暗網潛航——DDoS(四):攻守相赴(三)

  即使做足防禦工事,亦會有機會受到攻擊。面對分散式阻段服務攻擊(DDoS),我們有「主動式防禦」或「消極式防禦」兩種方法應對。主動式防禦令攻擊方失去攻擊意欲,不會選擇你的系統作為他們的攻擊目標。

  不過DDoS攻擊手法多樣化,攻擊者每一分鐘都會掃描各個系統,尋找漏洞及弱點。每一次出現新漏洞,不管是正式被發佈,還是在暗網上流傳的零日漏洞,網絡上很快就會出現掃描器,並且不停掃描,尋找有哪些漏洞可作攻擊。

  所有系統都有機會成為潛在攻擊目標,那麼如何令攻擊方失去攻擊意欲呢?大家要明白,攻擊者或罪犯都有捨難取易的習性,只要能夠達到目的,誰的系統漏洞較多較嚴重,更容易被打倒,誰就會成為目標;比較「難哽」的系統,就不容易被列為目標。

  主動式防禦就是將系統變得「難哽」,包括計算正確的頻寬、硬件和軟件負載管理;網絡和軟件恒常進行漏洞掃描;配置合理正確的軟硬件安全保障設備;清晰並保持更新的網絡硬件拓撲圖、數據資料流向圖及軟硬件版本紀錄;良好而且可追查的更新控制管理和配置管理數據庫;配置正確的安全監控系統、設計良好的安全編碼等,牢牢操控整個系統所有軟硬件狀態,合理把它們更新,安置於防禦當中,令攻擊者對你失去興趣。

  然而把所有訊息安全管理事項都做一遍,而且要做對實在相當麻煩。在我多年職業生涯裏面,做足做對做好的客戶並不多,僅要求數據資料流向圖和配置管理數據庫這兩個做得好的,也屬鳳毛麟角。主動式防禦麻煩困難兼花時間,所以目前大部份系統都採用消極式防禦,下周我們一起探討它的利弊。

TOZ聯合創辦人

龐博文


hd