提起DDoS(分布式拒绝服务攻击),在网络安全领域可谓是耳熟能详。DDoS攻击因其简单、成本低廉及难防御的特点成为互联网最大的威胁之一。它从PC互联网时代诞生,蔓延至移动互联网时代,甚至IoT设备也开始被DDoS盯上。而互联网上的用户一旦遭受DDoS攻击,很可能会直接导致网站宕机、服务器瘫痪、消耗大量带宽或内存,至于品牌受损,财产流失等也就接踵而至。
为持续洞悉DDoS攻击发展变化,确保网络安全健康发展及各行业业务连续稳定。4月3日,华为联合中国电信安全公司(天翼安全科技有限公司)、联通数字科技有限公司、北京百度网讯科技有限公司、Nexusguard对2022年全年监测到的互联网DDoS攻击数据进行统计分析,共同撰写了《2022年全球DDoS攻击现状与趋势分析报告》(以下简称《报告》),本次报告侧重于针对API及金融行业攻击的分析。
API DDoS攻击态势:API成为DDoS攻击新目标
《报告》认为,API成为DDoS攻击新目标,针对开放API亟需构建完善的DDoS防御体系架构。
API是移动应用程序、物联网(IoT)、云服务依赖的核心支撑技术之一,并渗透到人们生活中的各个环节,由于API数量庞大,企业对API安全重视程度不够等原因,API攻击已经成为企业面临的最大威胁之一,成为网络攻击的主要目标。
据《报告》披露,在2022年世界杯期间,DDoS攻击异常活跃,中国境内发生多起针对支付平台及支付API的攻击。攻击流量4次超1Tbps,攻击强度和复杂度都较为罕见。
因此,《报告》建议,企业必须从API安全架构设计、API应用健壮性设计、防御体系构建等多个维度缓解DDoS攻击威胁。企业需要为API构筑像网站一样的分层防御架构,即运营商上游云清洗服务保护企业网络带宽,企业私有云网络边界抗D过滤带宽范围内网络层攻击及中高速及大部分低速应用层攻击,WAF/API 网关过滤剩余的低速应用层攻击。
金融行业DDoS攻击态势:攻击强度和频次持续攀升
《报告》认为,自2018年以来至今,近5年金融行业DDoS攻击从攻击频次、攻击强度上均呈现3倍增长趋势。其中,2020-2022年中国金融行业攻击强度逐年倍增,2021年最大攻击峰值带宽是2020年的3.8倍,2022年是2021年
的3.4倍。且攻击者攻击意图明显——2022年,中国境内共发生4012次针对金融企业的攻击,波及102家银行、证券、保险企业,攻击目标主要是门户网站和DNS服务器。
攻击复杂度持续攀升:攻击者通过多维度攻击挑战防御成功率,从网络基础设施到金融业务系统,威胁全方位攀升,攻击手法明显多样化、复杂化。
《报告》给出的防御建议为,金融企业需构筑运营商上游云清洗+企业私有云边界抗D+WAF的三层防御架构缓解应用层攻击威胁。具体为,大规模应用层攻击需要运营商上游云清洗作为第一道堤坝,过滤高速攻击,保障企业网络链路带宽可用性;当攻击流量压制到企业网络带宽范围内后,再由企业私有云边界部署的抗D系统作为第二道堤坝,过滤中、低速DDoS攻击,防止WAF性能过载;WAF则作为最后一道防护屏障,拦截剩余的低速应用层攻击。
全球DDoS攻击防御实用指南
发布会期间,与会嘉宾还以API攻击,金融攻击为主线,开展全球DDoS攻击防御技术探讨,为各行业对抗新型DDoS攻击提供实用性建议。
华为数据通信产品线安全产品领域副总裁王峰强调在DDoS攻击破坏力和影响范围持续扩大的背景下,各行业需要积极掌握DDoS攻击出现的新特征,有针对性的制定持续有效的防护方案,打好DDoS攻击反击战,切实筑牢安全堤坝,保护企业和组织的健康网络,保障业务的安全连续和稳定。
