親俄駭客組織NoName057持續對台灣發動DDoS阻斷服務攻擊,從政府、金融單位到高科技業皆成為目標。由於台灣身處地緣政治熱點,長期以來一直是網攻重災區,NoName057事件更突顯了兩大警訊。
首先,DDoS是行之有年的攻擊手法,也有可靠的對應方案,但部分機構或企業仍被攻陷,顯然防禦仍有不足;其次,除了重大基礎設施、重點產業和知名企業,透過監控NoName057的Telegram頻道發現攻擊標的正在擴大,就連中小型企業或民間組織也難以倖免。
認識攻擊手法、認知防禦重點
相較於台灣在2017年面臨史上第一次券商集體遭DDoS攻擊勒索的事件,NoName057反而是以政治目的發動攻擊,因此,它的作法會是盡可能擴大影響範圍及傷害程度。
NoName057的DDoS攻擊的最大挑戰在於真人化。一般由機器人或操控連網設備發動的攻擊模式有跡可循,但NoName057是透過在Telegram招募志願者參與DDoSia專案,根據Akamai分析日前同遭攻擊的銀行業客戶發現,攻擊來自25個國家,其中包括台灣本地流量,用於攻擊的User Agent接近70種,主要是瀏覽器和手機App,這種分散式的攻擊行為更加難以偵測和防禦。
此外,目前的DDoS攻擊主要來自第七層(應用層),加密內容無法偵測,但電信商清洗流量和許多機構組織的防禦仍集中在第三層(網路層)和第四層(傳輸層),導致防禦效果受限。
以雲端服務防禦DDoS攻擊的最大好處是禦敵於境外,在攻擊發動點就進行阻擋,例如:Akamai的SLA是零秒啟動的防禦機制,以投資成本和時效性而言,都優於電信商和地端自建的作法。此外,Akamai在台灣也有設備可針對本地流量就近阻擋攻擊。
短中長期措施持續強化防禦機制
針對NoName057日前對台發動的攻擊,Akamai發現攻擊流量只有平常的兩倍,卻有不少單位因此中斷服務,分析原因可能是預留的流量空間不足、缺乏防禦機制,或是防禦機制生效時間太慢,來不及因應。
由於Akamai國外客戶已有對應駭客組織NoName057的前例,Akamai顧問也根據因應狀況與實務經驗,提出短中長期的對策建議。針對其他駭客組織的攻擊模式,Akamai亦有相對應的建議作法。
【短期】通過 WAF 進行包含動態內容的精細緩存化及設置調整。
【短期】重新審視 WAF 的流量控制設置。
【短期】引入 CDN 的故障轉移設定(在原始伺服器故障時向用戶提供適當告知)。
【中期】考慮在緊急情況下通過 WAF 增加地理封鎖等訪問限制。
【中期】利用 Client Reputation(已確認具有一定的效果)。
【中期】為防止直接攻擊原始伺服器,隱匿或混淆原始伺服器的主機名和 IP。
【中期】通過 EdgeDNS 防止 DNS 查詢型 DDoS 攻擊。
【中長期】利用 Bot Manager 排除 Bot 的影響。
【中長期】通過 MSS 在 Akamai SOCC 進行緊急處理。
【中長期】將原始伺服器設置在具備高 DDoS 耐受性的數據中心/網段中(防止牽連攻擊)。
一般而言,WAF和流量速率管控機制是必備的防禦基礎,但長期而言,企業必須考量資料中心的防禦等級並採取相對建置;此外,由於當前主流攻擊是機器人類型,針對機器類型攻擊的防禦措施也必須到位。
政府針對金融業和上市上櫃公司的規範要求如設置資安長、必須發布公告,都是正確作法,建議適用範圍可以再擴大至中小型企業,同時結合持續的演練,以持續檢查防禦有效性。畢竟,台灣身為網攻重災區的現況不會改變,無論哪個產業、無論規模大小,都必須有所防禦及準備。