企業應如何尋找有效的 DDoS 防禦之道？

作者為：Nexusguard 亞太區產品總監張運達 Donny Chong

分散式阻斷服務攻擊 (DDoS）已成為最常見的網路攻擊手法。早前英國倫敦大學電腦系統曾遭受 DDoS 攻擊，導致上萬學生無法使用學校網上服務及學習平台 Moodle，可見現在 DDoS 攻擊不僅對大型機構如金融、政府等構成威脅，從前較少被視作攻擊目標的學術機構、中小企業也不能夠獨善其身。可是，這類企業往往因為未有遭受過 DDoS 攻擊而抱著僥倖心理，只會選購成本及效能較低的基本防禦套餐。當遇到 DDoS 攻擊時才發現已投資的防禦方案並非周全之策，企業只能賠上損失來換取教訓。到底怎樣的網路防禦方案才有效呢?

針對 DDoS 的防禦技術

威脅環境不斷演進，DDoS 攻擊規模、複雜性與次數持續上升。Zero-Day Attack (零時差攻擊) 和專門化的攻擊已成為駭客常用的攻擊方式。擁有專門開發 DDoS 防禦技術團隊支援的防禦方案才能有效抵禦攻擊。研究團隊一般從全球雲端建設收集得來的攻擊數據紀綠作研究及分析，不斷加強攻擊偵測及緩解技術，有效抵禦更新型與演化變種的攻擊。

DDoS 清洗容量

駭客透過全球僵屍網路有目標地攻擊網站和網路架構，攻擊量可超過數百 Gbps。 全球雲端 DDoS 清洗中心能快速有效地以人工智慧的方式偵測威脅、辨識攻擊及阻截惡意流量。即使受到規模再大再複雜的惡意攻擊，龐大的網絡能夠迅速從世界各地調配資源應對。

隨時候命的支援團隊

網路攻擊是不會有預告的，全天候運作的安全營運中心（Security Operation Centre) 和客戶專屬支援團隊能有效監控和防禦網路攻擊。客戶專屬支援團隊負責制定和部署防禦方案、監控清洗 DDoS 攻擊、優化效能。當中過程若需處理、儲存與傳輸信用卡資料和敏感資訊，便需符合 PCI DSS 和 ISO 27001 國際安全標準。

完整的報告系統

日常監控應包括檢視系統情況及攻擊紀綠，包括攻擊種類、時間、IP 來源。企業可於攻擊事件發生後導出事故數據以供內部分析及電腦法證使用。

不少企業未有制定網路安全對策，以致系統出現安全漏洞，令駭客有機可乘。當企業越依賴網路服務供應商，便越需要與有防禦經驗及專業知識的網路安全專家，為企業訂立適合的防禦方案。只有防範於未然，比駭客更先部署，才是萬全之策。