中國金融機(jī)構(gòu)評(píng)估DDoS防護(hù)提供商的四項(xiàng)重要標(biāo)準(zhǔn)

何銘

Akamai企業(yè)事業(yè)部中國區(qū)總經(jīng)理

常言道“無論規(guī)模大小，任何金融機(jī)構(gòu)都難逃DDoS攻擊一劫”。2017年6月，黑客組織Anonymous與Armada Collective就再次露面，針對(duì)包括多家金融機(jī)構(gòu)在內(nèi)的全球企業(yè)實(shí)施了一系列惡意行動(dòng)。這些黑客團(tuán)體不僅對(duì)包括中國人民銀行與香港金融管理局在內(nèi)的近140家機(jī)構(gòu)發(fā)起了DDoS攻擊、展示了極大的危害性，還向這些受害者發(fā)送勒索信索要大額贖金，以此換取攻擊停止。

當(dāng)前，DDoS攻擊在各行各業(yè)、尤其是在金融服務(wù)行業(yè)非常普遍，且規(guī)模與頻率不斷上升。Akamai一直通過《互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》公布關(guān)于DDoS攻擊的最新研究結(jié)果，其最近一期報(bào)告顯示：游戲行業(yè)仍是Akamai抵御的DDoS攻擊最大的單一目標(biāo)，而電信與金融服務(wù)機(jī)構(gòu)則在目標(biāo)排行榜上分居第二位與第三位。

與此同時(shí)，如上述攻擊事件所示，互聯(lián)網(wǎng)金融服務(wù)行業(yè)因DDoS攻擊而遭受網(wǎng)絡(luò)勒索已成一種趨勢。這些攻擊的目的日益明確：接管本屬于金融服務(wù)提供商的站點(diǎn)與數(shù)據(jù)，并據(jù)此索要大量贖金。一旦這些網(wǎng)絡(luò)攻擊者在首輪攻擊中得手，則這些攻擊所帶來的傷害將變得更大、發(fā)起大規(guī)模DDoS攻擊的成本也將顯著下降。此外，系統(tǒng)漏洞與未知的惡意軟件已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅。金融機(jī)構(gòu)可能會(huì)遭遇大量勒索軟件與DDoS的混合攻擊，各種未知的漏洞攻擊也在瞄準(zhǔn)應(yīng)用。因此，企業(yè)預(yù)防與處置的時(shí)間窗口期變得越來越短。這些均給金融機(jī)構(gòu)的網(wǎng)絡(luò)保護(hù)與修復(fù)提出了更高的要求。

作為全球金融系統(tǒng)的重要組成部分，中國在金融服務(wù)的網(wǎng)絡(luò)攻擊方面也難以獨(dú)善其身。雖然中國十分重視金融行業(yè)的網(wǎng)絡(luò)安全，但中國金融機(jī)構(gòu)也已不可避免地成為網(wǎng)絡(luò)犯罪的主要目標(biāo)。根據(jù)第三方網(wǎng)絡(luò)安全評(píng)估服務(wù)平臺(tái)安全值發(fā)布的2017年報(bào)告，36%的中國金融機(jī)構(gòu)受到了DDoS攻擊威脅。其中第三方支付公司是最大目標(biāo)，它們中的67%都遭受過不同程度的DDoS攻擊。第三方支付公司僅使用了17%的公有云資源，大部分仍在使用本地服務(wù)器托管資源，因此第三方支付公司面臨著更多有針對(duì)性的網(wǎng)絡(luò)攻擊。其次，55%的小額貸款P2P公司遭受過DDoS網(wǎng)絡(luò)攻擊。其中近半數(shù)（44%）使用公有云資源，因此受一系列針對(duì)云資源工具的攻擊感染概率相對(duì)較高。

在這種背景下，全球及中國金融機(jī)構(gòu)愈發(fā)重視網(wǎng)絡(luò)安全問題，并將更多支出投向安全服務(wù)。另一方面，這也催生了對(duì)于DDoS攻擊防護(hù)服務(wù)的更多需求，使得大量服務(wù)提供商進(jìn)入該市場。但是，由于許多此類服務(wù)駐留于云端，金融機(jī)構(gòu)通常難以評(píng)估、評(píng)價(jià)及區(qū)分眾多的DDoS攻擊防護(hù)服務(wù)提供商。那么，金融機(jī)構(gòu)如何才能確保其所選用的DDoS攻擊防護(hù)服務(wù)提供商能夠兌現(xiàn)阻止互聯(lián)網(wǎng)上最大、最復(fù)雜攻擊的承諾呢？

基于Akamai在久經(jīng)考驗(yàn)的攻擊防護(hù)方面的豐富經(jīng)驗(yàn)——每周幫助全球前300大金融服務(wù)公司抵御至少50次攻擊，我們提出了以下4項(xiàng)重要標(biāo)準(zhǔn)，幫助全球及中國金融機(jī)構(gòu)評(píng)估提供商的威脅情報(bào)、經(jīng)驗(yàn)、防護(hù)能力與容量：

