介紹

　　分布式拒絕服務(wù) (DDoS) 攻擊的復(fù)雜性、規(guī)模和頻率都在不斷增加。其目標(biāo)和攻擊方法的范圍(例如，從使用 PC 和筆記本電腦等傳統(tǒng)設(shè)備到使用聯(lián)網(wǎng)的物聯(lián)網(wǎng) (IoT) 設(shè)備)也在不斷擴(kuò)大。企業(yè)如果希望減輕未來(lái) DDoS 攻擊的影響，并降低內(nèi)部設(shè)備被納入僵尸網(wǎng)絡(luò)攻擊其他企業(yè)的可能性，就會(huì)發(fā)現(xiàn)目前尚無(wú)全面的指南。大型企業(yè)被迫投入大量財(cái)力和人力資源來(lái)識(shí)別、采購(gòu)和部署適當(dāng)?shù)木徑鈾C(jī)制。小型企業(yè)通常缺乏專(zhuān)業(yè)知識(shí)，或者無(wú)力將這些資源用于制定反 DDoS 策略。全面的解決方案非常復(fù)雜，通常需要結(jié)合本地管理和外部商業(yè)服務(wù)，因此將組織需求傳達(dá)給服務(wù)提供商和供應(yīng)商至關(guān)重要。

　　《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》(簡(jiǎn)稱(chēng)“網(wǎng)絡(luò)安全框架”)由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 制定，并廣泛聽(tīng)取了私營(yíng)部門(mén)的意見(jiàn)。該框架提供了一種基于風(fēng)險(xiǎn)的靈活網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法，并融合了行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐。網(wǎng)絡(luò)安全框架的設(shè)計(jì)旨在使各個(gè)組織能夠確定自身獨(dú)特的風(fēng)險(xiǎn)、容忍度、威脅和漏洞，從而優(yōu)先配置資源，最大限度地提高效率。

　　該框架廣泛適用于各種行業(yè)、組織、風(fēng)險(xiǎn)承受能力和監(jiān)管環(huán)境，并可通過(guò)使用配置文件進(jìn)行補(bǔ)充。根據(jù)框架的定義，配置文件是指將框架組件應(yīng)用于特定行業(yè)、威脅或組織。配置文件可根據(jù)具體情況，通過(guò)應(yīng)用框架類(lèi)別和子類(lèi)別進(jìn)行定制，以適應(yīng)特定的實(shí)施方案。配置文件的構(gòu)建應(yīng)考慮組織的a)業(yè)務(wù)/使命目標(biāo);b)監(jiān)管要求;以及c)運(yùn)營(yíng)環(huán)境。

　　組織可以使用配置文件，根據(jù)其業(yè)務(wù)目標(biāo)定義網(wǎng)絡(luò)安全態(tài)勢(shì)的理想狀態(tài)，并以此衡量實(shí)現(xiàn)該狀態(tài)的進(jìn)度。它使組織能夠分析特定目標(biāo)所需的成本、工作量和風(fēng)險(xiǎn)。行業(yè)部門(mén)也可以使用配置文件來(lái)記錄針對(duì)特定威脅的最佳實(shí)踐。

　　DDoS 威脅緩解概要強(qiáng)調(diào)了如何利用網(wǎng)絡(luò)安全框架來(lái)提升組織機(jī)構(gòu)對(duì) DDoS 攻擊的防御和響應(yīng)能力。本概要確定了對(duì)抗 DDoS 威脅最重要的網(wǎng)絡(luò)安全框架類(lèi)別和子類(lèi)別。為了進(jìn)一步完善概要，新增了優(yōu)先級(jí)和框架注釋。類(lèi)別和子類(lèi)別均標(biāo)有不同的優(yōu)先級(jí)，用于保護(hù)網(wǎng)絡(luò)和服務(wù)免受相關(guān)攻擊：

　　P1 – 最高優(yōu)先級(jí)子類(lèi)別

　　P2 – 次要優(yōu)先級(jí)子類(lèi)別

　　P3 – 第三優(yōu)先級(jí)子類(lèi)別

　　組織應(yīng)努力實(shí)施所有已確定的子類(lèi)別，但當(dāng)資源不允許這樣做時(shí)，實(shí)施 P1 子類(lèi)別將提供堅(jiān)實(shí)的基礎(chǔ)。

　　DDoS 威脅緩解配置文件是一個(gè)目標(biāo)配置文件，專(zhuān)注于組織網(wǎng)絡(luò)安全的期望狀態(tài)，以緩解 DDoS 威脅。希望增強(qiáng)網(wǎng)絡(luò)抵御 DDoS 攻擊能力的企業(yè)可以從使用 DDoS 威脅緩解配置文件中獲益良多。

