多家券商集體遭到分散式阻斷服務(DDoS)攻擊勒索，之後甚至部份國小相繼落難，同樣慘遭勒索，這些壞兆頭，更讓許多企業機構如坐針氈，只因從近年來DDoS攻擊發展態勢來看，已趨近「全民皆兵」意味，各行各業皆可能淪為苦主。

為何企業機構視DDoS為洪水猛獸？因為它實在太難對付，可偽裝成合法流量，不帶有任何已知惡意軟體行為的特徵代碼，所以不會被防火牆或入侵防禦系統(IPS)等傳統邊界安全設備攔阻。

但更可怕是，DDoS攻擊型式愈來愈多樣化，光是基本款，即已包括屬於L3/4層次的洪水式DDoS，以及屬於L7層次的狀態耗盡式DDoS或應用層DDoS，其間有粗魯暴力型攻擊，也不乏細膩型攻擊，迫使防守方必須具備多次檢測與緩解能力，才可能遏阻其攻勢，但持平而論，要建立這般防衛機制，實在不是簡單任務。

面對如此難纏的資安威脅，單憑企業一己之力，確實防不勝防。有鑑於此，台灣大哥大在去年10月27日，正式宣布與全球DDoS防禦服務之領導廠商Arbor Networks攜手合作，推出電信級「多層次DDoS防禦」服務。

強調包括核心端、邊界端的Anti-DDoS防禦設備，通通架設在台灣大哥大的骨幹網路，意即不管是「自來水廠」或「家用淨水器」皆由台灣大哥大提供7x24 Always-on監控維運，因此企業一旦採用此服務，毋需自行斥資添購防禦設備、配置專業團隊，即可輕鬆建立L3？7所有類型DDoS攻擊的防護實力，確保進入家門的網路流量，皆是純淨無瑕。

提供純淨網路服務  是電信商的責任

台灣大哥大企業產品暨營運管理處、企業整合業務暨服務處副總經理劉建倫表示，回顧早期，DDoS攻擊的受難者，多侷限於遊戲網站、線上賭博等族群，且攻擊流量大抵落在300 Mbps以下，直到兩多年前，因為反綱課事件，引發知名駭客團體「匿名者」(Anonymous)表態聲援抗議群眾，於是針對政府、政黨、教育及金融等單位發動攻擊，其間曾爆發高達TB級的攻擊流量，自此該公司意識到，DDoS的威脅性與殺傷力，真的與從前大不相同，萬萬不可掉以輕心。

劉建倫接著說，當時台灣大哥大即研判，展望未來，DDoS必然變得益發兇猛劇烈，不僅流量大，而且除了暴力攻擊外，亦將夾雜意圖攻陷應用層、或耗盡受害單位關鍵資源的L7攻擊手法，導致型態更加詭譎多變。

除此之外，牽扯範圍也愈來愈廣，幾乎各行各業都可能慘遭荼毒；因此今後DDoS所帶來的風險，必然隨著時間推移，如雪球般愈滾愈大，成為不會回頭的趨勢。

爾後金管會開始祭出規定，要求所有金融機構，都必須因應DDoS防護需求，確實建立監控、事故應變等必要機制，每年至少實施一次程序演練。

台灣大哥大開始認真思考，網路存取猶如民生必需品，每個行業日常開門做生意，都一定用得到，然而一旦接入網路，卻得面臨險惡威脅，面對此一態勢，身為上游的電信業者，實有必要挺身而出，設法在骨幹網路架設金鐘罩，盡力為用戶濾除惡意流量，提供純正潔淨的網路接取服務，此乃無可迴避的責任；在此情況下，台灣大哥大建立「DDoS防禦服務」機制的構思，就此正式萌芽，且緊鑼密鼓展開規劃。

設備等級反應能力  實現緊急應變聯防

針對DDoS防禦服務的設計，台灣大哥大有相當清楚的思維脈絡，務求一出手，就端出電信等級的銅牆鐵壁。只不過，要建造面面俱到的最高等級防護機制，有諸多難題亟待解決，因為按照電信業界慣性，一般僅會興建大型清洗服務中心，但此類服務僅能監控洪水式攻擊流量，卻無法識別L7等級的狀態耗盡或應用層攻擊流量，從最終用戶角度來看，這般防禦體系仍有破口。

