散落在房子里、吸引人的万圣节糖果只意味着一件事:今年又到了零售商为黑色星期五熙熙攘攘的假日购物者准备商店(包括实体店和网店)的时候了。
据说,黑色星期五来源于19世纪末期发生在费城的一次事件。零售商Wanamaker百货公司决定以极优惠的价格售卖印花棉布,这是当时制衣过程中较常用的织物。被超低价印花棉布吸引蜂拥而至的购物者较终挤破了商店前门的玻璃橱窗,使得商店被迫关闭。毫无疑问,商店的关闭让Wanamaker损失了很多生意。
众所周知,这种情况并不是Wanamaker所特有的,在假日购物热潮中,顾客的需求也会激增。每逢黑色星期五或网络星期一的闪电购物,维护网络和应用可用性已经成为零售商一年一度的固定工作。一般而言,期间的风险远高于1890年Wanamaker事件。ComScore称,去年网络星期一的销售额达到了30亿美元,11月的销售额接近300亿美元。Ponemon研究所的评估数据显示,企业一分钟的宕机成本就超过2万美元,但如果考虑到购物高峰期的集中销售额,网络星期一的重要性更高。
例如,2014年的黑色星期五,零售商百思买集团遭遇了数小时的业务中断,据报道,流量峰值是由移动设备生成的。由于可用的信息有限,很难确定此次宕机是由一波又一波的合法客户造成的还是网络安全攻击产生的恶意流量引发的。
可以确定的是,过去几周发生了很多真实且让人震惊的有关被入侵设备的例子,这些设备可以发起足以击垮大型网络和运营商的攻击。
近期的DDoS攻击只是证明了要百分之百确保用户免受攻击侵扰的是多么具有挑战性。但DDoS等威胁的提升并不能作为没有做好充足准备的借口。当IT和安全专家只是说他们的防御是希望自己不会遭到攻击时,情况就变得让人遗憾了。正如他们所言:“希望并不是策略。”
好消息是,仍有一些能够应对较新攻击发展的措施可供企业选择,以确保企业的安全运营。
效果显著但却不易实现的措施是如何有效区分合法流量和恶意流量。打个比方,在流量类型和客户群之间画一条平行线。假设您有一个可以在全天不同时段满足不同人群需求的餐厅。白天,顾客通常是中年全职妈妈或外出吃快餐的商务人士。晚上,顾客群明显变得更年轻,有在镇上闲逛的青少年群体或是在少年棒球联盟赛结束后与父母一起来的小孩子。这些来到餐馆的客户类型就是你的流量基线,代表了客户群的正常行为。
当提及利用行为分析技术检测恶意的网络或应用流量(包括潜在攻击)时,也会使用类似的原理。当流量类型(如SYN)在总体流量中占比出现异常时,行为分析引擎就会启动。如果在同一时间SYN流量总体速率超出了正常速率,高级安全解决方案就会将其认定为攻击,并拦截这一异常行为。
再以上述的餐馆为例。如果在中午出现比例不寻常的年轻客户,您可能需要加以关注。如果这些客户的人数变的很多,甚至到了可能会耗尽必要资源(如年轻人喜爱的意大利面)的地步,那么您就要采取相应的解决办法了。
遗憾的是,并不是所有针对应用或网站的攻击类型都可以用这种方式检测出来。DDoS攻击可以被检测出来,而更高级的攻击却因没有明显的流量模型而无法被检测。这些攻击使用众多试图利用应用代码漏洞发起攻击的恶意脚本,针对这类攻击则需要不同类型的防护措施。很多这种类型的攻击被收录在开放Web应用安全项目(OWASP)中,防御这些攻击通常需要Web应用防火墙(WAF)。和任何安全技术一样,不同的WAF产品在处理能力和方法上有所不同,较近Radware还发现,许多攻击都利用了用户依靠IP地址确认攻击源的这一方法所存在的局限性。幸运的是,高级WAF都在使用快速发展的设备指纹识别技术,通过各种工具和方法(包括在客户端运行JavaScript)采集与数据源有关的、除IP之外的信息。设备指纹识别技术可以通过数十个用户设备属性识别Web工具实体,确认并追踪他们的活动,生成用户行为和声誉资料。因此可以随着时间推移追踪并确认异常行为和潜在的恶意行为,进而定义设备的风险程度。
为什么前面所介绍的技术措施都很重要呢?当考虑到由机器人程序生成的流量所占的高比例(预计超过50%)时,很显然,企业在僵尸网络(恶意或其他)识别方面的能力还需要进一步的提升。多数的应用DDoS、暴力破解、SQL注入等重大安全威胁大部分都会通过僵尸网络执行。僵尸网络攻击流量会给交易处理能力带来不可预知的的、不必要的负担,因此,如果能够更加精确地成功检测并拦截机器人程序,这将给企业带来更好的ROI。