1.       威脅情報(bào)

金融機(jī)構(gòu)對(duì)DDoS攻擊的了解越深入，越可以更加主動(dòng)地管理DDoS攻擊防護(hù)策略。金融機(jī)構(gòu)的防護(hù)服務(wù)提供商應(yīng)定期向其提供由專屬DDoS安全專家研究團(tuán)隊(duì)所編輯的全面威脅情報(bào)。Akamai的《互聯(lián)網(wǎng)發(fā)展?fàn)顩r報(bào)告》為金融機(jī)構(gòu)提供了關(guān)于在線連接以及網(wǎng)絡(luò)安全趨勢與指標(biāo)的多種信息與分析，包括互聯(lián)網(wǎng)連接速度、寬帶使用率、移動(dòng)使用情況、宕機(jī)、網(wǎng)絡(luò)攻擊與威脅。

2.       一線經(jīng)驗(yàn)

在金融機(jī)構(gòu)討論防御網(wǎng)絡(luò)黑客團(tuán)伙時(shí)，沒有什么比第一手經(jīng)驗(yàn)更具說服力了。這些攻擊者不僅攻擊提供商給予其客戶的防護(hù)能力，而且還迫使提供商保護(hù)自身免遭最惡意的網(wǎng)絡(luò)攻擊。Akamai擁有業(yè)經(jīng)驗(yàn)證的一線經(jīng)驗(yàn)。例如：香港的一家領(lǐng)先金融機(jī)構(gòu)曾在2017年9月遭遇過一場大規(guī)模的DDoS攻擊，其峰值攻擊達(dá)到了11.20 Gbps、3.09 Mpps。由于每隔30秒鐘，IP目標(biāo)與攻擊向量就會(huì)改變一次，因此使得這家金融機(jī)構(gòu)疲于奔命。最終，Akamai成功幫助該機(jī)構(gòu)卸載了全部攻擊，并沒有遭受任何影響，且該機(jī)構(gòu)站點(diǎn)仍能提供卓越的web性能。

3.       防護(hù)能力

無論金融機(jī)構(gòu)規(guī)模如何，重要的是要使用一家擁有穩(wěn)健能力的DDoS防護(hù)提供商，以抵御當(dāng)前及未來的各類攻擊向量，包括互聯(lián)網(wǎng)上最大規(guī)模的攻擊。實(shí)際上，DDoS攻擊者已在使用同樣的、高度復(fù)雜的工具包入侵全球最大型銀行以及小型社區(qū)信用社。由于在各類網(wǎng)絡(luò)環(huán)境下都擁有業(yè)經(jīng)驗(yàn)證的能力，因此無論是邊界網(wǎng)關(guān)協(xié)議（BGP）路由通告更改、代理或基于DNS的重定向、或者混合解決方案，Akamai均擁有為任何金融機(jī)構(gòu)環(huán)境創(chuàng)建適合解決方案的經(jīng)驗(yàn)與專長。

4.         防護(hù)容量

防護(hù)容量是區(qū)分DDoS攻擊防護(hù)服務(wù)提供商的一個(gè)關(guān)鍵因素。所有DDoS攻擊的目標(biāo)都是要耗盡金融機(jī)構(gòu)的資源（處理流量的所有設(shè)備帶寬、內(nèi)存與CPU資源），以造成網(wǎng)絡(luò)或系統(tǒng)宕機(jī)，并擊潰其在線業(yè)務(wù)或應(yīng)用。Akamai智能平臺(tái)由分布式的服務(wù)器與智能軟件網(wǎng)絡(luò)組成，每天能夠處理近3萬億次互聯(lián)網(wǎng)交互，每年處理價(jià)值1萬億美元以上的金融交易。Akamai全球分布的防護(hù)網(wǎng)絡(luò)能夠提供必要的擴(kuò)展冗余，有效抵御最大規(guī)模、最具破壞性的攻擊。

一次DDoS攻擊就可能會(huì)給企業(yè)造成無法挽回的損失，在由DDoS攻擊導(dǎo)致的宕機(jī)期間，金融服務(wù)公司每小時(shí)估計(jì)損失10000美元[5]。更可怕的是，網(wǎng)絡(luò)攻擊者的目標(biāo)同時(shí)瞄準(zhǔn)大型與小型機(jī)構(gòu)，并盡其可能地尋找漏洞！網(wǎng)絡(luò)安全不再僅僅是IT部門所面對(duì)的問題，企業(yè)高管也需關(guān)注該問題。了解如何選擇適合的DDoS攻擊防護(hù)提供商可能將事關(guān)金融機(jī)構(gòu)的生死存亡。