近日,网络安全和基础设施安全局(CISA)发布《能力增强指南:针对Web服务容量 DDoS技术指南》,帮助其评估和减轻针对其网站和相关Web 服务的大规模分布式拒绝服务(DDoS) 攻击的风险。能力增强指南:针对Web服务的容量 DDoS技术指南:帮助机构根据任务和声誉影响确定DDoS 缓解的优先顺序,以做出最优决策。
网络安全和基础设施安全局(CISA) 发布本能力提升指南(CEG),以支持联邦文职行政部门(FCEB) 机构在采购和使用分布式拒绝服务(DDoS) 缓解措施方面做出风险知情决策,以应对针对网络服务的大规模大规模攻击。本指南的第1 部分为各机构提供指导,以便根据任务和声誉影响来确定DDoS 缓解措施的优先级。第2 部分详细介绍了各种DDoS 缓解服务,以帮助各机构在了解风险的基础上,就如何最有效地使用可用资源做出权衡决策。虽然本指南是为FCEB 机构创建和使用的,但我们鼓励所有机构审查和采纳这些建议,以降低大规模DDoS 攻击的风险。本指南仅针对一种类型的DDoS 攻击,不应被视为可防范所有类型DDoS 攻击的全面指南。
建议
第 1部分:影响分析
本节为各机构评估针对各种网络服务的成功DDoS 攻击对其组织的影响提供指导。各机构可使用本指南记录根据国家标准与技术研究院(NIST)风险管理框架(RMF)做出的风险决策。例如,各机构在对DDoS 企业风险进行风险评估2时,以及在验证所选择的DDoS 相关安全控制措施3是否足以应对促使选择这些控制措施的组织运营和资产、个人、其他组织和国家所面临的风险时,可以选择参考此方法。无论采用何种具体的风险评估程序,各机构的决定都应记录在案,并在适当的级别上进行风险管理。
01 清单
为所有机构拥有或运营的网络服务(包括在非.gov 域名上托管的URL)创建一份全面的清单。
02 分析
分析针对步骤1 中确定的每项服务的DDoS 攻击成功后对机构的影响。在进行此分析时,机构不应考虑任何可能影响针对特定服务的DDoS 攻击成功可能性的缓解因素,而应只考虑攻击发生时对业务和任务造成的影响。
为确定总体影响,各机构应在以下五个影响类别中分别打分:(1)公共交易,(2)公众获取信息,(3)政府和行业伙伴关系,(4)机构内部运作,(5)声誉。这些类别没有特定的顺序,不同的机构可能对每个类别的相对重要性有不同的看法。
对于每项网络服务,各机构都应考虑:
对公共交易的影响。该网站是否能使公众与联邦政府进行重要的交易?
4(极高):网站为公众依法必须进行的交易提供便利。任何停机时间都会对公众完成这些交易的能力产生明显影响;
3(高):网站为对广泛使用的政府服务非常重要的交易提供便利(如运送包裹);
2(中):网站为公众交易提供便利,但停机不会对公众造成重大影响;
1(低):网站不用于公共交易。
对公众获取信息的影响。公众使用该网站是为了获取最新信息或了解政府服务?
o 4(极高):该网站提供的信息具有时间敏感性,是大部分美国公众所依赖的,或者延迟提供信息可能会对任何人群造成人身危险(如紧急警报、天气预报或统计数据);
o 3(高):网站提供对公众有价值的信息和/或解释重要的政府服务,但不具有时效性(如健康指 南);
o 2(中等):网站提供解释政府服务的信息;
o 1(低度):网站不提供或不方便公众获取信息。
对政府和行业伙伴关系及合作活动的影响。开展机构间活动或提供产品或服务是否需要使用服务?
