介绍
分布式拒绝服务 (DDoS) 攻击的复杂性、规模和频率都在不断增加。其目标和攻击方法的范围(例如,从使用 PC 和笔记本电脑等传统设备到使用联网的物联网 (IoT) 设备)也在不断扩大。企业如果希望减轻未来 DDoS 攻击的影响,并降低内部设备被纳入僵尸网络攻击其他企业的可能性,就会发现目前尚无全面的指南。大型企业被迫投入大量财力和人力资源来识别、采购和部署适当的缓解机制。小型企业通常缺乏专业知识,或者无力将这些资源用于制定反 DDoS 策略。全面的解决方案非常复杂,通常需要结合本地管理和外部商业服务,因此将组织需求传达给服务提供商和供应商至关重要。
《关键基础设施网络安全改进框架》(简称“网络安全框架”)由美国国家标准与技术研究院 (NIST) 制定,并广泛听取了私营部门的意见。该框架提供了一种基于风险的灵活网络安全风险管理方法,并融合了行业标准和最佳实践。网络安全框架的设计旨在使各个组织能够确定自身独特的风险、容忍度、威胁和漏洞,从而优先配置资源,最大限度地提高效率。
该框架广泛适用于各种行业、组织、风险承受能力和监管环境,并可通过使用配置文件进行补充。根据框架的定义,配置文件是指将框架组件应用于特定行业、威胁或组织。配置文件可根据具体情况,通过应用框架类别和子类别进行定制,以适应特定的实施方案。配置文件的构建应考虑组织的a)业务/使命目标;b)监管要求;以及c)运营环境。
组织可以使用配置文件,根据其业务目标定义网络安全态势的理想状态,并以此衡量实现该状态的进度。它使组织能够分析特定目标所需的成本、工作量和风险。行业部门也可以使用配置文件来记录针对特定威胁的最佳实践。
DDoS 威胁缓解概要强调了如何利用网络安全框架来提升组织机构对 DDoS 攻击的防御和响应能力。本概要确定了对抗 DDoS 威胁最重要的网络安全框架类别和子类别。为了进一步完善概要,新增了优先级和框架注释。类别和子类别均标有不同的优先级,用于保护网络和服务免受相关攻击:
P1 – 最高优先级子类别
P2 – 次要优先级子类别
P3 – 第三优先级子类别
组织应努力实施所有已确定的子类别,但当资源不允许这样做时,实施 P1 子类别将提供坚实的基础。
DDoS 威胁缓解配置文件是一个目标配置文件,专注于组织网络安全的期望状态,以缓解 DDoS 威胁。希望增强网络抵御 DDoS 攻击能力的企业可以从使用 DDoS 威胁缓解配置文件中获益良多。
本概要旨在为企业提供指导,并建立与产品供应商、互联网服务提供商 (ISP) 和其他基础设施提供商就 DDoS 缓解机制进行讨论的通用语言。本概要可用于帮助企业识别改进 DDoS 威胁缓解措施的机会,并通过将企业当前状态与期望目标状态进行比较来协助确定网络安全优先级。需要注意的是,本概要并未直接阐述组织应如何防止其资产成为僵尸网络的一部分,并可能成为针对其他组织的 DDoS 攻击的一部分。为了做到这一点,需要创建一组子类别,这些子类别最好在单独的概要中描述。
受众
网络安全风险管理是一项企业范围内的活动,因此本概要旨在供组织内的多个部门使用。虽然信息技术和安全团队可能最终负责在整个组织内推荐、实施和维护技术安全控制措施,但风险远不止于技术层面。因此,本概要的目标受众是任何对 DDoS 攻击负有责任或可能受其影响的个人或业务部门。这其中应包括法律和监管风险经理。
信息技术和安全人员可以使用该配置文件来确定开发、实施和维护有效的 DDoS 缓解策略所需的技术和服务类型。
法律和监管人员可以使用此配置文件将 DDoS 风险的内部管理与外部要求相结合,并确保组织满足这些要求。
合规团队可以使用此配置文件来确定组织是否已实施正确的措施来防范 DDoS 攻击。
DDoS威胁概述
DDoS 攻击试图利用来自多个来源的流量淹没网络、服务或应用程序。DDoS 攻击有多种方法,包括:
低带宽面向连接的攻击旨在启动并保持受害者的多个连接打开,耗尽其可用资源。
高带宽容量攻击会耗尽可用的网络或资源带宽。
面向协议的攻击利用 TCP 等有状态网络协议。
应用层攻击旨在破坏应用程序或服务的某些方面。
虽然这些方法都可能非常有效,但近年来,由于几起备受瞩目的事件,容量耗尽攻击引起了人们的极大关注。反射放大就是容量耗尽 DDoS 攻击向量的一个突出示例。这种 DDoS 攻击会伪造攻击目标的 IP 地址,并从该地址向互联网上的开放服务发起查询以请求响应。此方法中使用的服务通常会经过精心选择,使得对初始查询的响应大小是查询本身的许多倍(x100s)。响应会返回给伪造 IP 的真正所有者,因此有“反射”一词。这种攻击向量允许攻击者生成海量攻击流量,同时使目标难以确定这些流量的原始来源。反射放大是过去十年互联网上一些最大规模 DDoS 攻击的罪魁祸首。