因此劉建倫深信，要想有效抵禦DDoS，單憑上層流量清洗中心是不夠的，用戶端亦須部署如同家用濾水器般的防禦設備。但問題來了，不見得所有企業都有足夠的資源與專業技能，能夠維持這套設備之正常運作，況且在多數情況下，萬一攻擊來襲，當下往往需要倚靠用戶端防禦設備與上層流量清洗中心緊急串聯，形成聯防體系，才足以徹底斬斷駭客攻勢。

所以上下層防禦系統之間，一定要有暢通無礙的溝通管道，好讓用戶端的「求救訊息」，得以順利傳遞到流量清洗中心；然而在實務上，要想全面兼顧一、二層防禦，且保證緊急應變能力即時到位，確實需要煞費苦心。

幸運的是，幾經嚴謹審慎的評估，台灣大哥大看到了曙光，便是Arbor Networks，因為這家公司耕耘電信等級DDoS防禦市場，已有長達16年歷練，全球有超過9成的電信營運商，都使用其SP/TMS託管安全服務管理設備。

不僅如此，Arbor Networks也著眼於端點即時的DDoS防護需求，提供Availability Protection System(APS)設備，而更難能可貴的是，APS一旦遭逢諸如低頻寬攻擊、或消耗頻寬的洪泛性攻擊，為了防止最後一哩被塞爆，會主動發送雲信號(Cloud Signaling)通知TMS流量清洗服務進行即時協防，單憑設備等級的自動反應，完全不必仰賴人力溝通，就可確保用戶端服務的可用性與持續性，與台灣大哥大亟欲打造高效率緊急應變體系的初衷，可謂完全契合。

於是Arbor Networks雀屏中選，正式成為台灣大哥大「多層次DDoS防禦」服務的戰略合作夥伴；特別值得一提的，台灣大哥大為分擔用戶自行佈建維運Anti-DDoS防禦設備(APS)的沈重負荷，發揮創意巧思，決定將APS架設於骨幹網路、而非用戶端，等於是在自家管轄範圍內，協助用戶分憂解勞，一併負責設備佈建、維護與管理，務求L3？7偌大範圍內的各種型態DDoS攻擊流量，都能全面監控、無所遁形。

主動告警通報  即時掌握攻擊狀態

Arbor Networks台灣區總經理金大剛盛讚，伴隨「多層次DDoS防禦」服務成形，對廣大的企業用戶，可謂最為有利的選項，因為面對各種類型的DDoS防護需求，舉凡監控、應變、管理乃至演練等服務，從頭到尾皆由台灣大哥大操刀，企業毋需再因為部署In-house設備而揹負維運重擔，更毋需費心更動現有網路架構，便可輕易獲取全面性DDoS防禦能量，尤其對於金融業用戶來說，更完全呼應了金管會三申五令的監控、應變、演練等相關規定。

金大剛說，除此之外，台灣大哥大「多層次DDoS防禦」服務另有一項關鍵特質，完全切中企業用戶的實際需要，即是提供友善直覺的Portal介面，方便用戶端網管人員隨時造訪，查看關於自身的DDoS攻防狀態，一旦確實遭受攻擊，不僅立即接獲通報，對於攻擊事件的起迄時間、IP來源、攻擊型態等細部資訊，亦能一覽無遺。

不僅如此，用戶亦可根據實際需求，利用Portal客製化調整主動告警的通報對象、分析報表的發送週期與頻率，並善用豐富統計分析結果及圖示化資訊，及早預見可能的威脅，作為防禦措施的補強依據。

劉建倫透露，某金融機構有鑑於DDoS防護已成為資安顯學，雖然自認為過去一直相安無事，但仍決定採用台灣大哥大「多層次DDoS防禦」服務；有一天網管人員透過分析報表，赫然發現該機構曾在某些時段遭受DDoS攻擊，只是在攻勢發動的瞬間，便被台灣大哥大的防禦機制清洗殆盡，以致絲毫未影響任何服務的正常運行，而最終使用者也完全無感，這才慶幸預先架設了保護傘，否則只要DDoS攻擊得逞，將會對於營運、商譽或客戶信賴度造成何等傷害，真的不敢想像。

