Embed Size (px)
Citation preview
C o n f i d e n t i a l
如何運用雲端安全防護阻擋網路攻擊
Oliver Wu CEO
蓋亞資訊
C o n f i d e n t i a l
議題流程與範疇
分享資安/網路目前現況及未來趨勢 DDoS 實境攻防演練 (含攻擊方與防禦方)
如何運用合適解決方案,抵禦資安威脅
STEP1 STEP2 STEP3
1
C o n f i d e n t i a l
Securely bringing the Cloud to the Enterprise
網路資安現況與趨勢
C o n f i d e n t i a l 3 3 Sources: Cenzic, Inc. – Feb. 2014, Incapsula, Inc. –2013
根據調查96%的網站皆有弱點 有61.5%的Internet流量是爬蟲/機器人
C o n f i d e n t i a l
網站被攻擊原因
政治報復
4 4
勒索 同業競爭 惡作劇 資料竊取
C o n f i d e n t i a l
網路爬蟲的騷擾
5
• 網路蜘蛛(Web spider)也叫網路爬蟲(Web crawler/scraper),它是一種「自動化瀏覽網頁」的程式,或者說是一種網路機器人。
• 它們被廣泛用於搜尋引擎或資料匯整網站。
• 可能造成無謂的資源消耗,效能不佳,甚至商業損失等。
C o n f i d e n t i a l
惡意駭客的滲透威脅
6
• 非法且惡意的,試圖入侵系統與網路,毀損或使其癱瘓的網路行為。
• 甚至經由網站漏洞,竊取用戶個人資訊,甚至公司內部極機密資訊。
• 置入駭客惡作劇圖片
C o n f i d e n t i a l
DDoS (distributed denial-of-service attack)
• 分散式阻斷服務攻擊者通常會產生大量合法或偽造的封包或請求,最後導致目標系統無法負荷,以達到癱瘓網路/系統的目的。
• DDoS攻擊主要區分為基礎設施層 (Layer 3 和 4) 和應用程式層 (Layer7) 。
7
C o n f i d e n t i a l 8
GLOBAL DDOS THREAT LANDSCAPE Q4 2017
2017 Q4 台灣遭攻擊目標數第一名!
C o n f i d e n t i a l
• 2018年2月28日,Github 代管網站遭到史上最大攻擊量瞬間湧入
• 透過Memcached伺服器漏洞,採用反射和放大流量的攻擊手法
史上最大DDoS攻擊量 1.35Tbs
9
C o n f i d e n t i a l
• 2018年3月一家美國服務供應商遭到殭屍物聯網發動高達 1.7 Tbps的DDoS攻擊
• 仍然是Memcached反射與放大攻擊
• DDoS TB級攻擊成為主流
Netscout, 2018
短短四天又刷新紀錄 !!
10
C o n f i d e n t i a l
最新脈衝式(Pulse Wave)DDoS攻擊!!
• 新一代攻擊策略 • 短短幾分鐘衝上350Gbps攻擊流量後,迅速暫停攻擊,週而復始
• 有效節省攻擊成本 • TTM(Time to Mitigation)成為關鍵。
11
C o n f i d e n t i a l
Securely bringing the Cloud to the Enterprise
全方位雲端資安解決方案
C o n f i d e n t i a l
如何防爬蟲
• 特徵值解析與判定 • IP 信譽評等 • 存取行為分析 • 啟動驗證機制
– JavaScript
– Cookie
– CAPTCHA
13
C o n f i d e n t i a l
如何防入侵
• 透過雲端WAF機制 • 有效防禦阻擋
– 個資遭竊取
– 暴力登入
– 公司機敏資訊遭竊取
14
C o n f i d e n t i a l
Magic Quadrant Leader for WAF 連續五年遙遙領先
15
C o n f i d e n t i a l
如何防DDoS
• 存取裝置分類 • 存取行為分析 • 隱藏源站IP資訊 • 雲端巨型基礎建設可容納大量攻擊
16
C o n f i d e n t i a l
2017 Forrester Wave DDoS 解決方案
Incapsula 遙遙領其他同業
17 17
C o n f i d e n t i a l
DDoS防護評比第一
18 18
C o n f i d e n t i a l
Incapsula Comprehensive DDoS Protection
19 19
HTTP/S 網站 CDN防禦 (Layer 7)
基礎設施防禦 (Layer 3/4)
DNS解析防禦
C o n f i d e n t i a l 20
全球高達 44 DDoS防禦節點,>5Tbps 承載量
C o n f i d e n t i a l
All in One Soultion
Origin CDN L3/4 Scrubbing
WAF Load
Balancer Bot
Manager
Caching DDoS Rules WAF Rules Client Classification App Delivery Rules
21
C o n f i d e n t i a l
決戰外網 • 傳統防禦是在自家機房安裝各
式資安設備,但仍無法有效防禦.原因是:
– 駭客可輕易耗盡頻寬、設備資源.