　　本概要旨在為企業(yè)提供指導(dǎo)，并建立與產(chǎn)品供應(yīng)商、互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 和其他基礎(chǔ)設(shè)施提供商就 DDoS 緩解機(jī)制進(jìn)行討論的通用語(yǔ)言。本概要可用于幫助企業(yè)識(shí)別改進(jìn) DDoS 威脅緩解措施的機(jī)會(huì)，并通過(guò)將企業(yè)當(dāng)前狀態(tài)與期望目標(biāo)狀態(tài)進(jìn)行比較來(lái)協(xié)助確定網(wǎng)絡(luò)安全優(yōu)先級(jí)。需要注意的是，本概要并未直接闡述組織應(yīng)如何防止其資產(chǎn)成為僵尸網(wǎng)絡(luò)的一部分，并可能成為針對(duì)其他組織的 DDoS 攻擊的一部分。為了做到這一點(diǎn)，需要?jiǎng)?chuàng)建一組子類(lèi)別，這些子類(lèi)別最好在單獨(dú)的概要中描述。

　　受眾

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一項(xiàng)企業(yè)范圍內(nèi)的活動(dòng)，因此本概要旨在供組織內(nèi)的多個(gè)部門(mén)使用。雖然信息技術(shù)和安全團(tuán)隊(duì)可能最終負(fù)責(zé)在整個(gè)組織內(nèi)推薦、實(shí)施和維護(hù)技術(shù)安全控制措施，但風(fēng)險(xiǎn)遠(yuǎn)不止于技術(shù)層面。因此，本概要的目標(biāo)受眾是任何對(duì) DDoS 攻擊負(fù)有責(zé)任或可能受其影響的個(gè)人或業(yè)務(wù)部門(mén)。這其中應(yīng)包括法律和監(jiān)管風(fēng)險(xiǎn)經(jīng)理。

　　信息技術(shù)和安全人員可以使用該配置文件來(lái)確定開(kāi)發(fā)、實(shí)施和維護(hù)有效的 DDoS 緩解策略所需的技術(shù)和服務(wù)類(lèi)型。

　　法律和監(jiān)管人員可以使用此配置文件將 DDoS 風(fēng)險(xiǎn)的內(nèi)部管理與外部要求相結(jié)合，并確保組織滿(mǎn)足這些要求。

　　合規(guī)團(tuán)隊(duì)可以使用此配置文件來(lái)確定組織是否已實(shí)施正確的措施來(lái)防范 DDoS 攻擊。

　　DDoS威脅概述

　　DDoS 攻擊試圖利用來(lái)自多個(gè)來(lái)源的流量淹沒(méi)網(wǎng)絡(luò)、服務(wù)或應(yīng)用程序。DDoS 攻擊有多種方法，包括：

　　低帶寬面向連接的攻擊旨在啟動(dòng)并保持受害者的多個(gè)連接打開(kāi)，耗盡其可用資源。

　　高帶寬容量攻擊會(huì)耗盡可用的網(wǎng)絡(luò)或資源帶寬。

　　面向協(xié)議的攻擊利用 TCP 等有狀態(tài)網(wǎng)絡(luò)協(xié)議。

　　應(yīng)用層攻擊旨在破壞應(yīng)用程序或服務(wù)的某些方面。

　　雖然這些方法都可能非常有效，但近年來(lái)，由于幾起備受矚目的事件，容量耗盡攻擊引起了人們的極大關(guān)注。反射放大就是容量耗盡 DDoS 攻擊向量的一個(gè)突出示例。這種 DDoS 攻擊會(huì)偽造攻擊目標(biāo)的 IP 地址，并從該地址向互聯(lián)網(wǎng)上的開(kāi)放服務(wù)發(fā)起查詢(xún)以請(qǐng)求響應(yīng)。此方法中使用的服務(wù)通常會(huì)經(jīng)過(guò)精心選擇，使得對(duì)初始查詢(xún)的響應(yīng)大小是查詢(xún)本身的許多倍(x100s)。響應(yīng)會(huì)返回給偽造 IP 的真正所有者，因此有“反射”一詞。這種攻擊向量允許攻擊者生成海量攻擊流量，同時(shí)使目標(biāo)難以確定這些流量的原始來(lái)源。反射放大是過(guò)去十年互聯(lián)網(wǎng)上一些最大規(guī)模 DDoS 攻擊的罪魁禍?zhǔn)住?/p>

