BlackNurse 和拒绝云业务攻击

本周，一场新的袭击正在肆虐。 我之所以说它是新的，是因为这次攻击本身并不是那么新颖。 ICMP 攻击自 90 年代就已经存在。 我还说“较新”，因为这次攻击与那些因破坏一半互联网访问而成为新闻的备受关注的容量耗尽攻击形成了鲜明对比。 这是针对著名且广泛使用的防火墙的 DoS（请注意只有一个“D”，而不是两个）攻击，这种攻击可以轻而易举地使企业陷入瘫痪。

我不会详细地向您介绍这种被称为BlackNurse 的ICMP（ping！）攻击的工作原理（到目前为止我还没有看到任何明显的原因）。 关于这个主题，已经有大量资源和评论： 威胁帖子， 埃尔雷格， 上位机系统， 或者 网信首先。 我确实想提请大家注意的是，这次攻击可能对企业造成毁灭性的破坏，特别是对那些严重依赖云应用程序的企业。 

因为这不仅仅是从外部破坏对应用程序的访问，而是从内到外破坏对应用程序的访问。 TDC SOC在其报告中特别指出了这一点： “当攻击正在进行时，局域网端的用户将无法再向互联网发送/接收流量。”

LAN 端。 这就是防火墙的业务方面。

我们倾向于将防火墙视为阻止攻击者进入公司网络的战术措施。 它们是城堡周围的城墙、河边的沙袋、荒野中阻止熊熊大火的防火线。 但防火墙长期以来在企业中起着双重作用；也就是说，它们也从内到外控制访问。 早期，它被用来控制青少年互联网的访问权限，现在仍然是一种预防措施，以防止恶意软件和病毒试图感染内部资产的“回拨”行为。

如今，基于云的生产力应用程序的流行需要从内到外的访问。 如果我们使用基于云的应用程序，我们就需要访问互联网。 Salesforce.com。 同意。 Google 文档。 社交媒体。 企业需要访问的位于企业外部的应用列表越来越长，并且还在不断增长。 正如Skyhigh Networks 提供的这张精美图表所示，基于云的应用在商业领域的使用一直在稳步上升。 事实上，其 2015 年第四季度报告指出“现在平均每个组织使用 1,154 种云服务。”

毫无疑问，业务依赖于云。

这意味着这些服务的中断会对生产力造成毁灭性的影响，而生产力是任何企业的关键绩效指标之一。

因此，像 BlackNurse 这样的攻击虽然相对简单，但实施起来相对容易，只需要一台笔记本电脑，却具有极大的破坏性。 此类攻击的目标很简单：消耗资源。 低速攻击和慢速攻击，无论针对防火墙还是网络服务器，都是为了占用资源，使设备无法响应合法请求。 问题在于，此类攻击通常比体积攻击更难检测。 可以明显看出巨大的流量。 它会触发警报和红灯，人们立即明白发生了什么。 过去十年来，我们投入了大量精力来研究如何对抗此类攻击，幸运的是，我们在这方面做得越来越好。

但检测低速和慢速攻击则更加困难。 CPU 突然达到 100% 并停止响应。 可能是软件问题。 可能是硬件问题。 可能有很多事情。 通过日志进行筛选以找到代表此类攻击的少量数据包无异于大海捞针。 据研究人员称，BlackNurse 攻击仅产生 15 到 18 Mbps。 是的，你没看错。 该小节中没有“G”。 这大约是每秒 40 到 50K 个数据包，对于现代防火墙来说，这不算什么。 相反，针对 Dyn 记录的 DDoS 攻击规模在 1 Tbps 范围内。 那是“T”，它比“G”大，比“M”大得多。

应对此类攻击的方法通常是将应用程序移至云端，这样防火墙服务就不会受到“资源有限”等过时概念的束缚，能够轻松自动地扩展。 但事实并非如此，因为企业防火墙后面仍有员工必须访问这些应用程序（和其他应用程序）。 当目标是位于他们和“云”之间的企业防火墙时，他们的访问就会被中断。

生产力因此受到影响。

企业需要认识到破坏出站流量和入站流量的攻击所造成的潜在危险状态。 虽然 BlackNurse 已经有一个相当简单的缓解措施，但其他缓解措施可能不那么简单。  在这个世界上，我们对防火墙内的应用程序的依赖程度与防火墙外的应用程序的依赖程度一样高，我们需要密切关注此类攻击的可能性。

如果您还没有，那么现在是时候评估您的业务对“云端”应用程序的依赖程度（或将会有多大），以及如何在面对专门为阻止企业开展日常业务而设计的威胁时最好地保护对它们的访问。