4(极高):需要使用该网站来支持机构间活动,这些活动可能具有时间敏感性,对至少一个参与机构的任务至关重要,或影响到国家安全或公共安全;
3(高):该网站提供的信息对政府机构之间或政府与行业之间的协调活动很有价值,但非必要;
2(中):网站提供的信息有助于政府机构间或政府与企业之间的协调;
1(低):该网站不支持政府机构之间或政府与行业之间的协调。
对机构开展日常业务活动的影响?
o 4(极高):系统已被指定为高价值资产或任务关键型,或其他关键系统或流程依赖该系统运行;
o 3(高):宕机将严重影响机构执行基本业务的能力;
o 2(中):宕机将对机构执行基本业务的能力造成轻微影响;
o 1(低):停机对内部运作的影响极小。机构可以在无法访问该系统的情况下维持正常运作。
网站可用性下降对声誉的影响。例如,有关网站是否是主要的机构网站(即 agency.gov),成功的 DDoS 攻击是否会引起高度关注?
4(极高):该 URL是机构主要网站的主页,是指定的高价值资产,外部客户使用率高,或对完成机构任务至关重要。任何宕机都会对机构和联邦政府的声誉造成损害;
3(高):该网页提供了政府服务的核心功能,或相对于域内其他网页访问量较高,但并非关键任务;
2(中):宕机将影响机构声誉;
1(低):宕机对机构声誉造成的风险极小,而且由于网站模糊不清,公众不会将其与政府联系在一起,因此不太可能造成公众的负面看法。
应根据本机构的任务和风险承受能力,确定每个影响类别的相对重要性或"权重"。依赖公众看法来成功执行任务的机构(即具有执法职能的机构)可能会选择对声誉影响类别的评分给予更多权重,而依赖与科学或学术组织的伙伴关系的机构可能会选择对政府和行业伙伴关系类别的评分给予更多权重。各机构可为每个影响类别分配一个百分比值,以代表其权重,并确保各值相加等于100%。例如,如果机构认为所有影响类别同等重要,则每个类别的权重为20%:
对公共交易的影响(20%)+对公众获取信息的影响(20)+对政府和行业伙伴关系的影响(20%)+内部影响(20)+声誉影响 (20%) = 总影响 (100%)
或者,不同的机构可能会认为其对公共交易和公众获取信息的影响是更重要的类 别,值得给予额外的权重。
对公共交易的影响 (30%)+对公众获取信息的影响(30%)+对政府和行业伙伴关系的影响(20)+内部影响(10)+对声誉的影响(10)=总影响(100)
一旦确定了总体权重,各机构就可以计算出每项网络服务的总影响分值,1(低)到4(极高)之间:
对公共交易的影响(服务得分x 类别权重)+对公众获取信息的影响(服务得分x 类别权重)+对政府和行业合作伙伴关系的影响(服务评分x 类别权重)+内部影响(服务评分 x类别权重)+声誉影响(服务得分 x类别权重)= 总分
04 确定优先次序
在计算出每个网络服务的总影响分值后,各机构应按照DDoS攻击成功后的影响程度创建一个排序列表。该排序列表可用于优先实施第2 节中讨论的DDoS缓解方法。如果影响分析和已部署的风险缓解措施显示存在重大残余风险,该列表还应为部门内的风险管理决策提供信息,包括由适当机构接受任何风险的正式文件。
各机构应将此方法作为指南,并根据自身任务和运行环境进行必要的定制。各机构可能会发现,他们需要增加影响类别,以充分反映DDoS攻击对其服务的影响,或者采用不同的影响分数计算方法所产生的结果更符合其组织的优先事项。
第 2部分:风险缓解
本节提供技术指导,供各机构在缓解网络服务遭受的DDoS攻击时参考。在考虑可应用于网络服务器和网络应用程序的保护措施时,第1部分使各机构能够进行影响分析,为确定各种资产保护措施的优先级提供依据。DDoS保护措施的成本和能力各不相同,有些保护措施比其他保护措施提供更多的覆盖范围和可用性保证。本节比较了缓解DDoS 攻击的各种方法,以便各机构选择适当的缓解方法。
内容交付网络(CDN)
01 服务概述
