中華電信資安防護服務 協助客戶有效阻絕DDoS侵襲 智慧應用 影音
西門子軟體
Event

中華電信資安防護服務 協助客戶有效阻絕DDoS侵襲

  • 陳毅斌台北

中華電信數據通信分公司副總工程師洪進福。
中華電信數據通信分公司副總工程師洪進福。

今(2017)年2月7日,堪稱台灣資訊安全史上特別的一天,駭客揚言對不支付比特幣贖金的券商發動DDoS攻擊。當天一早,中華電信董事長立即指示成立「網路資安緊急應變中心」,為多家證券業者提供緊急防護服務,並強化NOC/SOC監控,力求在第一時間協助券商排除攻擊,維持網路下單之正常運作。

此次事件,中華電信的防護機制發揮顯著功效,使風波快速平息。中華電信數據通信分公司副總工程師洪進福表示,其實不僅證券業,後續包括學校、高科技製造業,都曾遭遇類似攻擊勒索情事,意謂DDoS攻擊不僅流量攀升、頻率增加,波及的產業範圍也日益擴大,因此所有企業皆應建立資安風險意識,思考如何做好防護準備。

歷經10年淬煉  累積豐富應變經驗
持平而論,在電信業界,並不只有中華電信提供類似的資安防護服務,其他同業亦有耕耘,並積極向券商或其他金融機構招手,惟迄今仍有多達70家金融業者(含35家券商)委託中華電信提供DDoS防護服務,幾乎囊括市場上絕大多數的用戶。

洪進福解釋,金融交易速度至上,同業選擇在境外清洗流量之做法,將造成網路延遲,對「時間就是金錢」的金融業者而言,恐無法滿足客戶的要求;反觀中華電信則將資安防護內化在網路服務中,在提供網路服務的過程裡一併協助緩解資安攻擊,可以將延遲效應降至最低,並可快速提供防護,是客戶選擇及信任中華電信的重要因素。

中華電信的資安防護服務,還蘊含多項其他優勢條件。首先是擁有逾1.2Tb對外海纜頻寬、逾6Tb國內骨幹頻寬,藉由豐富資源的調配應變,足以承受來自海內外的巨量DDoS攻擊;其次,中華電信提供DDoS防護服務的歷練長達10年,防禦架構相對成熟,同時也取得諸多技術專利,更累積寶貴的人力資產,具有純熟的應變處理經驗。

「嚴格來說,資安防護與『國安』並無不同,皆須倚靠良好的軍隊、武器與戰術,」洪進福指出,以資安而論,「軍隊」是專業團隊,「武器」是防禦系統,至於「戰術」則是應變處理流程,這些核心能力,都需要長時間的淬煉養成。

在地清洗搭配多層次阻檔  有效緩解攻擊

舉個例子,如果把企業比喻為店家,駭客就像是一群霸位、要脅店家順從的黑衣人,有他們在,原本在店內的顧客出不去,想入店消費的客人也進不來,導致店家生意完全停擺。

因此為避免黑衣人混雜於人群中登堂入室,中華電信會根據合理的網路承受量,在一定範圍內清洗流量,意在挑出惡意的黑衣人、放行正常的顧客。

但假使流量高於30Gbps,中華電信則將啟用其他緩解措施,包括在HiNet骨幹端管制符合攻擊IP的訊務,並透過與國外ISP聯防,將攻擊訊務攔阻於境外,同時利用ACL(Access Control Lists)工具把符合攻擊來源IP的訊務,藉由邊界路由器(Border Router)進行阻擋。

也因此難免有人根據中華電信DDoS防護服務方案所提供的「攻擊清洗量」規格(3Gbps~30Gbps),誤認中華電信僅能防範30Gbps以下的DDoS攻擊,關於此一傳言,洪進福直言這真的誤會大了。

洪進福指出,以中華電信擁有的海纜及骨幹頻寬規模,根本無需畏懼逾30Gbps的攻擊流量,在技術上絕對有能力協助客戶加以清洗;但畢竟網際網路是大家的共用資源,若僅為了與特定駭客決戰、因此造成海纜阻塞,作法值得商榷。

因此中華電信經過審慎評估,為了顧全大局,於是將攻擊清洗量上限訂在30Gbps,一旦超過此門檻,便進入阻擋程序,藉由境外阻絕、邊境管制或境內管控等手段,依然能夠有效遏止駭客進犯。

依據需求設計服務方案  用戶選擇更具彈性

中華電信DDoS防護服務採月租計費,客戶無需斥資購置防護設備、自行維運管理,即可輕鬆達到防禦效果。目前提供的解決方案分為三大類,包括「常駐型(Always On)」、「自動偵測動態型(Auto Detect)」與「隨需動態型(On Demand)」;若引用自來水廠的濾水器概念,「Always On」意指所有流進家戶的水,都必須事先過濾,務求水質純淨無瑕,而費用最低的「On Demand」服務,則由用戶自行偵測,只要發現異狀,便可通知中華電信,緊急將流量導向清洗區,惟從客戶偵測、通知到緊急處置的處理過程需要一些時間,難免出現較長的延遲,因此類似銀行、券商等對於線上交易中斷幾近「零容忍」的客群,通常傾向採用Always On服務。

現今政府推動「數位國家、創新經濟」,開始有愈來愈多的公務及商務活動,透過雲端、網際網路來執行,連帶孕育不少物聯網(IoT)應用服務,因而產生新的資安威脅,以國外為例,肇因於連網裝置的漏洞而釀成資安事件,可謂時有所聞。

洪進福呼籲,包括政府、產業與民眾,皆須對於資安風險提高警覺,建議政府不妨參考美國IoT安全策略準則,引領IoT開發人員與製造商重視資安,至於民眾,亦需針對連網設備做好防護、提升資安意識,避免使用預設帳密,唯有如此,可望抑制DDoS等各種資安威脅的危害,台灣才有安全可信賴的網路經濟環境。