　　DDoS 通常被稱(chēng)為“武器化”威脅，因?yàn)榘l(fā)動(dòng)攻擊不再需要技術(shù)技能。事實(shí)上，進(jìn)行 DDoS 攻擊的服務(wù)已經(jīng)激增，并且成本相對(duì)較低，易于獲取。攻擊者可以通過(guò)多種方式增強(qiáng)其攻擊能力，例如使用惡意軟件感染聯(lián)網(wǎng)設(shè)備、在托管環(huán)境中部署服務(wù)器、利用程序缺陷或其他漏洞，以及利用聯(lián)網(wǎng)設(shè)備上訪(fǎng)問(wèn)控制不足的情況創(chuàng)建僵尸網(wǎng)絡(luò)。美國(guó)仍然是 DDoS 攻擊最常見(jiàn)的目標(biāo)，美國(guó)公共和私人基礎(chǔ)設(shè)施中受感染的主機(jī)最常被用作 DDoS 攻擊的源頭。可用性是信息安全的核心支柱，但評(píng)估和緩解基于可用性的威脅(例如 DDoS)的運(yùn)營(yíng)責(zé)任和紀(jì)律通常由網(wǎng)絡(luò)運(yùn)營(yíng)或應(yīng)用程序所有者以及風(fēng)險(xiǎn)和信息安全團(tuán)隊(duì)承擔(dān)。由于這種責(zé)任的劃分，風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)這些威脅的運(yùn)營(yíng)程序都可能出現(xiàn)分歧。本概要的目標(biāo)是確保通過(guò)應(yīng)用網(wǎng)絡(luò)安全框架中概述的適當(dāng)建議和最佳實(shí)踐，全面解決保護(hù)和應(yīng)對(duì) DDoS 威脅所需的戰(zhàn)略和運(yùn)營(yíng)紀(jì)律。

　　如何使用資料

　　重要的是要認(rèn)識(shí)到，該框架旨在以全面的方式實(shí)施。也就是說(shuō)，它應(yīng)該被整合到整個(gè)組織的整體風(fēng)險(xiǎn)管理政策、程序和計(jì)劃中。這意味著風(fēng)險(xiǎn)所有者和管理人員必須決定哪些類(lèi)別和子類(lèi)別適用于整個(gè)企業(yè)，以及哪些適用于特定的業(yè)務(wù)部門(mén)。此外，由于某些子類(lèi)別具有法律和監(jiān)管含義，因此在實(shí)施本概要的過(guò)程中必須咨詢(xún)法律顧問(wèn)。最后，與所有安全計(jì)劃一樣，高層領(lǐng)導(dǎo)應(yīng)該了解正在開(kāi)展的工作，并授權(quán)相關(guān)活動(dòng)，授權(quán)方式可以是直接授權(quán)，也可以是通過(guò)常規(guī)政策或授權(quán)。

　　考慮一個(gè)在實(shí)踐中如何實(shí)現(xiàn)一個(gè)特定子類(lèi)別的示例：

　　框架核心子類(lèi)別 ID.AM-1 規(guī)定“組織內(nèi)的物理設(shè)備和系統(tǒng)已清點(diǎn)”。此子類(lèi)別的相對(duì)重要性基于一個(gè)廣為接受的理念：你無(wú)法妥善保護(hù)你不了解的東西。這種挑戰(zhàn)通常體現(xiàn)在許多人所說(shuō)的“影子 IT”上，即在未經(jīng)安全和運(yùn)營(yíng)團(tuán)隊(duì)知情或批準(zhǔn)的情況下連接到企業(yè)網(wǎng)絡(luò)的設(shè)備。因此，這些設(shè)備可能無(wú)法受到組織已實(shí)施的安全機(jī)制的妥善保護(hù)，從而帶來(lái)潛在風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的性質(zhì)取決于設(shè)備的連接方式和位置。連接到保存所有員工數(shù)據(jù)的人力資源系統(tǒng)的未經(jīng)授權(quán)的設(shè)備可能比連接到已適當(dāng)隔離的酒店大堂供客人使用的計(jì)算機(jī)的設(shè)備帶來(lái)更大的風(fēng)險(xiǎn)。然而，風(fēng)險(xiǎn)已經(jīng)存在，如果無(wú)法識(shí)別該設(shè)備，則可能無(wú)法采取適當(dāng)?shù)木徑獯胧?/p>

　　從這個(gè)角度來(lái)看，ID.AM-1 對(duì)整個(gè)企業(yè)都至關(guān)重要，應(yīng)該得到切實(shí)的應(yīng)用。回到 DDoS 防御概要，ID.AM-1 的具體應(yīng)用場(chǎng)景則更為具體。

　　一般來(lái)說(shuō)，DDoS 僅對(duì)面向互聯(lián)網(wǎng)的系統(tǒng)構(gòu)成威脅。這通常包括網(wǎng)站、應(yīng)用服務(wù)器和網(wǎng)關(guān)路由器。在這種情況下，ID.AM-1 專(zhuān)門(mén)針對(duì)這些類(lèi)型的設(shè)備，而實(shí)施該配置文件意味著確保這些設(shè)備已完全清點(diǎn)，作為企業(yè)整體設(shè)備識(shí)別和清點(diǎn)工作的一部分。

