01月15日 北京報道:就在2018年未,安全領域出現了一件非常值得關注的攻擊事件,據媒體報道稱,有疑似黑客在twitter煽動利用DDos攻擊全球銀行,其中寫道“我們呼籲所有的匿名黑客行動主義者加入我們的行列。讓我們一起幹掉銀行吧!”。DDoS攻擊我們非常熟悉,就是利用超大規模的流量來壓垮和癱瘓目標網站的一種常見手段。
那麼,這到底是一次惡作劇,還是真的實施了呢?通過我們所獲得的消息,在這次事件中,國內外很多銀行均遭到了不同程度的DDoS攻擊,其中,報道最多的就是巴哈馬銀行於2018年12月12日至14日期間被攻擊超過了24小時。
但奇怪的是,在如此大範圍的攻擊中,我們似乎並沒有看到有關國內金融機構被攻擊的報道,原因其實也很簡單,因為我們的銀行成功的抗住了這波攻擊。而有些大型銀行甚至直接“吃掉”了這波攻擊流量,並沒有出現“消化不良”的現象。
WAF防火牆首當其衝
銀行之所以能夠抗住這次攻擊,其功勞主要應該歸功於WAF。在此,我們不得不提一下WAF(Web應用防火牆系統 ),與傳統防火牆不同,WAF工作在應用層,因此對Web應用防護具有先天的技術優勢。基於對Web應用業務和邏輯的深刻理解,WAF能夠對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,並對非法的請求予以實時阻斷,這些特性剛好成為應對DDos攻擊最佳的一種防護手段。
F5大中華區首席技術官 吳靜濤
其實,傳統防火牆也能夠對DDos攻擊進行攔截,但問題是誤傷率會非常高,F5大中華區首席技術官吳靜濤指出,“因為在大量的攻擊流量中會混雜著正常的訪問流量,而傳統防火牆不能有效地對APP應用流量進行過濾,導致大量正常用戶訪問也被一併封殺。所以利用傳統的一套統一防護方法去應對所有的攻擊模型已經完全失效,而WAF剛好能夠適應這種攻擊帶來的變化。”
流量精分漸成趨勢
在小編看來,要應對未來的DDoS攻擊,對應用採取“統一安全策略”是不夠的,對於關鍵業務,應該對一個應用做到流量的精分,要把流量中不同的灰度提取出來,並對不同灰度做不同的防護保障。因為客戶端訪問請求由瀏覽器單一訪問到瀏覽器+原App+H5/WebView+IoT的變化導致了統一的安全策略完全失效了。
以往,我們在面對DDos攻擊時,通常都會採用四層的清洗模式,電信運營商會提供一些雲的防護。這種統一的安全策略非常適合在電信運營商側進行部署。同時,在互聯網入口側再做一套統一的安全防護就大功告成了。但從整個“清洗”效果來看,這種方式的確會很乾淨,但包括正常訪問流量的很多真實用戶訪問也都被“幹掉”了,但這並不是我們所期望的。
從未來應用體驗的角度考慮,這種方式肯定不會成為最佳的防護手段,而像F5所提到的“流量精分”或許會成為一種趨勢,並在這種既能保證用戶應用體驗,又能有效抑制攻擊的前提下,逐漸形成了一種產品+服務的業務架構。
產品+服務的高可用架構
區別於統一的安全策略,F5所提出的產品+服務的架構,將對一些關鍵業務、關鍵應用以流量精分的方式,對一個App裡面的多種流量進行精細化的安全防護策略。這實際上是現在以分鐘級做攻防轉換的防護模式下,傳統架構完全實現不了的,就需要引入新的思路和技術手段,F5給客戶提供了這種服務方式,能夠滿足企業用戶在應對應用安全攻擊防護,應用可用性提升,以及應用的可視化和運維自動化提升等一系列的實際需求。
另外,企業應用的可用性將會越來越重要,以DDoS攻擊防護為例,一旦企業用戶被擊潰,應用將完全陷入不可用狀態。這對於很多重點行業,比如金融用戶而言其損失將是不可估量的。對此,吳靜濤特別強調,“從未來應用市場的趨勢來看,一定是以應用的高可用為前提去做最大限度的靈活性架構,利用雙活、多活、多雲的平臺,實現從設備級到應用級的彈性,甚至跨雲的彈性。”
所以,對於安全防護來講,無論是下一代防火牆,包括應用級的WAF、API的安全防護,還是防DDoS攻擊都屬於應用交付過程中要重點考慮的安全類服務。這本身也是F5非常擅長的領域,F5基於對應用層面的產品和技術,實際處在業務應用的最前端,同時也是最接近用戶側的一個層級,會最先感受和獲取業務狀態和攻擊威脅等信息,這也是為何F5能夠在Gartner應用交付評級中十幾年始終保持第一,及在WAF領域快速上升到第一位的一個最直接的表現。
人工+機器的自動化運維思路
在設備的日常管理與維護中,F5可以通過大數據引擎實現對數據的採集,並通過機器學習來形成一系列智能基線,通過AI的方式對觸發智能基線的問題做根源分析。吳靜濤表示,“F5可以通過任意API的控制去實現對在線路由的控制,比如AIOps分分鐘就可以通過API控制方式來完成對在線運營中的變更操作。”
實際上,對用戶的彈性擴容,從服務狀態到攻防狀態的轉換,已經形成了一種閉環的狀態,從大數據採集到機器學習、制定智能基線,以及根源分析,再反過來通過API控制在線設備的運行狀態,這種模型能夠幫助企業用戶無論是在自建數據中心,還是多雲環境中都能利用統一的平臺去完成對應用的交付,對此,吳靜濤認為,“對於未來特別是以微服務為實現方式的新的應用架構而言,能夠把以上功能整合起來,並實現聯動的業務模型,才能真正將大數據向AIOps進行落地。”
此外,吳靜濤認為,對於未來分鐘級的攻防轉換環境來說,以目前DevOps模式去做開發防護是根本來不及的,因為代碼需要校驗、測試和評估後才能上線,這時必須要有一種效率更高的開發工具去應對攻防的快速變化,如果我們採用多雲、多活的架構一定會利用全自動化的方式去做運維管理;但是,金融行業的用戶和互聯網用戶不一樣,很多情況下不允許全自動去做功能的切換。所以F5一貫倡導的是“一鍵切換”,“一鍵割接”,這種需要維護人員參與的一鍵式操作,而非完全由機器實現的全自動化運維管理方式。
在本次事件中,首先接觸到攻擊的其實就是被F5稱為24小時服務的團隊人員,由於攻擊總是多種多樣的,很難找到非常一致的規律,所以除了安全設備自身的能力要過硬,同時人員的參與也是必不可少的,而F5剛好提供了一種產品+服務的架構,這也是安全領域中現行最佳的一種實踐方式。吳靜濤表示,“在對攻擊事件的處理上,既有產品功能,又有現場對應用的定製化處理,因此對這次大範圍DDoS攻擊的防護效果也非常明顯。”
通過本次攻擊事件不難看出,F5是一家對危機非常敏感的企業,以至於能夠把這種危機感及時轉化並反饋到產品的策略當中,這也是一家以安全為前提的應用交付型企業所應該具備的優良品質。
閱讀更多 網絡江湖小生 的文章