华为AntiDDoS产品研发总监杨莉表示,华为之所以长期跟踪DDoS攻击趋势和互联网业务发展趋势,每年例行推出年度DDoS攻击趋势,总结攻击趋势,并对最新攻击的原理和危害进行深入剖析。旨在针对最新攻击趋势能以最快速度提供最优的防御算法和方案,确保华为持续为运营商和企业客户提供最优的DDoS防御方案;并期望通过报告形式能提供重要行业DDoS攻击防御建议。
中国电信安全公司(天翼安全科技有限公司)运营部总经理陈林表示2022年DDoS攻击的频度、强度、复杂度均呈提高态势,对我国产业数字化发展造成影响,也给防御带来了新的挑战。电信安全依托中国电信大网能力构建多层级协同立体化防御体系,高效阻断跨域攻击流量,通过SRv6技术在骨干网、城域网和接入网建立“安全切片”,实现“云网边端”联动式安全防御。此外,电信安全持续开展对全球路由连接的监测分析工作,强化对路由变化的感知能力,不断提升DDoS分析溯源能力。电信安全将持续技术创新,积极应对DDoS攻击演变。
联通数字科技有限公司安全事业部CTO周凯表示,近年来,分布式拒绝服务(DDoS)攻击已成为黑客常用的攻击手段之一,使用的攻击源遍布广泛区域难以追踪,破坏力足以摧毁网站业务,给企业业务交互带来巨大影响。联通立足云网数据资源禀赋,以运营商视角,做到全网云地协同联动、近源清洗压制、全攻击链追踪溯源,全面还原攻击路径,震慑网络空间威胁者。
在圆桌讨论环节,各位嘉宾分享新型攻击趋势下,各行业抗DDoS攻击的成功实践。IDC中国研究总监王军民预测未来全球以及中国的抗DDoS市场将持续扩大;百度安全副总经理冯景辉表示,DDoS 攻击作为网络安全的重要威胁之一,为网络安全、企业业务连续性带来了巨大的挑战。百度安全持续关注并致力于为客户提供全生命周期的抗DDoS解决方案,包括“预警”“对抗”和“溯源”三阶段,和运营商及同行一起共同营造一个业务无中断、和谐清朗的网络环境。
华为发布HiSecEngine AntiDDoS12016 DDoS防御系统
发布会最后,华为还正式发布了HiSecEngine AntiDDoS12016 DDoS防御系统。该系统提供单机最高2.4Tbps防护能力,能有效应对大流量攻击,并且可以根据业务发展按需逐步扩容业务处理板卡及接口板卡,满足当前和未来5年的业务发展需求。
华为AntiDDoS系列产品采用7层“滤板”技术,毫秒级过滤超过100种复杂DDoS攻击;基于多维度行为分析及会话检查,精准防御HTTP CC&HTTPS CC。为快速响应新型攻击,防御引擎支持敏捷发布,在线逐CPU升级,业务无中断。防御全程智能驾驶,防御策略自动调优,解放人工运维。
整套系统以“卓越性能”、“毫秒响应”、“精准防御”、“智能运维”为核心亮点,提供业界领先的抗DDoS攻击防御技术,为运营商和企业客户切实筑牢安全堤坝,保障业务平稳运行。
在互联网安全领域,素有“魔高一尺道高一丈”的说法,不存在一劳永逸的安全防范手段。网络安全只有起点没有终点特别是随着信息化的普及和物联网的大规模发展,也增大了网络安全的暴露面,加剧了DDoS攻击形态复杂化。网络安全需要所有个体的参与和维护,各方需要持续跟踪DDoS攻击趋势,不能单纯寄望于购买一套网络安全设备来对抗网络安全威胁,全社会需要树立起正确的网络安全观,建立有效的漏洞管理和应急响应机制,不断提升网络安全技术,须知,只有掌握最先进的技术,才能防得牢。