　　同樣的模式也適用于本概要中提出的其他子類(lèi)別。換句話(huà)說(shuō)，本概要應(yīng)在更廣泛的企業(yè)風(fēng)險(xiǎn)管理背景下實(shí)施，而非作為一種獨(dú)立的方法。

　　該配置文件使組織能夠采用框架并專(zhuān)注于一個(gè)主要威脅，這有助于分配資源以及衡量和報(bào)告受到威脅的系統(tǒng)對(duì) DDoS 的緩解程度。

　　從現(xiàn)在開(kāi)始，組織如何使用配置文件將根據(jù)某些因素而有所不同，包括：

　　了解威脅及其對(duì)組織的潛在影響;

　　可用的財(cái)務(wù)、人力和知識(shí)資源;

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃和程序的成熟度;以及

　　組織將如何衡量結(jié)果。

　　首先，企業(yè)需要充分了解 DDoS 威脅對(duì)其意味著什么。評(píng)估真正的風(fēng)險(xiǎn)意味著要思考服務(wù)不可用將如何影響業(yè)務(wù)運(yùn)營(yíng)。當(dāng)客戶(hù)無(wú)法訪(fǎng)問(wèn)您的電商網(wǎng)站時(shí)，這可能意味著收入損失。或者，這可能意味著關(guān)鍵業(yè)務(wù)合作伙伴無(wú)法連接到共享信息所必需的應(yīng)用程序接口。無(wú)論如何，如果不充分了解風(fēng)險(xiǎn)，就很難確定需要應(yīng)用哪些資源。

　　有了這樣的理解，接下來(lái)就必須結(jié)合現(xiàn)有資源來(lái)考量風(fēng)險(xiǎn)。不同組織的情況差異很大，對(duì)中小型企業(yè)的影響尤其大。這正是“優(yōu)先級(jí)”可以發(fā)揮作用的地方。首先，盡可能多地實(shí)施 P1 子類(lèi)別，然后根據(jù)風(fēng)險(xiǎn)的演變逐步推進(jìn)。

　　組織現(xiàn)有網(wǎng)絡(luò)安全政策、程序和方案的成熟度至關(guān)重要。如果尚未實(shí)施基本的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，或者只是臨時(shí)性的，那么有效且高效地實(shí)施針對(duì) DDoS 攻擊的緩解措施將極具挑戰(zhàn)性。

　　最后，一旦DDoS緩解機(jī)制到位，重要的是確保組織流程得到實(shí)施，以便持續(xù)監(jiān)測(cè)和報(bào)告結(jié)果。這應(yīng)該包括：

　　嘗試進(jìn)行 DDoS 攻擊的次數(shù)以及緩解措施的成功程度;以及

　　定期審查新的 DDoS 緩解技術(shù)和服務(wù)，以確保根據(jù)風(fēng)險(xiǎn)制定最有效的機(jī)制。

　　在本節(jié)及整篇文檔中提出的高級(jí)指南框架內(nèi)，每個(gè)組織最終都會(huì)找到適合自身情況的方法來(lái)使用本概要。這正是本概要的初衷，并且與網(wǎng)絡(luò)安全框架的整體使用完全一致。

　　參考文獻(xiàn)

　　在制定本簡(jiǎn)介時(shí)考慮了以下參考信息：

　　聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì) (FFIEC) DDoS 聯(lián)合聲明

　　FCC 通信安全、可靠性和互操作性委員會(huì) (CSRIC) WG-5 基于服務(wù)器的 DDoS 攻擊補(bǔ)救措施– 2014 年 9 月

　　NIST SP 800-44 版本 2– 公共 Web 服務(wù)器安全指南 - 2007 年 9 月

　　NIST SP 800-53 修訂版 4 - 聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制 - 2013 年 4 月

　　IETF BCP 38- 網(wǎng)絡(luò)入口過(guò)濾：防御利用 IP 源地址欺騙的拒絕服務(wù)攻擊 - 2000 年 5 月

　　IETF BCP 84- 多宿主網(wǎng)絡(luò)入口過(guò)濾 – 2004 年 3 月

　　IETF RFC 4732- 互聯(lián)網(wǎng)拒絕服務(wù)注意事項(xiàng) – 2006 年 11 月

　　IETF RFC 4778- 互聯(lián)網(wǎng)服務(wù)提供商環(huán)境中的當(dāng)前運(yùn)營(yíng)安全實(shí)踐 - 2007 年 1 月

　　IETF RFC 5635- 使用單播反向路徑轉(zhuǎn)發(fā) (uRPF) 進(jìn)行遠(yuǎn)程觸發(fā)黑洞過(guò)濾 - 2009 年 8 月