2018年终黑客送出DDos“大礼包”，银行能否照单全收？

至顶网安全频道 01月15日 北京报道： 就在2018年未，安全领域出现了一件非常值得关注的攻击事件，据媒体报道称，有疑似黑客在twitter煽动利用DDos攻击全球银行，其中写道“我们呼吁所有的匿名黑客行动主义者加入我们的行列。让我们一起干掉银行吧！”。DDoS攻击我们非常熟悉，就是利用超大规模的流量来压垮和瘫痪目标网站的一种常见手段。

那么，这到底是一次恶作剧，还是真的实施了呢？通过我们所获得的消息，在这次事件中，国内外很多银行均遭到了不同程度的DDoS攻击，其中，报道最多的就是巴哈马银行于2018年12月12日至14日期间被攻击超过了24小时。

但奇怪的是，在如此大范围的攻击中，我们似乎并没有看到有关国内金融机构被攻击的报道，原因其实也很简单，因为我们的银行成功的抗住了这波攻击。而有些大型银行甚至直接“吃掉”了这波攻击流量，并没有出现“消化不良”的现象。

WAF防火墙首当其冲

银行之所以能够抗住这次攻击，其功劳主要应该归功于WAF。在此，我们不得不提一下WAF（Web应用防火墙系统 ），与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF能够对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，并对非法的请求予以实时阻断，这些特性刚好成为应对DDos攻击最佳的一种防护手段。

F5大中华区首席技术官 吴静涛

其实，传统防火墙也能够对DDos攻击进行拦截，但问题是误伤率会非常高，F5大中华区首席技术官吴静涛指出，“因为在大量的攻击流量中会混杂着正常的访问流量，而传统防火墙不能有效地对APP应用流量进行过滤，导致大量正常用户访问也被一并封杀。所以利用传统的一套统一防护方法去应对所有的攻击模型已经完全失效，而WAF刚好能够适应这种攻击带来的变化。”

流量精分渐成趋势

在吴静涛看来，要应对未来的DDoS攻击，对应用采取“统一安全策略”是不够的，对于关键业务，应该对一个应用做到流量的精分，要把流量中不同的灰度提取出来，并对不同灰度做不同的防护保障。因为客户端访问请求的由浏览器单一访问到浏览器+原App+H5/WebView+IoT的变化导致了统一的安全策略完全失效了。

以往，我们在面对DDos攻击时，通常都会采用四层的清洗模式，电信运营商会提供一些云的防护。这种统一的安全策略非常适合在电信运营商侧进行部署。同时，在互联网入口侧再做一套统一的安全防护就大功告成了。但从整个“清洗”效果来看，这种方式的确会很干净，但包括正常访问流量的很多真实用户访问也都被“干掉”了，但这并不是我们所期望的。

从未来应用体验的角度考虑，这种方式肯定不会成为最佳的防护手段，而像F5所提到的“流量精分”或许会成为一种趋势，并在这种既能保证用户应用体验，又能有效抑制攻击的前提下，逐渐形成了一种产品+服务的业务架构。

产品+服务的高可用架构

区别于统一的安全策略，F5所提出的产品+服务的架构，将对一些关键业务、关键应用以流量精分的方式，对一个App里面的多种流量进行精细化的安全防护策略。吴静涛表示，“这实际上是现在以分钟级做攻防转换的防护模式下，传统架构完全实现不了的，就需要引入新的思路和技术手段，F5给客户提供了这种服务方式，能够满足企业用户在应对应用安全攻击防护，应用可用性提升，以及应用的可视化和运维自动化提升等一系列的实际需求。”

另外，企业应用的可用性将会越来越重要，以DDoS攻击防护为例，一旦企业用户被击溃，应用将完全陷入不可用状态。这对于很多重点行业，比如金融用户而言其损失将是不可估量的。对此，吴静涛特别强调，“从未来应用市场的趋势来看，一定是以应用的高可用为前提去做最大限度的灵活性架构，利用双活、多活、多云的平台，实现从设备级到应用级的弹性，甚至跨云的弹性。”

所以，对于安全防护来讲，无论是下一代防火墙，包括应用级的WAF、API的安全防护，还是防DDoS攻击都属于应用交付过程中要重点考虑的安全类服务。这本身也是F5非常擅长的领域，F5基于对应用层面的产品和技术，实际处在业务应用的最前端，同时也是最接近用户侧的一个层级，会最先感受和获取业务状态和攻击威胁等信息，这也是为何F5能够在Gartner应用交付评级中十几年始终保持第一，及在WAF领域快速上升到第一位的一个最直接的表现。

人工+机器的自动化运维思路

在设备的日常管理与维护中，F5可以通过大数据引擎实现对数据的采集，并通过机器学习来形成一系列智能基线，通过AI的方式对触发智能基线的问题做根源分析。吴静涛表示，“F5可以通过任意API的控制去实现对在线路由的控制，比如AIOps分分钟就可以通过API控制方式来完成对在线运营中的变更操作。”

实际上，对用户的弹性扩容，从服务状态到攻防状态的转换，已经形成了一种闭环的状态，从大数据采集到机器学习、制定智能基线，以及根源分析，再反过来通过API控制在线设备的运行状态，这种模型能够帮助企业用户无论是在自建数据中心，还是多云环境中都能利用统一的平台去完成对应用的交付，对此，吴静涛认为，“对于未来特别是以微服务为实现方式的新的应用架构而言，能够把以上功能整合起来，并实现联动的业务模型，才能真正将大数据向AIOps进行落地。”

此外，吴静涛认为，对于未来分钟级的攻防转换环境来说，以目前DevOps模式去做开发防护是根本来不及的，因为代码需要校验、测试和评估后才能上线，这时必须要有一种效率更高的开发 工具 去应对攻防的快速变化，如果我们采用多云、多活的架构一定会利用全自动化的方式去做运维管理；但是，金融行业的用户和互联网用户不一样，很多情况下不允许全自动去做功能的切换。所以F5一贯倡导的是“一键切换”，“一键割接”，这种需要维护人员参与的一键式操作，而非完全由机器实现的全自动化运维管理方式。

在本次事件中，首先接触到攻击的其实就是被F5称为24小时服务的团队人员，由于攻击总是多种多样的，很难找到非常一致的规律，所以除了安全设备自身的能力要过硬，同时人员的参与也是必不可少的，而F5刚好提供了一种产品+服务的架构，这也是安全领域中现行最佳的一种实践方式。吴静涛表示，“在对攻击事件的处理上，既有产品功能，又有现场对应用的定制化处理，因此对这次大范围DDoS攻击的防护效果也非常明显。”

通过本次攻击事件不难看出，F5是一家对危机非常敏感的企业，以至于能够把这种危机感及时转化并反馈到产品的策略当中，这也是一家以安全为前提的应用交付型企业所应该具备的优良品质。