Protonmail公司联合创始人Andy Yen表示,攻击负载大得出奇。高峰时期,那次攻击向他公司不断发送大量持续的垃圾数据。大规模的分布式拒绝服务(DDoS)攻击扬言要搞垮欧洲原子核研究组织(CERN)支持的这家小型电子邮件加密服务公司。
Yen说:“我们的情绪非常低落。我们是家只有15名员工的初创公司,只想做点正当生意,却要面对设法搞垮了一家互联网服务提供商(ISP)的可怕敌人。我们的工作团队还应该设法抵御瑞士遇到过的规模最大的网络攻击,我们当中没有一个人是网络专家。”
Cloudfare的首席执行官兼联合创始人Matthew Prince说到DDoS攻击引起的破坏时说:“遭到攻击后,客户常常很愤怒,觉得自己受到了侵犯。DDoS攻击并不是什么高明的攻击。它实际上就相当于手拿棍棒的穴居人。不过手持棍棒的穴居人也能大搞破坏。”
与Yen的公司一样,大多数初创公司和小企业只有小规模团队和很少资源来对付DDoS攻击。顾名思义,DDoS对某家公司的主机托管和网站服务发送大量的数据,从而阻止用户访问网站和服务。Prince表示,有些攻击每秒发送的数据量超过1 TB。他说:“其数据量相当于典型家庭带宽连接的10万倍,就针对一个目标。”
拒绝服务攻击有多常见?来自Google Ideas和Arbor Networks共同制作的ATLAS威胁报告的数据发现,每天发生的拒绝服务攻击数量超过2000起。据Incapsula早在2014年开展的一项调查发现,拒绝服务攻击让商业界每小时蒙受的损失在5000美元至40000美元之间。该报告表示,所有攻击当中近一半的持续时间在6小时至24小时,每起事件导致的损失超过50万美元。
攻击者可能是勒索者、竞争对手、黑客活动分子,或者欺骗成性的破坏分子。要是公司或企业组织缺少专家网络专家或雄厚财力,又该如何应对网络勒索和大规模拒绝服务攻击带来的威胁呢?下面是你可以采取的四个做法。
1. 做好准备。
Rapid7公司的安全研究经理Tod Beardsley表示,所有中小企业应该防备拒绝服务攻击,要准备好灾难响应计划。最佳实践包括:确定小组中哪些重要成员负责响应。明确团队角色、任务和要求。Beardsley表示,然后,“在紧急事件发生之前经常演练,那样万一发生不可避免的事情,每个相关人员都知道该如何是好。”
公司和企业组织应该与内部的IT和公关团队、主机托管提供商和ISP合作,共同确认易受攻击的故障点、技术漏洞及逃生路线,并且明确如何向客户和新闻媒体通报受到的损害和服务中断。
2. 了解攻击。
导致你网络瘫痪的到底是职业团伙还是业余黑客?一些备受考验的服务商提供各种各样的DDoS预防软件,比如Akamai、Imperva Incapsula和Cloudflare。大多数这些工具运行复杂的算法,可以识别不同类型的流量。DDoS工具试图嗅出、检测并过滤各种类型的恶意和良性的机器人程序,允许合法流量进出。
常常很难从单单一起事件中辨别攻击是“专业人士、脚本小子还是租赁DDoS服务的愤怒学生所为。”Imperva Incapsula的营销副总裁Tim Matthews说。他特别指出,基本上可以说,流量超过50 Gbps或更多的网络攻击极可能是专业人士所为。
一些最常见的攻击工具常常打着“网络安全工具”的幌子扩散开来,它们名为booter或压力源(stressor)。顾名思义,这类工具会放大并专注DDoS有效载荷:潮水般的Web机器人程序和杂乱的网络流量。
Matthews说:“我们确实密切跟踪已知的僵尸网络,所以就算我们不知道实施攻击的犯罪分子是谁,至少也知道使用什么样的武器。僵尸网络运营者就好比是军火商。他们向有钱或持相同世界观的所有人兜售工具。所以他们是犯罪分子,而不是某一起攻击的协调者。”
3. 积极响应,坚持立场。
与所有灾难响应一样,千万别慌张。保持冷静,坚持下去。确保你的服务在运行,并向客户通报基本情况。Beardslet强调,如果你作好了充分准备,你的团队就会准备好响应。
Matthews表示,他建议客户应该设立小型战情室,那样团队成员可以相互协调、优化响应手法。一旦你的技术团队缓解了攻击,就要确保负责通报的团队准备好向媒体提供具体的细节,法务团队准备好处理潜在的监管和合规问题。
要是有人要你付赎金,别付钱给劫持者。Matthews说:“无法保证犯罪分子会遵守约定。乖乖付钱只会表明你或贵企业是容易下手的对象。一旦被确认是会乖乖付钱的企业,别人可能听到风声后就会闻风而至。”
4. 学习和适应。
攻击缓下来后,要趁机喘口气。Beardsley表示,从攻击中汲取经验和教训很重要。“事后要认真分析一下哪里对头,哪里出了岔子。”
确保你的IT和法务团队收集了所需的取证分析数据,并将生成的详细数据记入日志。制定一套通报规程,以便应对内部的团队问题、新闻媒体和客户。
Price说,从攻击中汲取教训,弄清楚怎么会受到攻击。“查明网络瓶颈在哪里,选择天生具有弹性的基础设施链。”
在服务器受到持续一周的攻击后,借助总部位于瑞士的网络管理公司IP-Max,Protonmail最终抵御住了这次攻击。Andy Yen说:“到头来,挽救ProtonMail的不是我们,而是IP-Max。这些人非常精通网络,所以能够让奇迹发生。”
Beardsley强调,分析和通报将有助于防备下一次攻击,并且提升团队士气。
Beardsley说:“应急工作在IT行业司空见惯,但是经常做应急工作却不作反省,只会将自己搞得疲惫不堪。你最不希望看到的一幕是,了解企业以往情况的员工在危机期间及之后走人。”