适当配置的 CDN可以有效缓解针对网络服务的大规模DDoS 攻击。CDN位于机构网络服务器工作负载和互联网终端用户之间,位置独特,可作为机构抵御DDoS 攻击的第一道防线。适当配置的CDN 可在应用层面提供网站保护,抵御DDoS 攻击。由于CDN位于地理位置分散的云服务提供商数据中心,因此无需采购任何额外硬件即可实施。除DDoS 缓解外,CDN还可在全球各地的数据中心缓存网站内容(如文件、JavaScript、图像和视频)。CDN可减少与网站托管相关的带宽使用费用,从而降低延迟,加快页面加载时间,改善最终用户的整体体验。
02 技术因素
CDN旨在以分布式方式处理大量流量,通常是应对DDoS攻击最有效的缓解手段。对于面向互联网的高价值和高可见性网络资产,联邦机构应使用CDN。无论如何,各机构都应评估CDN 所宣传的对DDoS 攻击的防御能力,因为CDN 服务的主要用途可能是优化网站内容的交付。因此,并非所有CDN 都能缓解所有类型的DDoS 攻击。
某些CDN 服务可能会对试图实施的DDoS 攻击做出实时响应,以避免出现任何可察觉的停机时间,而其他CDN 则会让客户承担检测DDoS 攻击并通知CDN的责任。为避免不必要的停机时间,各机构应默认使用可检测并自动开始响应DDoS 攻击的CDN。
其他CDN 功能:
可通过计算网络请求和阻止潜在恶意源 IP 来限制速率;
可扩展以满足需求;
使用基于 DNS 或 Anycast 的映射,将请求转发到地理位置上最靠近请求资源的公众用户的全球 CDN 节点,从而改善用户体验;
如果任意节点的性能下降,会自动将请求重定向到下一个最近的节点。
03 成本因素
CDN服务的定价会因机构面向公众服务的性质而有很大差异,包括机构用户的地理位置、服务或应用程序存储和传输的数据,以及机构对停机时间的容忍度。
04 下一步
讨论现有机构 CDN 服务的 DDoS 缓解能力和相关费用;
酌情修改合同,纳入与 DDoS 相关的 CDN 服务;
根据任何适用 CDN 服务条款协议的要求,至少每年执行一次 DDoS 保护措施。
互联网服务提供商(ISP) 和上游提供商
01 服务概述
具有足够计算能力和带宽的互联网服务提供商和上游提供商可以缓解针对机构网络服务和非网络服务的某些大规模DDoS攻击。这种能力应经过验证,因为并非所有上游提供商都能抵御此类攻击。如果机构在传统数据中心或内部环境中托管网站,或担心关键任务网站的高可用性,则应考虑其ISP 提供的DDoS 防护服务。互联网服务提供商尤其可提供针对以下类型攻击的保护:
开放系统互连 (OSI) 第 3 层:通常是一种体积攻击,攻击者向机构的公共 IP 地址发送数千个数据包;
OSI 第 4 层:通常是 TCP SYN 数据包洪水攻击,目的是压垮服务器;
OSI 第 7 层:HTTP GET 或 POST 请求,或其他恶意制作的应用层请求。
在所提供的服务级别协议(SLA)中,正常运行时间最长的服务往往相关成本最高。机构可以通过使用随叫随到的缓解服务来接受DDoS攻击造成的停机风险,从而实现成本节约。这意味着,一旦机构网络运行中心(NOC)/安全运行中心(SOC)检测到攻击,ISP就会参与并开始DDoS缓解程序。在这种随叫随到的模式中,受到攻击的机构网络资源将处于瘫痪或受损状态,直到机构NOC/SOC 请求提供商开始缓解工作。
这种模式需要机构和互联网服务提供商进行一些前期配置和规划,但其成本大大低于"始终在线"模式,即无论是否发生主动攻击,都要对所有流量进行检查。此外,除了清除流量外,各种服务还可能使用其他技术方法,包括空路由(或黑洞路由),这种方法可能会产生很高的误报率;使用已知恶意源IP 拦截列表的sink holing;以及隐藏服务器源IP 的IP 屏蔽。如果互联网服务提供商在提供DDoS 保护管理服务时提供基于信誉的源IP 威胁情报信息,那么各机构应考虑订阅。
