博客

半身人、龙和 DDoS 攻击

Lori MacVittie 缩略图
洛里·麦克维蒂
2016 年 10 月 31 日发布
手套1

当今应用的一个非常常见的限制因素是预算。 安全预算确实在增长,但增长速度却与让自己遭受黑客攻击的成本过于昂贵的战略方针不相称。

这种方法类似于半身人龙原则,其指出:

如果你发现自己身边有一个半身人和一条脾气暴躁的龙,请记住,你不必跑得比龙快,你只需要跑得比半身人快。

这样做的目的是让你自己的环境的攻击成本过高,迫使龙将其饥饿的目光转向你的竞争对手半身人。

现在,我们不必偏离应该激起的道德争论,让你的环境变得难以被黑客入侵的想法并不是一个坏主意。

问题是,这通常意味着它对你来说太贵了,你负担不起。 这是因为,一般来说,执行这种策略的建议包括购买一大堆解决方案,然后像某种中世纪的手套一样把它们抛出,设置新的障碍,并迫使攻击者运行它来获取他们真正想要的东西,即您的数据。 这使得攻击者付出高昂代价,因为他们必须耗费时间、精力,甚至金钱来尝试展开攻击以避免被发现。 这不仅对攻击者来说是昂贵的,对企业来说也是如此。 不仅在解决方案(资本支出)方面,而且在运营(运营支出)方面,因为每个解决方案都必须进行管理、更新、监控,并最终进行扩展。

它也是从内而外的。 攻击者想要的是您的数据,但我们倾向于从距离数据最远的地方,即网络边界开始构建我们的防御和保护。

那么,你怎样才能让他们花太多的钱得到他们想要的东西,而你却不付出太大的代价去实施呢?

对于这个问题,没有灵丹妙药,但有一些方法可以降低成本,同时增加攻击成本。 

1. 利用平台

平台基于共享共同环境的理念。 它们降低成本的方式与虚拟化和容器化提高计算资源效率的方式相同。 例如,ADC 可以通过模块进行扩展,以支持多种交付功能,包括安全性。 许多组织已经使用 ADC 来确保负载均衡的可用性,这可能能够支持 WAF 和其他安全相关功能的部署。 作为一个整体解决方案,合适的 ADC 的总成本远低于作为点解决方案的各个功能的总成本。

负载均衡器本身的功能也值得探索。 与基本的负载均衡不同,ADC 通常提供许多与安全相关的旋钮和杠杆,可以用来增加攻击的难度。 SYN 洪水检测、cookie 加密、URL 混淆和 IP/端口过滤通常作为负载均衡服务的一部分提供。 增加靠近应用程序的保护会使攻击者更难以访问。

2. 操作化

让一些人懊恼、让另一些人高兴的是,目前仍然没有已知的“神盒”能够单独提供保护和扩展应用所需的一切。 您将需要多种解决方案(关键是尽量减少使用平台的数量,参见上文),这意味着多个控制台、管理范例以及可能的人员。 所有这些都会超出你的预算。

前 3 大风险 IT 安全 Spiceworks 调查

操作化,实现自动化和编排,可以控制您必须实施的解决方案的成本。 甚至像自动扩展这样的功能也可以利用您(可能)已经拥有的资源来扩展并迫使攻击者做出相应的反应,从而增加攻击成本,同时控制防御成本。

操作化(DevOps、SDN、SDDC、SDx、私有云等)还解决了高风险来源:人为错误和缺乏流程。 对于后者,你无法自动化不存在的流程(顺便说一下,这是编排)。 如果你还没有,那你就应该有一个。 它确保在应用程序投入生产时采取必要的步骤来保护和扩展应用程序。 前者,即人为错误,是一个巨大的风险,因为它可能会无意中在您的安全中打开漏洞,让坏人潜入,无论是直接潜入,还是在容量密集型 DDoS 攻击的干扰下潜入。

3. 云作为规模

当你无法再自动扩展,或者你的带宽不堪重负时,总会使用云。 云作为规模(如果你愿意,可以称之为云爆发)是一个很好的选择,它能让你有效地防御,同时提高攻击成本。 在攻击期间(或刚开始时)将 DDoS 清洗和保护切换到云端可以立即减少对业务的本地影响(在生产力和利润指标方面),这实际上意味着更便宜的防御成本。 让具有(几乎)无限规模和大量带宽的云来吸收攻击,从长远来看会为您节省很多成本,但对攻击者来说却并非如此。

4. 由内而外的安全

图像

如前所述,攻击者通常想要您的数据。 这是因为您的数据 == 公开的黑市上的 $$。 因此,请像关注周边环境一样(如果不是更多的话)关注数据安全。 这意味着要运用所有可能的技巧和技术,使攻击者通过攻击(通过获取数据)获取价值的成本变得非常高昂。 您可以通过不断警惕来做到这一点,不仅要保护进入应用程序的内容,还要保护流出应用程序的内容。 这就是请求和响应保护。

在我们的 2016 年应用交付状况调查中,大多数 (67%) 已经部署了 WAF 的受访者对其组织抵御应用层 (请求-响应) 攻击的能力充满信心。 这些包括 SQLi 和 XSS,还有 WebSocket 安全和会话劫持预防以及大量其他功能,这些功能确保攻击者要想成功获取您的数据需要付出巨大代价。

事实上,在所有三个攻击面(客户端、请求和响应)上采取更一致的保护与抵御应用层攻击的更高信心相关。 这不是一个“边缘”功能;这是一个以应用程序为中心的功能。 它距离应用程序比距离网络边缘更近,其目标不是阻止网络攻击,而是阻止真正窃取数据的攻击。 这就是攻击者所寻求的价值,你必须让这个价值变得非常昂贵,以至于攻击者会放弃并转而去其他地方。

没有任何方法可以让安全变得廉价。 根本就没有。 但是,有一些方法可以降低成本,使攻击者付出的代价比您付出的代价更大,同时又不至于让您因为保护应用程序而破产。 如果你做得好,你的防御迫使攻击者消耗太多的资源(和金钱),那么龙可能就太累了(破产了)而无法去追逐那一半。 这将为半身人提供一个机会,让他们能够在自己的防御上取得领先。