成功抵御DDoS的七个要素

对大多数组织来说，2020年发生的新冠病毒疫情对其业务运营带来了严重的挑战，网络罪犯在此期间却加大了网络攻击的力度。根据网络安全解决方案提供商Imperva公司的调查，网络罪犯今年针对全球大型组织的勒索拒绝服务(RDoS)攻击显著增加，并进行勒索，一些组织为了恢复业务运营不得不支付赎金。这些威胁是网络安全趋势中令人不安的征兆：网络级和应用层攻击的规模和频率前所未有地增加。Imperva公司副总裁Chris Waynforth对组织制定DDoS防御方案时需要考虑的七个关键要素进行了阐述和分析。

DDoS攻击的规模和复杂度不断提高

Waynforth指出，Imperva公司发现，在过去的10个月中，网络罪犯针对其客户的DDoS攻击数量显著增加，无论是数量还是强度方面。Imperva公司在今年7月报告了规模和范围强大的网络攻击动态，并报告了每秒数据包攻击达到最高记录，高达139 MPPS。在今年8月，最大的带宽攻击记录为每秒696Gbit。尽管在9月的网络攻击没有达到这些峰值，但也接近了2020年迄今为止DDoS风险很高的月份。这些全球DDoS攻击的频率和强度已经超过了2019年11月(假日购物高峰期)的水平。

由于分布在全球各地的僵尸网络中大量计算机正试图采用虚假流量淹没服务器，以使其离线脱机，因此DDoS攻击的破坏力惊人。然而近年来又有了一个令人不安的趋势：DDoS攻击成为转移人们注意力的烟幕。其服务中断将IT团队的注意力从更复杂的网络攻击行为(如帐户接管或网络钓鱼)中转移。而DDoS的破坏已经足够严重，如果有针对性地对某个网站攻击，使其瘫痪只需要数分钟，而要恢复则要花费数小时甚至更长时间。实际上，91%的组织由于DDoS攻击而遭受了停机，每次停机对组织带来的平均损失为30万美元。除了损失收入之外，还会影响客户信任度，迫使企业赔偿用户，并造成长期声誉损失，尤其是在导致其他违规行为的情况下。

成功抵御DDoS的七个要素

由于许多组织的经营由于疫情的影响而陷入困境，而受到网络攻击可能成为压垮骆驼的最后一根稻草。因此进行全面的防御是必不可少的，但是从大规模的网络攻击到复杂而持久的应用层威胁，组织需要考虑的潜在解决方案的最重要因素是什么?

(1)缓解DDoS攻击服务等级协议(SLA)

当几秒钟的停机时间可能会对组织业务带来损害时，缓解时间(TTM)(即第一个DDoS数据包攻击系统与DDoS缓解系统开始清理传入流量之间的时间)是至关重要的考虑因素。组织应该寻找一种解决方案，该解决方案的服务等级协议(SLA)可以确保在数秒内缓解DDoS攻击，而不只是考虑抵御简单的服务级别的攻击。

(2)技术能力

组织需要采用专门针对每种类型的DDoS攻击的技术。例如，通过机器学习分析流量并根据行为模式变化定义和更新相关DDoS安全策略的技术，可以阻止容量攻击(采用不需要的请求淹没受害者的系统)和协议攻击(利用传输层)。这可以与威胁研究算法相结合，作为解决可疑活动的多阶段实时缓解过程的一部分。

(3)操作简便

考虑到在确保业务连续性方面的作用，DDoS保护的实施和操作应该不会很繁琐。如果抵御DDoS软件的操作过于复杂，组织无法承受网络攻击之后带来的损失。

(4)网络设置

DDoS保护可以是始终不间断的操作，也可以是按需保护，即只在发生网络攻击时才激活。无论缓解是自动触发还是通过人工触发，广泛的连接选项也是使组织能够顺利适应自身拓扑的关键。

(5)地理分布

全面的地理覆盖至关重要。组织需要寻求具有全球DDoS清理中心网络以及范围广泛的直接对等协议和传输提供商的供应商合作。这样，无论组织的内部部署数据中心或云平台的位置在哪里，都能更快地获得保护服务。

(6)进行流量分析

DDoS保护涉及快速分析、识别和缓解恶意流量。流量信息是关键要素，其灵活的访问方式至关重要。在全天候在线运营的情况下，解决方案需要实时采样和分析数据流量。这些信息不仅用于网络攻击检测，还用于更细粒度的流量分析，当识别DDoS和潜在攻击时，可以帮助提供重要的“全局”视图。

(7)整合

原生API功能是现代DDoS保护系统的关键要素。例如，通过与安全信息和事件管理(SIEM)平台的原生整合，可以将安全信息和事件实时捕获，保留和传递到所选的SIEM应用程序，在更广泛的上场景中可以轻松访问和查看这些信息。

通过在DDoS防护策略中考虑这七个要素，组织可以积极主动地抵御日益严重的网络攻击。