全球DDoS攻击防御实用指南,API成为DDoS攻击新目标
信安客 2023-04-11
DDoS(分布式拒绝服务攻击)攻击因其简单、成本低廉及难防御的特点成为互联网最大的威胁之一。一旦遭受DDoS攻击,很可能会直接导致网站宕机、服务器瘫痪、消耗大量带宽或内存,至于品牌受损,财产流失等也就接踵而至。
2023年4月3日,华为联合中天翼安全科技有限公司、联通数字科技有限公司、北京百度网讯科技有限公司、Nexusguard对2022年全年监测到的互联网DDoS攻击数据进行统计分析,共同撰写了《2022年全球DDoS攻击现状与趋势分析报告》(以下简称《报告》),本次报告针对API及金融行业攻击的分析,从DDoS攻击强度、频率、复杂度、行业、地域分布等多个维度分析DDoS攻击态势,并结合具体实践与专家建议为行业提供新的防护思路,为企业洞悉DDoS攻击变化与变革防御技术提供专业、全面的指导,确保企业业务平稳运行。
DDoS攻击态势:API成为DDoS攻击新目标
《报告》认为,API成为DDoS攻击新目标,针对开放API亟需构建完善的DDoS防御体系架构。
API是移动应用程序、物联网(IoT)、云服务依赖的核心支撑技术之一,并渗透到人们生活中的各个环节,由于API数量庞大,企业对API安全重视程度不够等原因,API攻击已经成为企业面临的最大威胁之一,成为网络攻击的主要目标。
据《报告》披露,在2022年世界杯期间,DDoS攻击异常活跃,中国境内发生多起针对支付平台及支付API的攻击。攻击流量4次超1Tbps,攻击强度和复杂度都较为罕见。
当前,API攻击强度挑战新高,攻击手法复杂多样且演进出变化Method的新型攻击手法。为此报告建议,企业必须从API安全架构设计、API应用健壮性设计、防御体系构建等多个维度缓解DDoS攻击威胁。为API构筑像网站一样的分层防御架构,即运营商上游云清洗服务保护企业网络带宽,企业私有云网络边界抗D过滤带宽范围内网络层攻击及中高速及大部分低速应用层攻击,WAF/API网关过滤剩余的低速应用层攻击。
金融行业DDoS攻击近五年来从频次、强度上均呈现3倍增长趋势,而大型金融企业的门户网站、金融业务系统和DNS服务器是DDoS攻击的主要目标。报告建议,金融企业需构筑运营商上游云清洗+企业私有云边界抗D+WAF的三层防御架构缓解应用层攻击威胁。
金融行业态势:DDoS攻击强度和频次持续攀升
《报告》认为,自2018年以来至今,金融行业DDoS攻击近五年来从频次、强度上均呈现3倍增长趋势,而大型金融企业的门户网站、金融业务系统和DNS服务器是DDoS攻击的主要目标。其中,2020-2022年中国金融行业攻击强度逐年倍增,2021年最大攻击峰值带宽是2020年的3.8倍,2022年是2021年的3.4倍。且攻击者攻击意图明显——2022年,中国境内共发生4012次针对金融企业的攻击,波及102家银行、证券、保险企业,攻击目标主要是门户网站和DNS服务器。
攻击者通过多维度攻击挑战防御成功率,从网络基础设施到金融业务系统,威胁全方位攀升,攻击手法明显多样化、复杂化。《报告》防御建议,金融企业需构筑运营商上游云清洗+企业私有云边界抗D+WAF的三层防御架构缓解应用层攻击威胁。具体为,大规模应用层攻击需要运营商上游云清洗作为第一道堤坝,过滤高速攻击,保障企业网络链路带宽可用性;当攻击流量压制到企业网络带宽范围内后,再由企业私有云边界部署的抗D系统作为第二道堤坝,过滤中、低速DDoS攻击,防止WAF性能过载;WAF则作为最后一道防护屏障,拦截剩余的低速应用层攻击。
DDoS攻击防御实用指南
高速发展的通信网络给广大用户带来方便的同时,也为DDoS攻击创造了极为有利的条件,运营商是全面打击DDOS攻击行为的重要一环。发布会期间,与会嘉宾还以API攻击,金融攻击为主线,开展全球DDoS攻击防御技术探讨,为各行业对抗新型DDoS攻击提供实用性建议。
华为数据通信产品线安全产品领域副总裁王峰强调:在DDoS攻击破坏力和影响范围持续扩大的背景下,各行业需要积极掌握DDoS攻击出现的新特征,有针对性的制定持续有效的防护方案,打好DDoS攻击反击战,切实筑牢安全堤坝,保护企业和组织的健康网络,保障业务的安全连续和稳定。
天翼安全科技有限公司运营部总经理陈林表示:2022年,DDoS攻击的频度、强度、复杂度均呈提高态势,对我国产业数字化发展造成影响,也给防御带来了新的挑战。中国电信安全依托中国电信大网能力构建多层级协同立体化防御体系,高效阻断跨域攻击流量,通过SRv6技术在骨干网、城域网和接入网建立“安全切片”,实现“云网边端”联动式安全防御,构建立体化安全防御能力,积极应对DDoS攻击演变。此外,电信安全持续开展对全球路由连接的监测分析工作,强化对路由变化的感知能力,不断提升DDoS分析溯源能力。
联通数字科技有限公司安全事业部CTO周凯表示:近年来,分布式拒绝服务(DDoS)攻击已成为黑客常用的攻击手段之一,使用的攻击源遍布广泛区域难以追踪,破坏力足以摧毁网站业务,给企业业务交互带来巨大影响。联通立足云网数据资源禀赋,以运营商视角,做到全网云地协同联动、近源清洗压制、全攻击链追踪溯源,全面还原攻击路径,震慑网络空间威胁者。
在圆桌讨论环节,各位嘉宾分享新型攻击趋势下,各行业抗DDoS攻击的成功实践。IDC中国研究总监王军民预测未来全球以及中国的抗DDoS市场将持续扩大;百度安全副总经理冯景辉表示,DDoS 攻击作为网络安全的重要威胁之一,为网络安全、企业业务连续性带来了巨大的挑战。百度作为拥有强大互联网基础的领先AI公司,多年来实现推进百度智能云成为云计算行业的翘首,在带宽、算力等方面天然优势明显,基础条件较好,并且一直在更新思路,与行业同仁及运营商加强合作。百度安全持续关注并致力于为客户提供全生命周期的抗DDoS解决方案,包括“预警”“对抗”和“溯源”三阶段,和运营商及同行一起共同营造一个业务无中断、和谐清朗的网络环境。
在互联网安全领域,素有“魔高一尺道高一丈”的说法,不存在一劳永逸的安全防范手段。网络安全只有起点没有终点特别是随着信息化的普及和物联网的大规模发展,也增大了网络安全的暴露面,加剧了DDoS攻击形态复杂化。网络安全需要所有个体的参与和维护,各方需要持续跟踪DDoS攻击趋势,不能单纯寄望于购买一套网络安全设备来对抗网络安全威胁,全社会需要树立起正确的网络安全观,建立有效的漏洞管理和应急响应机制,不断提升网络安全技术,须知,只有掌握最先进的技术,才能防得牢。