DDoS防護成顯學  各大門派紛簇擁

但不可諱言，既然DDoS防護已成全民運動，甚至蔚為當今顯學，那麼在大勢所趨之下，自然也會有其他業者提供類似防禦服務；難免有用戶好奇，不論採用台灣大哥大或其他業者提供的服務，在實際的防禦成效上，將會出現何等差異？

綜觀各大DDoS防護門派，當然都有一定優勢，但也存在一些罩門，可能形成防禦缺口，而讓用戶渾然不覺。市場上有幾種不同的DDoS防禦方式，方式之一同樣是以流量清洗服務為基礎，但與台灣大哥大「多層次DDoS防禦」不同之處，在於一般業者多以Service On-Demand方案為主軸，而非Always-on模式。

所以用戶端的實際網路流量，平時並未流經業者的清洗設備，必須等到用戶求援，業者才會將當下可疑流量導向清洗設備，其間難免耗費一些學習過程，至少歷時30分鐘；常見的情況是，等到業者將清洗服務準備就緒之際，戰事卻結束了，原本告急的用戶無法適時遏止災厄，傷痛已然造成，顯見這類型防禦方式的應變能力，著實值得商榷。

方式之二是以網頁應用程式防火牆(WAF)為軸心，搭配WAF設備原廠提供的國際流量清洗中心，構築DDoS防禦服務體系；由於WAF並非專業電信等級Anti-DDoS，僅擅於抵禦網頁型態的應用攻擊，且有狀態表限制，對於狀態耗盡型DDoS的防範會相對吃力。

但更大問題在於，只要用戶遭遇大流量攻擊，必須藉由海纜導向海外進行過濾清洗，一來一回之間，必然造成網路延遲(Latency)效應，就算僅是行經看似不遠的香港，Latency都可能達到100？200個毫秒(ms)，唯恐導致某些敏感的通訊協定為之中斷，連帶對用戶端的部份營運服務產生衝擊。

至於方式之三，則是多數企業不陌生的「內容傳遞網路(CDN)」，其擅長以轉進方式閃避DDoS侵襲，但一來僅適用於保護靜態網頁，對於諸如金融交易等需要與後台即時連線撮合的動態網頁，其實不太適用。

二來CDN業者僅能協助保護HTTP或HTTPS等有限服務，至於其他應用型態則愛莫能助；再者更嚴重的是，目前愈來愈多駭客偏好鎖定目標對象的真實IP，直接發動攻擊，並非憑藉DNS，只要出現此一狀況，以CDN為基礎的DDoS防護服務，便無用武之地。

L3？7偵測防禦  全面抵禦DDoS攻勢

劉建倫表示，DDoS攻擊已趨近於國家安全層次，是一個足以影響經濟產值、甚至國計民生的大議題。任何單位一旦遭受DDoS攻擊，不論對於品牌、營收，都將造成重大傷害，且如果被攻擊得逞次數過多，也等於是自曝資安防禦短處，容易淪為駭客經常性攻擊對象，承受更大風險。

由此可見，企業組織為了避免辛苦累積的經營成果，驟然折損或斷送於駭客之手，確實需要對DDoS防禦有所警覺，而所有電信業者也應各展所長提出各種相關防護措施或服務，共同喚醒全台灣用戶的防衛意識。

至於台灣大哥大的「多層次DDoS防禦」服務，所欲凸顯的主要特色，其實很簡單明確，即包括：(一)「安全」：L3~7全面防護；(二)「效率」：7x24全時Always-on、自動即時監控與通報、客製化告警報表系統、即時掌握攻擊狀況；(三)「彈性」：電信骨幹佈建與管理，用戶不需投資設備及改變既有網路架構，終至達到快速無痛導入；(四)「信任」：攜手國內大廠Arbor Networks，聯袂打造電信等級最嚴謹管控之DDoS防禦服務。

劉建倫強調，台灣大哥大對於「多層次DDoS防禦」服務，寄予高度的期待與關注，展望今後，將持續投注資源，力求在既有的服務架構基礎上，打造更契合用戶防護需求的服務內容，包括更快的反應速度、更多的級數選擇，甚至是更多層次的防護設計，都是該公司積極評估與規劃方向。