恶意流量攻势下,安全将如何走向“边缘”?
2021-02-08 11:21:48 Author: www.freebuf.com(查看原文) 阅读量:190 收藏

从现在起到2023年,大部分行业都将出现由边缘驱动的投资和业务模式变化。

随着物联网在生活、工作中纵深覆盖,疫情推动下的线上流量暴增,网络边缘设备产生数据的速度超乎想象,而边缘计算问题、边缘网络安全问题,成为亟待解决的关键性问题。

在2020年整体流量成倍增长的同时,恶意流量、攻击性流量的增长引发重视。Akamai区域副总裁暨大中华区总经理李昇指出,各行各业的攻击事件数量和攻击体量都有很大的增长,攻击手段的复杂程度也一再挑战企业的防护能力。当海量流量中产生的数据包类型和数量都远远大于以往时,意味着“恶意”流量可能也会混在其中,攻击者将造成效率更高、危害性更大的网络设备攻击。1612750827_60209feb75535b1c456ca.png!small?1612750828336

Akamai区域副总裁暨大中华区总经理李昇

恶意流量攻击:勒索型DDoS

在2020年的网络安全态势观测中,DDoS攻击历久弥坚,始终是主要的安全威胁之一。根据Akamai的观测,2020年DDoS攻击的数量、规模和复杂度都有明显的提升,其中勒索型DDoS攻击备受瞩目。与其它DDoS攻击相比,勒索型DDoS攻击在技术上并没有本质的区别,但有着更明确的经济诉求。1612750851_6020a0037cd6e9ef987aa.png!small?1612750852267

Akamai成功抵御DDoS攻击的历史记录

从上图可以看到,灰色是带宽指标——带宽越大意味着受害者在互联网的出入口位置受到的压力越大,蓝色代表的是吞吐量、即报文的数量——指标越大意味着网络设备的处理能力面临着更大的压力、攻击者的目的是使CPU或内存这些资源耗尽、过载。而在过去十年中,两个指标增长了约20倍。2020年的数据再次被刷新,最大的带宽攻击达到了1.5 Tbps,最大的吞吐量攻击达到每秒8亿次报文。

Akamai大中华区企业事业部高级售前技术经理马俊表示,T级规模的流量攻击背后,隐藏着有组织、有技术支持的专业团伙,并且大多数与勒索事件有关,以谋取经济利益为攻击目的。1612750861_6020a00d191d3f6b3f8fc.png!small?1612750861997

Akamai大中华区企业事业部高级售前技术经理马俊

此外,数据也显示了2020年勒索型DDoS攻击的一些有趣特点:

1. 勒索型DDoS攻击并不都是邮件中宣称的那些团伙发起的,即一些勒索团伙会假冒其他组织的名义,存在山寨勒索、滥竽充数的情况。

2. 真正由邮件中宣称的组织发起的勒索型DDoS攻击在整个Akamai平台中只占约10%,且并不是每一起去年发生的DDoS攻击都会告知勒索需求。

3. 仍然存在大量新型的、未知的安全威胁。

最后,针对“是否支付赎金”这一问题,此前也有很多安全专家讨论过。有些企业愿意支付赎金,这一举动将降低名誉损失和拿回被加密或是被窃取的数据,免去数据泄露带来的二次攻击,也有企业认为不该支付赎金,否则会助长攻击者的气焰,并且即便支付赎金也难以保证可以拿回数据。对此,马俊认为,企业不应该向勒索团伙妥协,因为没有人可以保证在支付赎金后,能够不被攻击或不再受到威胁。如果企业囿于自身独立安全能力,担心无法与勒索攻击团伙作战,那么也可以选择和厂商一起应对攻击,降低损失。

边缘计算:媒体行业的内容安全解决思路

在疫情推动下,媒体行业流量激增,而越来越多中国企业出海,也让其攻击面扩大到全球范围内。可以说,规模跟性能永远是媒体行业两个最重要的主题。一方面,平台或互联网要支撑更大规模的媒体事件流量,另一方面,还需要保证数据内容不会被恶意用户窃取,及关注版权内容的保护。

以最典型的“防盗链”为例,授权用户在视频网站上观看的内容,视频平台不希望这些用户把视频链接分享给其他人,否则版权得不到保护,会直接影响营收。

然而,互联网中的“盗链”情况却十分普遍。此前,视频公司通过自己开发的机制,在源站上实现防盗链。在实现过程中,如果每一个请求过来后,都需要回到数据中心判断“是否为授权用户”,那么会对效率和用户体验打折扣,但若不这样进行,就会牵扯到很多非授权用户的非法收看。

针对这一情况,Akamai大中华区媒体事业部高级售前技术经理刘烨认为,用边缘安全的思路解决“防盗链”问题是切实可行的。1612750888_6020a02872880488c5f1d.png!small?1612750889310

Akamai大中华区媒体事业部高级售前技术经理刘烨

首先,边缘计算是将应用逻辑从中心化的架构向边缘、向贴近用户的位置转移,这种模式的好处是可以提供更轻松的管理、更快捷地实现“推向市场”的时间,更贴近用户,从而降低核心的网络带宽、降低用户和逻辑交互的时延,让边缘的容量更具弹性和扩展性。此外,边缘计算将成本从集约化的数据中心分散到各地,降低了整体持有成本。1612750897_6020a031e5e11274af896.png!small?1612750898818

在“防盗链”问题上,Akamai只需在和视频客户协商好使用的防盗链机制后,便完全可以把这种逻辑部署在边缘。比如在一起直播事件中,一开始发现内容逐渐被分享给了非授权用户,平台观测到此现象后就启用防盗链策略,随后并发用户的访问数量出现下降,而这些所有部署都在边缘上完成、无需回到源站。

当然,企业除了把所需的防盗链机制运行在Akamai边缘上,也可以运行其他代码。马俊提到的边缘安全解决方案——就是由EdgeWorkers(能够处理用户自定义的活动和代码、运行轻量级业务、让响应变得更快的无服务器框架)、EdgeKV(能够将数据同步到Akamai全球边缘平台的分布式键值数据库)、开发工具包组成,具备通用性、敏捷性和简单性。

安全需求将拉动部分能力向边缘转移

2020年的威胁回顾进一步表明了一个事实:威胁正在走向复杂化,攻击者更加专业,攻击目标正在从中心向边缘转移。而企业的安全防护重点应该涵盖:DDoS防护、爬虫和页面完整性、企业的零信任体系构建以及重要的边缘安全。

根据IDC的预测,向边缘位置交付基础架构、应用程序和数据资源的需求将推动采用新的、以云为中心的边缘和网络解决方案。也就是说,安全需求将拉动部分能力向边缘转移。

一般来说,边缘安全包括了边缘接入、边缘服务器(设备)安全和边缘的身份访问管理等等。随着5G时代的到来,企业对于边缘能力的期望不只是接入网络的延时降低、接入网络带宽升高这么简单。将计算能力、业务逻辑放到边缘成为当下和未来一段时间的趋势。

关于如何放到边缘,刘烨认为,首先要明确哪些业务逻辑放到边缘能给安全性、性能、可扩展性带来实在的好处。然后,再根据用户的访问判断业务逻辑,逐步分析应用,将这些内容陆续放到边缘。


文章来源: https://www.freebuf.com/articles/neopoints/263315.html
如有侵权请联系:admin#unsafe.sh