DDoS防禦新標準出臺

常言道「不管規模大小，任何金融機構都難逃DDoS攻擊一劫」。2017年6月，黑客組織Anonymous與Armada Collective就再次露面，針對包括多家金融機構在內的全球企業實施了一系列惡意行動。這些黑客團體不只對包括中國人民銀行與香港金融管理局在內的近140家機構發起了DDoS攻擊、展現了極大的危害性，還向這些受害者發送勒索信索要大額贖金，以此換取攻擊中止。

當前，DDoS攻擊在各行各業、尤爲是在金融服務行業很是廣泛，且規模與頻率不斷上升。Akamai一直經過《互聯網發展情況安全報告》公佈關於DDoS攻擊的最新研究結果，其最近一期報告顯示：遊戲行業還是Akamai抵禦的DDoS攻擊最大的單一目標，而電信與金融服務機構則在目標排行榜上分居第二位與第三位。

與此同時，如上述攻擊事件所示，互聯網金融服務行業因DDoS攻擊而遭受網絡勒索已成一種趨勢。這些攻擊的目的日益明確：接管本屬於金融服務提供商的站點與數據，並據此索要大量贖金。一旦這些網絡攻擊者在首輪攻擊中得手，則這些攻擊所帶來的傷害將變得更大、發起大規模DDoS攻擊的成本也將顯著降低。此外，系統漏洞與未知的惡意軟件已經成爲網絡安全的主要威脅。金融機構可能會遭遇大量勒索軟件與DDoS的混合攻擊，各類未知的漏洞攻擊也在瞄準應用。所以，企業預防與處置的時間窗口期變得愈來愈短。這些均給金融機構的網絡保護與修復提出了更高的要求。

做爲全球金融系統的重要組成部分，中國在金融服務的網絡攻擊方面也難以獨善其身。雖然中國十分重視金融行業的網絡安全，但中國金融機構也已不可避免地成爲網絡犯罪的主要目標。根據第三方網絡安全評估服務平臺安全值發佈的2017年報告，36%的中國金融機構受到了DDoS攻擊威脅。其中第三方支付公司是最大目標，它們中的67%都遭受過不一樣程度的DDoS攻擊。第三方支付公司僅使用了17%的公有云資源，大部分仍在使用本地服務器託管資源，所以第三方支付公司面臨着更多有針對性的網絡攻擊。其次，55%的小額貸款P2P公司遭受過DDoS網絡攻擊。其中近半數(44%)使用公有云資源，所以受一系列針對雲資源工具的攻擊感染機率相對較高。

在這種背景下，全球及中國金融機構愈發重視網絡安全問題，並將更多支出投向安全服務。另外一方面，這也催生了對於DDoS攻擊防禦服務的更多需求，使得大量服務提供商進入該市場。可是，因爲許多此類服務駐留於雲端，金融機構一般難以評估、評價及區分衆多的DDoS攻擊防禦服務提供商。那麼，金融機構如何才能確保其所選用的DDoS攻擊防禦服務提供商可以兌現阻止互聯網上最大、最複雜攻擊的承諾呢?

基於Akamai在久經考驗的攻擊防禦方面的豐富經驗——每週幫助全球前300大金融服務公司抵禦至少50次攻擊，咱們提出瞭如下4項重要標準，幫助全球及中國金融機構評估提供商的威脅情報、經驗、防禦能力與容量：

1. 威脅情報

金融機構對DDoS攻擊的瞭解越深刻，越能夠更加主動地管理DDoS攻擊防禦策略。金融機構的防禦服務提供商應按期向其提供由專屬DDoS安全專家研究團隊所編輯的全面威脅情報。Akamai的《互聯網發展情況報告》爲金融機構提供了關於在線鏈接以及網絡安全趨勢與指標的多種信息與分析，包括互聯網鏈接速度、寬帶使用率、移動使用狀況、宕機、網絡攻擊與威脅。

2. 一線經驗

在金融機構討論防護網絡黑客團伙時，沒有什麼比第一手經驗更具說服力了。這些攻擊者不只攻擊提供商給予其客戶的防禦能力，並且還迫使提供商保護自身免遭最惡意的網絡攻擊。Akamai擁有業經驗證的一線經驗。例如：香港的一家領先金融機構曾在2017年9月遭遇過一場大規模的DDoS攻擊，其峯值攻擊達到了11.20 Gbps、3.09 Mpps。因爲每隔30秒鐘，IP目標與攻擊向量就會改變一次，所以使得這家金融機構疲於奔命。最終，Akamai成功幫助該機構卸載了所有攻擊，並無遭受任何影響，且該機構站點仍能提供卓越的web性能。

3. 防禦能力

不管金融機構規模如何，重要的是要使用一家擁有穩健能力的DDoS防禦提供商，以抵禦當前及將來的各種攻擊向量，包括互聯網上最大規模的攻擊。實際上，DDoS攻擊者已在使用一樣的、高度複雜的工具包入侵全球最大型銀行以及小型社區信用社。因爲在各種網絡環境下都擁有業經驗證的能力，所以不管是邊界網關協議(BGP)路由通告更改、代理或基於DNS的重定向、或者混合解決方案，Akamai均擁有爲任何金融機構環境建立適合解決方案的經驗與專長。

4. 防禦容量

防禦容量是區分DDoS攻擊防禦服務提供商的一個關鍵因素。全部DDoS攻擊的目標都是要耗盡金融機構的資源(處理流量的全部設備帶寬、內存與CPU資源)，以形成網絡或系統宕機，並擊潰其在線業務或應用。Akamai智能平臺由分佈式的服務器與智能軟件網絡組成，天天可以處理近3萬億次互聯網交互，每一年處理價值1萬億美圓以上的金融交易。Akamai全球分佈的防禦網絡可以提供必要的擴展冗餘，有效抵禦最大規模、最具破壞性的攻擊。

一次DDoS攻擊就可能會給企業形成沒法挽回的損失，在由DDoS攻擊致使的宕機期間，金融服務公司每小時估計損失10000美圓[5]。更可怕的是，網絡攻擊者的目標同時瞄準大型與小型機構，並盡其可能地尋找漏洞!網絡安全再也不僅僅是IT部門所面對的問題，企業高管也需關注該問題。瞭解如何選擇適合的DDoS攻擊防禦提供商可能將事關金融機構的生死存亡。