重新考虑风险，谨慎使用安全清单

在NETSCOUT Arbor发布的《第13次年度全球基础设施安全报告》中，受访者被问到他们部署了哪些安全措施来抵御DDoS攻击，在企业受访者中，82%采用防火墙，57%采用入侵检测/预防系统(IDS/IPS)，而采用智能DDoS缓解系统的只占28%。

防火墙和IDS/IPS在安全体系中无疑占有一席之地，它们是抵御攻击的第一道防线，可以识别身份盗用或商业间谍等攻击活动。但是，它们自身不足以抵御拒绝服务攻击。实际上，它们经常成为危害网络基础设施的DDoS攻击的首要攻击目标。

安全决策常常反映的是一种“打钩”方法：我们需要具备哪些工具?在必备清单上，防火墙等边界防御措施往往排在前列。这种方法通常是出于合规考虑：监管者要求我们必须具备什么?经常是，组织开始安慰自己，相信只要合规就能确保安全，于是他们选择了清单上所有的解决方案。

企业不应从清单上选择解决方案，而是需要评估自己在DDoS威胁造成的风险中所处的阶段。换句话说，“我们面对的是什么样的DDoS风险，以及我们是否已准备好应对风险?”以下是一些可能的答案：

容量耗尽DDoS攻击：这种类型的DDoS攻击旨在消耗目标中或目标与互联网其他部分之间的带宽，它通过压倒性的力量达到阻止服务访问和交付的目的。这类攻击的规模正在扩大，1T以上的攻击正在成为新的现实。抵御这类攻击需要具备相应容量的缓解解决方案，这是因为其绝对规模通常位于云端。

TCP状态耗尽攻击：这类攻击试图消耗许多基础设施组件中存在的连接状态表，例如负载均衡器、防火墙和应用服务器。即使能够维持数百万连接的大容量设备也可能被这类攻击耗尽。

应用层攻击：这类攻击的目标是位于第七层(也被称为应用层)的特定应用或服务，它们危害极大，因为只需要一台生成低流量速率的攻击设备就能产生十分有效的攻击效果，这让它们变得非常难以检测和缓解。抵御这类攻击要求设备能够区分进入网络的合法数据流量和经过巧妙伪装的威胁，由于流量规模和速度都在增大，这并不容易做到。

多层、多向量攻击：在一次持续攻击过程中，DDoS攻击越来越多地组合利用以上三种攻击类别或它们的变体，这让防御工作变得复杂而无所适从。根据最近的一次报道，智利最大银行遭受的攻击导致大约9500台服务器和工作站无法使用，就其本身而言，这是一次重大的中断事故，但事实证明这只是攻击者发起的佯攻，从而实现自己的真正目的：通过SWIFT网络从银行窃取1000万美元。

内部出站攻击：在与防御者的较量中，经验丰富的攻击者正在扭转局面，他们在企业网络中植入恶意软件，这些恶意软件可用于对内部目标和外部目标发起攻击。恶意攻击者尤其喜欢利用物联网设备混入企业网络，在最近的大型攻击中，物联网僵尸网络的表现非常突出。

新威胁：似乎上面的威胁还不够多，全球范围内持续有新威胁出现。在抵御这些威胁时要保持领先需要掌握全球威胁情报。

强有力的防御措施需要能够应对所有威胁类型，忽略任何一个都会让您暴露在持续的风险中。根据全球威胁情报警报并由自动化技术提供支持的混合或分层防御措施结合使用云端和本地检测和缓解技术，被广泛用作最佳做法。

在了解所有风险和缓解风险的成本后，安全专家可能会想到：“我们没有预算，也没有带宽。”这时可以选择NETSCOUT Arbor托管式DDoS服务：外包给为缓解任何类型的攻击已经进行了技术和专业知识投资的提供商。这可以节省成本，充分利用内部资源并降低风险，还能让企业不再依靠过时的安全清单。

关于作者：

徐开勇(George Tsui) NETSCOUT Arbor中国大陆和香港地区总经理

徐开勇(George Tsui)先生现任NETSCOUT Arbor中国大陆和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络，以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前，他曾任英国电信公司区域总监，管理大中华区的销售渠道业务和运营，全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前，他曾在香港电讯和Infonet香港公司担任不同的高级职务。

徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验，其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

徐开勇先生在香港办公，拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。