• 新的雲端防禦的策略是將攻擊阻絕在外部網路,而不是在自家門口
– 雲端擁用超大頻寛.
– 服務租用式,由雲端公司負擔高檔的資安設備或機房
– 隱藏源站來源IP或DNS.
– 快速部署
22
C o n f i d e n t i a l
業界最短防禦啟動時間
• 在SLA保障底下,Incapsula可10秒鐘即刻啟動防禦 • 有效抵禦脈衝式DDoS攻擊 • 將商業影響降到最低
23
C o n f i d e n t i a l
流量清洗服務 BGP Solution (Clean Pipe)
• Any service (SSH, FTP, Telnet, HTTP, etc.) ➢ Layer 3 & 4 DDoS protection
• Proprietary technology (“Behemoth” appliance) in each POP ➢ 170Gbps/50Mpps mitigation power
➢ 利用BGP路由宣告,提供Class C網段保護
24
C o n f i d e n t i a l
*Realtime – 即時觀察 • 源站回應速度是關鍵 • 觀察所有即時存取資訊
– 回源率 – 阻擋率 – 快取率 – 存取工具 – 存取路徑 – 國家等
25
C o n f i d e n t i a l
實際案例 – 詳細的即時存取資訊
• 即時統計Top5 – 存取國家
– 存取裝置
– User Agent
– IP
– URL
26
C o n f i d e n t i a l
Traffic – 歷史資訊
• 查詢歷史存取資訊 – 國家 – 使用工具 – 流量 – 頻寬 – 累計流量 – 拜訪次數
• 最高紀錄90天
27
C o n f i d e n t i a l
Securely bringing the Cloud to the Enterprise
DEMO 1: CDN加速效果
C o n f i d e n t i a l
CDN 加速效果
29
C o n f i d e n t i a l
Securely bringing the Cloud to the Enterprise
DEMO 2: DDoS攻防演練
C o n f i d e n t i a l
US WEST / US EAST / SOUTH AMERICA / EU / CANADA /
ASIA PACIFIC
實境展示架構示意圖
Hacker
受防護
未防護
Web應用層攻擊
攻擊目標 (2)
攻擊目標 (1)
展示情境: 駭客同時DDoS攻擊兩個網站, 顯示有無防護的差異
C o n f i d e n t i a l
C o n f i d e n t i a l
Trusted by more than 200,000 of Customers
33
C o n f i d e n t i a l
結論
雲端優勢: • 快速靈活部署 (網站型約10分鐘上線)
• 不綁ISP線路、支援多線路負載平衡(網站型)
• 快速防禦(幾分鐘內啟動、不用等30分鐘!)
• 唯有巨型雲端能防禦超大流量攻擊
• 24x7 SoC 專業服務
34
• 月收計費標準,節省設備建置成本與營運成本
• 雲端服務基礎建設皆符合業界最高資安標準
• 依據用量靈活動態調整資源
• 動態資源配置可達到超高可用性
• 全球各地攻擊手法偵測,即時更新防禦
C o n f i d e n t i a l
Securely bringing the Cloud to the Enterprise
蓋亞資訊
C o n f i d e n t i a l
蓋亞資訊
36
the best cloud total solution provider
• 亞太區DDoS防禦服務商第一首選
• 雲端服務一站購足
• 中英文 7x24 持續即時服務
