【DDoS攻擊】黑客技術提升 CISA及FBI呼籲加強IoT防禦力
DDoS 攻擊主要價值在於可癱瘓目標企業的業務運作或網上應用服務,美國網絡安全機構 CISA 及執法機關 FBI 聯合發出警告,因應 DDoS 攻擊技術日益提升,呼籲企業應加強防禦力,減少遭受損失。而當中最大的原因,都是跟 IoT(物聯網)裝置的脆弱性有關。
黑客會使用 DDoS 攻擊向企業勒索贖金,否則將向對方的網站或雲端應用服務發動攻擊,令客戶無法訪問網站,員工無法遙距工作,直接打擊企業營運。DDoS 攻擊一般須使用大量殭屍電腦設備,但隨著黑客掌握放大技術,即使只控制較少量 botnet 也能成功,例如今年 6 月 Cloudflare 為客戶攔截的 Mantis,攻擊期間的無效訪問要求便高達 260 億次,但只動用了約 5,000 部殭屍電腦裝置。
美國將推出 loT 安全標籤計劃
正因為黑客發動 DDoS 攻擊時,所需的殭屍電腦儲備不用太多,因此減少一部 IoT 受感染已有很大幫助。CISA 指出最普遍的 IoT 風險便是仍採用出廠密碼及沒有安裝安全更新。前者問題主要出在 IT 管理部門身上,後者則可能與生產商有關,因為對方未有提供一個用家介面,讓用家知道原來已有更新推出。
美國方面已計劃在明年春季推出 IoT 安全標籤計劃,草案建議生產商必須為每部裝置設定不同的出廠密碼,而且亦要求用家在第一次啟用服務時必須更改帳戶名稱及密碼,甚至建議使用高強度密碼。
建議採購 DDoS 防護解決方案
CISA 及 FBI 指出,企業應採購 DDoS 防護解決方案以應對 DDoS 攻擊,如有採用雲端應用服務,更應選用 Web Application Firewall,為網上服務提供保護。至於如何減少業務中斷,官方建議應將重要工作部署在多個節點上,確保其中一個失效,也可採用後備節點繼續提供服務。
由於 DDoS 防護的重點在於清洗惡意流量,而不是攔截所有網站訪問要求,因此企業應細心了解供應商會基於哪些技術過濾惡意流量,較先進的技術有比對數據封包的病毒特徵、IP 信譽及連線請求協議的完整性。此外,企業亦應預先理解收費準則及流量彈性,因為如遭受以 TB 計的 DDoS 流量攻擊,固定式流量計劃未必能應付。
資料來源:https://www.zdnet.com/article/fbi-and-cisa-heres-what-you-need-to-know-about-ddos-attacks/
相關文章:【wepro 小教室】DDoS 分散式阻斷服務攻擊