HOME > 最新消息> 品牌新訊

善用Akamai Edge Network與Cloud WAF,從容應付各種 DDoS 威脅

2020/11/17

今年(2020)出現許多新常態。受 COVID-19 疫情衝擊,導致全球實體經濟活動降溫,反觀零接觸式商機卻大行其道,此消彼長下,各行各業紛紛加強 Internet 投資,使線上商務成為新常態;但在線上活動熱絡的同時,駭客藉機強化網路攻擊,尤其偏好以分散式阻斷服務攻擊(DDoS)造成大規模破壞,也讓 DDoS 攻擊成為另一個新常態。

回顧 2017、2019 年,都曾發生券商集體遭受 DDoS 攻擊勒索的事件;時至今年,類似攻擊態勢未見緩和,反倒更加劇烈。Akamai 台灣金融與商業服務資深業務經理李思緯指出,今年美國聯邦調查局(FBI)不只一次提出警告,呼籲企業務必留意 DDoS 攻擊;而在國內,不管金融業、製造業乃至主機代管業,都傳出 DDoS 攻擊事件,尤其在製造業甚至出現Tb級巨大流量攻擊,顯見 DDoS 攻擊確實愈演愈烈。


 
  一張含有 個人, 窗戶, 建築物, 男人 的圖片

自動產生的描述

上圖 : Akamai 台灣金融與商業服務資深業務經理李思緯

日益凶猛的 DDoS 攻擊中,許多一如以往是在境外發動,但其實從境內發動的比例也愈來愈高;此時若企業沿襲傳統做法,僅依賴一家 ISP 業者的流量清洗服務,或僅依賴設置於內部的防禦設備(如 WAF 或 Anti-DDoS),恐怕都難以抵擋接踵而來的攻擊。如果能在 ISP 線路外圍加裝 Akamai Intelligent Edge Security,憑藉著橫跨全球 4,000 個地區、共計逾 30 萬台伺服器的壯盛陣容,不論境內境外都能起到莫大分流作用,加速網頁之餘還能有效瓦解 DDoS 攻擊。



Edge Network高效率分流,迅速緩解 DDoS 攻勢
近年金融業飽受相極大 DDoS 威脅,萬一遭受攻擊導致服務無預警停擺,造成商譽與商機快速流失,絕對是不可承受之重。因此在主管機關要求下,F-ISAC 每年定期挑選十餘家金融機構參與 DDoS 攻防演練,意在促使各機構建立足夠 Capacity、有效吸收大規模 DDoS 流量;影響所及,眾家金融機構也積極強化自身的 DDoS 防線,目前已有近 20 家採用 Akamai Intelligent Edge Security服務、將此納進 DDoS 防禦藍圖。

金融機構之所以在設備防護、ISP 流量清洗等傳統模式外,開始採納邊緣安全解決方案、並以 Akamai 為首選,主要基於幾個關鍵因素。首先 Akamai 未自行建置任何資料中心,而是與世界各地多達 1,500 家 ISP 合作,利用大量 ISP 機房建置 30 萬台伺服器(其中近千台設於台灣),涵蓋所有 ISP 線路;所以金融機構不管租用幾條線路、不管線路供應商為何,一旦在線路外層加裝 Akamai Intelligent Edge Security,即可形成完善保護,且 SLA 高達 100%,畢竟無論是金融、政府、高科技製造業、大型線上服務業者…等絕大多數機構,皆高度倚賴線上服務,因而對惡意攻擊抱持零容忍態度。

其次不管是 Akamai、其他 CDN 服務商或一般防禦設備,要實現快速精準地識別異常流量、自動化緩解攻擊,都需要歷經一段學習過程。假使採用 Akamai Intelligent Edge Security服務,形同一併引進 30 萬伺服器大軍、快速解析全球 1/4~1/3 高比重網路流量行為,因而創造分鐘等級的學習效率,反觀以硬體為基礎的 Patch 或特徵碼更新速度,往往跟不上攻擊手法的演化速度。

談到 ISP 業者提供的流量清洗服務,通常只是丟棄惡意封包,不會進一步分析與學習 DDoS 攻擊相關資訊,難保日後用戶不會再度遭遇源自相同組織、相同 IP 位址的 DDoS 攻擊,更是一大隱憂。

李思緯透露,以2019年金融業 DDoS 攻防演練為例,某天上下午各有一間金融業者受測,惟測驗題目相同,都是一組 30 分鐘不間斷的混合型 DDoS 攻擊,這兩個機構皆是 Akamai用戶。上午時,Akamai 初次遭遇這個攻擊樣態,歷經一番攻防,成功擋下該組攻擊程式,在過程中一併學習完畢;到了下午,另一受測單位遭遇攻擊的過程趨近「無聲無息」,只因 Akamai 懂得辨識這組攻擊模式,所以直接在 Akamai Intelligent Edge Security 端發動攔阻,才讓 DDoS 攻擊完全無感。學習效率的重要性,經由此例彰顯無遺。


僅按乾淨流量計費,讓預算花在刀口上
更重要的,Akamai 堅持不發災難財,僅按照乾淨連線流量計價,也就是用戶不需要針對 Akamai 擋下的異常流量、支付一絲一毫費用,這點對於企業用戶至關重要。尤以金融、政府等機構為例,通常提前一年編列資訊預算,但編列的當下,很難預估隔年可能承受多大攻擊流量;Akamai 的計費模式,可幫助用戶儘可能把浮動機制縮到最小,在既定預算範圍內創造最佳防護效果。

隨著駭客技能精進,現階段 DDoS 攻擊樣態非常多元,不僅有 L3/L4 網路層或傳輸層的滿頻攻擊,還有上達 L7 應用層的變形體,它們也許較不常見,但擅於偽裝正常交易行為,針對應用程式特定的重要部份發動攻擊,造成合法使用者無法享用應用服務,對企業的殺傷力同樣不小。

Akamai 可憑藉Akamai Edge Network,游刃有餘地應付 L3/L4 DDoS 攻擊,至於更複雜棘手的 L7 DDoS 攻擊,則透過 Cloud WAF 予以有效偵測與阻擋。用戶只要部署 Akamai 的 KSD(Kona Site Defender)或 WAP(Web Application Protector),形同一次引進 CDN、Cloud WAF、Site Shield 等多道防護利器,全面對抗 L3~7 所有 DDoS 攻擊型態,其中 Site Shield 讓駭客無法繞過 Akamai Intelligent Edge Security、利用源站 IP 直攻受害機構。

總括而論,Akamai 靠著大量伺服器基礎、及來自全球四面八方的威脅情資,建立 Akamai Intelligent Edge Security聯防架構,加上可以在數秒鐘內反應 L7 應用層攻擊的 Cloud WAF,聯袂營造最強大防禦力,與用戶端既有的 ISP 線路、On-premise 防護設備形成互補,有效揮別 DDoS 威脅陰霾。


欲了解更多產品資訊,請洽 零壹科技 王小姐
(02)2656-5656 轉768 carol.wang@zerone.com.tw