02 技术因素
机构应选择有能力扩展和承受大容量DDoS攻击的提供商。各机构还应了解自己的角色,以及在受到DDoS攻击时提供商的角色。请注意之前为DDoS缓解服务确定的两种消费模式:保持在线和按需服务。始终在线可提供即时保护,但机构应始终验证解决方案的修复时间。按需消费模式仅在攻击期间通过人工干预将流量发送到清洗中心。各机构必须与其提供商沟通,以了解提供了哪些保护措施、现有合同中包含的保护措施以及按需提供的保护措施。对于需要手动激活的服务,机构必须了解每个组织和个人的角色,并制定、维护和测试激活程序,以做出最佳响应。
与 CDN一样,各机构应默认使用自动提供保护的缓解措施(即始终在线):
通过对面向公众的客户 URL 或子网进行域名系统 (DNS) 重路由或边界网关协议 (BGP) 重广告来提供 DDoS 保护。DNS 或 BGP 重新配置和广告将所有机构网络流量推送到由 ISP 管理的云托管清洗中心,在那里 DDoS 攻击流量会被丢弃或 "清洗",只有干净的流量才会返回客户网络,从而消除机构服务器因攻击而受到的资源限制;
清洗设施通常分布在不同的地理位置,以减少客户边缘(流量目的地)与任何清洗重定向之间的延迟;
互联网服务提供商可在客户边缘结合使用擦除服务和在线网络传感器来减轻攻击。
03 成本因素
定价根据带宽、受保护IP前缀的数量和大小、清洗中心与客户网络之间的连接数量以及需要保护的单个IP 或DNS 名称的数量而定。
04 下一步
与 ISP 或上游提供商(包括数据包清除器)合作,充分了解服务级别协议 (SLA) 以及双方在协议中的角色。验证服务级别协议是否满足减轻 DDoS 攻击、维持功能性操作所需的服务,以及与机构相关的任何其他具体要求。
更新与提供商的合同,纳入需要 "手动激活"、额外费用等条款。
更新持续运行计划 (COOP) 和灾难恢复计划 (DRP),确保包括 "手动激活",并记录激活程序和联系点 (POC)。
根据任何适用的互联网服务提供商服务条款协议的要求,至少每年进行一次 DDoS 防护准备演练。
云服务提供商(CSP) 托管服务
01 服务概述
拥有足够计算能力和带宽的云服务提供商可以有效缓解针对网络服务的大规模DDoS。DDoS保护作为托管服务由CSP(如AWS、Azure、GCP和 Oracle)提供。当通过CSP 提供的互联网接入访问面向公众的资源时,各机构应考虑使用CSP 托管的DDoS 保护服务。CSP产品的一个关键优势是能够动态扩展以满足需求,这意味着客户无需为支持DDoS 防护的专用硬件付费。如果机构可以接受DDoS 攻击带来的一定停机风险,则可以接受上文ISP 部分详述的随叫随到/按需保护服务。与需要机构人员手动启动DDoS 保护的保护措施相比,机构应始终考虑自动保护措施。
02 技术因素
如果机构的公共托管网站有多个入口点,则应考虑使用CSP 产品来保护通过CSP 互联网线路访问的网络资源。在制定深度防御DDoS缓解战略时,不应忽视对其他入口点的风险和可用缓解服务产品的评估。DDoS保护服务可能不包括在现有的CSP 承包商中。各机构必须与其CSP沟通,以了解哪些保护服务可用、现有合同中包含哪些保护服务以及哪些保护服务是按需提供的。对于需要手动激活的服务,各机构必须制定、维护和测试激活程序,并建议制定完善和成文的标准操作程序。
CSP托管解决方案的其他功能:
CSP DDoS 缓解解决方案通常采用 CDN 和 WAF(网络应用防火墙)组合作为托管服务,以保护面向网络的资源;
可通过机器学习,根据已知的良好流量模式自动配置,以防范 DDoS 攻击;
如果 CSP 在提供 DDoS 防护托管服务时提供基于信誉的源 IP 威胁情报反馈,各机构应考虑订阅;
基于速率的阻止服务可配置。
03 成本因素
定价通常为固定月费,包括一定数量的公共IP 资源,如果需要保护更多资源,则收取超额费用。一些CSP 还对与DDoS 缓解服务相关的数据传输收费。