DDoS 通常被称为“武器化”威胁,因为发动攻击不再需要技术技能。事实上,进行 DDoS 攻击的服务已经激增,并且成本相对较低,易于获取。攻击者可以通过多种方式增强其攻击能力,例如使用恶意软件感染联网设备、在托管环境中部署服务器、利用程序缺陷或其他漏洞,以及利用联网设备上访问控制不足的情况创建僵尸网络。美国仍然是 DDoS 攻击最常见的目标,美国公共和私人基础设施中受感染的主机最常被用作 DDoS 攻击的源头。可用性是信息安全的核心支柱,但评估和缓解基于可用性的威胁(例如 DDoS)的运营责任和纪律通常由网络运营或应用程序所有者以及风险和信息安全团队承担。由于这种责任的划分,风险评估和应对这些威胁的运营程序都可能出现分歧。本概要的目标是确保通过应用网络安全框架中概述的适当建议和最佳实践,全面解决保护和应对 DDoS 威胁所需的战略和运营纪律。
如何使用资料
重要的是要认识到,该框架旨在以全面的方式实施。也就是说,它应该被整合到整个组织的整体风险管理政策、程序和计划中。这意味着风险所有者和管理人员必须决定哪些类别和子类别适用于整个企业,以及哪些适用于特定的业务部门。此外,由于某些子类别具有法律和监管含义,因此在实施本概要的过程中必须咨询法律顾问。最后,与所有安全计划一样,高层领导应该了解正在开展的工作,并授权相关活动,授权方式可以是直接授权,也可以是通过常规政策或授权。
考虑一个在实践中如何实现一个特定子类别的示例:
框架核心子类别 ID.AM-1 规定“组织内的物理设备和系统已清点”。此子类别的相对重要性基于一个广为接受的理念:你无法妥善保护你不了解的东西。这种挑战通常体现在许多人所说的“影子 IT”上,即在未经安全和运营团队知情或批准的情况下连接到企业网络的设备。因此,这些设备可能无法受到组织已实施的安全机制的妥善保护,从而带来潜在风险。风险的性质取决于设备的连接方式和位置。连接到保存所有员工数据的人力资源系统的未经授权的设备可能比连接到已适当隔离的酒店大堂供客人使用的计算机的设备带来更大的风险。然而,风险已经存在,如果无法识别该设备,则可能无法采取适当的缓解措施。
从这个角度来看,ID.AM-1 对整个企业都至关重要,应该得到切实的应用。回到 DDoS 防御概要,ID.AM-1 的具体应用场景则更为具体。
一般来说,DDoS 仅对面向互联网的系统构成威胁。这通常包括网站、应用服务器和网关路由器。在这种情况下,ID.AM-1 专门针对这些类型的设备,而实施该配置文件意味着确保这些设备已完全清点,作为企业整体设备识别和清点工作的一部分。
同样的模式也适用于本概要中提出的其他子类别。换句话说,本概要应在更广泛的企业风险管理背景下实施,而非作为一种独立的方法。
该配置文件使组织能够采用框架并专注于一个主要威胁,这有助于分配资源以及衡量和报告受到威胁的系统对 DDoS 的缓解程度。
从现在开始,组织如何使用配置文件将根据某些因素而有所不同,包括:
了解威胁及其对组织的潜在影响;
可用的财务、人力和知识资源;
网络安全风险管理计划和程序的成熟度;以及
组织将如何衡量结果。
首先,企业需要充分了解 DDoS 威胁对其意味着什么。评估真正的风险意味着要思考服务不可用将如何影响业务运营。当客户无法访问您的电商网站时,这可能意味着收入损失。或者,这可能意味着关键业务合作伙伴无法连接到共享信息所必需的应用程序接口。无论如何,如果不充分了解风险,就很难确定需要应用哪些资源。
有了这样的理解,接下来就必须结合现有资源来考量风险。不同组织的情况差异很大,对中小型企业的影响尤其大。这正是“优先级”可以发挥作用的地方。首先,尽可能多地实施 P1 子类别,然后根据风险的演变逐步推进。
组织现有网络安全政策、程序和方案的成熟度至关重要。如果尚未实施基本的网络安全风险管理,或者只是临时性的,那么有效且高效地实施针对 DDoS 攻击的缓解措施将极具挑战性。
最后,一旦DDoS缓解机制到位,重要的是确保组织流程得到实施,以便持续监测和报告结果。这应该包括:
尝试进行 DDoS 攻击的次数以及缓解措施的成功程度;以及
定期审查新的 DDoS 缓解技术和服务,以确保根据风险制定最有效的机制。
在本节及整篇文档中提出的高级指南框架内,每个组织最终都会找到适合自身情况的方法来使用本概要。这正是本概要的初衷,并且与网络安全框架的整体使用完全一致。
参考文献
在制定本简介时考虑了以下参考信息:
联邦金融机构检查委员会 (FFIEC) DDoS 联合声明
FCC 通信安全、可靠性和互操作性委员会 (CSRIC) WG-5 基于服务器的 DDoS 攻击补救措施– 2014 年 9 月
NIST SP 800-44 版本 2– 公共 Web 服务器安全指南 - 2007 年 9 月
NIST SP 800-53 修订版 4 - 联邦信息系统和组织的安全和隐私控制 - 2013 年 4 月
IETF BCP 38- 网络入口过滤:防御利用 IP 源地址欺骗的拒绝服务攻击 - 2000 年 5 月
IETF BCP 84- 多宿主网络入口过滤 – 2004 年 3 月
IETF RFC 4732- 互联网拒绝服务注意事项 – 2006 年 11 月
IETF RFC 4778- 互联网服务提供商环境中的当前运营安全实践 - 2007 年 1 月
IETF RFC 5635- 使用单播反向路径转发 (uRPF) 进行远程触发黑洞过滤 - 2009 年 8 月