04 下一步
与 CSP 合作,充分了解其服务中的内置保护措施,以及哪些是默认提供的,哪些是自选的,哪些需要 "手动 "激活、范围、限制、服务水平协议等;
更新与 CSP 的合同,纳入需要 "手动激活 "的条款、流量激增的额外费用等;
更新 COOP 和 DRP,确保包含 "手动激活 "程序,并记录 POC;
根据任何适用的 CSP 服务条款协议的要求,至少每年进行一次 DDoS 防护准备工作演练。
企业内部解决方案
01 服务概述
内部部署解决方案不太可能有足够的计算能力和带宽来有效缓解针对网络服务的大规模DDoS攻击。内部部署解决方案无法像前面讨论过的缓解措施那样扩展和处理大容量DDoS 攻击。完全依赖内部部署解决方案意味着接受与无法防范DDoS 相关的风险,并且只应考虑第1 节所述的影响最小的URLS,并将风险接受情况记录在案,作为网站运营授权(ATO) 的一部分。
02 技术因素
硬件或虚拟化内部部署解决方案的一个主要缺点是无法扩展以应对大量DDoS 攻击。前面讨论过的CDN、ISP和 CSP解决方案可提供更大规模的DDoS 保护,以更好地应对已知的最大规模DDoS攻击,而内部部署解决方案则仅限于配置的本地互联网线路带宽和任何相关的硬件限制。请注意,行业领先的防火墙供应商确实提供了有限的DDoS 保护,但仍建议订购ISP 或CSP 部分所述的额外DDoS 服务,以获得最全面的保护。
各机构应考虑订阅公开的威胁情报。CISA的共享网络安全服务(SCS) 为联邦民事机构提供免费的商业网络威胁情报。CISA还为各机构提供自动指标共享(AIS) 馈送。这些信息源提供有关源IP 的基于信誉的情报,包括地理位置、组织名称、源IP的已知/过去攻击类型、服务类型(如匿名代理、钓鱼网站)、风险评分机制等。下一代防火墙和WAF 设备可将这些反馈数据转化为动态访问控制列表(ACL),根据这些信誉数据阻止对恶意源IP流量的任何处理。作为尽职调查的一部分,各机构应确认互联网边缘的任何新硬件和现有硬件都有足够的弹性来支持这种功能。
内部部署解决方案的其他功能:
基于设备的解决方案不可扩展,在本地处理 DDoS 攻击流量时面临硬件限制;
一些下一代防火墙供应商将 DDoS 保护作为单独许可模块或包含在标准许可中。这些保护措施受到内部部署解决方案可用带宽和计算资源的限制,很可能无法扩展以应对此类攻击;
网络应用防火墙(WAF)可以更密切地检查网站用户与服务器之间的通信,以识别恶意意图。使用的技术包括设备指纹识别、检测 SQL 注入攻击、跨站脚本和其他可能危及机构网络资源的客户查询。硬件和电路带宽是 WAF 解决方案的限制因素。
03 成本因素
通常情况下,这些内部部署解决方案的成本低于远程擦除解决方案。供应商通常按带宽保护范围出售许可;价格因供应商而异。
04 下一步
与硬件供应商合作,充分了解其服务中的内置保护/限制,以及哪些是默认可用的,哪些是自选的,哪些需要 "手动 "激活、范围、限制、服务水平协议等;
更新与硬件供应商的合同,纳入需要 "手动激活 "的条款、流量激增的额外费用等;
更新 COOP 和 DRP,确保包含 "手动激活 "程序,并记录 POC;
至少每年进行一次 DDoS 防护准备演练。
总结
本技术指南提供了四类影响指标,用于评估大规模DDoS攻击对机构网络服务的影响:(极高、高、中和低)。本文档中的影响分析是风险评估,分析的一个示例,各机构应根据NIST RMF和适当的安全控制措施进行风险评估/分析,以支持风险管理战略。风险缓解技术因其对体积型DDoS 攻击的有效性而各不相同。本指南为各机构提供了目前用于缓解体积型DDoS 攻击的现有缓解技术的技术概述。CDN缓解技术可提供最高程度的保护。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
