兩家採用遠傳雲端防護服務的證券期貨業者,成功通過證交所年度舉行的DDoS流量攻擊演練。透過獨特的CDN技術,徹底清洗惡意流量,維持券商營運的連續性,並間接提升攻擊者查找有效攻擊手法的成本。
駭客大規模的分散式阻斷攻擊(DDoS)事件,在全球頻傳,臺灣亦不能倖免。2017年,證券期貨市場遭逢大規模DDoS勒贖攻擊事件,多家業者網路下單功能停擺半個多小時,蒙受不小損失。基於防患未然,臺灣證券交易所依主管機關金管會證期局指示,開始每年不定期舉辦證券期貨市場「DDoS攻擊演練」活動。
基於2017年攻擊者主要以頻寬耗損的攻擊手法,達到癱瘓網路的目的,證交所便以此攻擊手法,研擬具體演練計劃──目的在於驗證證券期貨業者防護機制的有效性,並測試業者對攻擊事件通報流程的熟悉度。
採用遠傳電信提供的DDoS雲端防禦服務的致和證券與大昌證券,都參與了證交所於2018年辦理的DDoS攻擊演練。證交所以此為例,指出箇中特點:「與其他ISP業者的服務相較之下,遠傳電信的DDoS防禦機制的特點在於──CDN技術有效的隱藏了目標的網路位址,且對惡意流量的清洗與導流做得很徹底。」
驗證防護有效性 測試事件通報熟悉度
DDoS攻擊可概分為「頻寬耗損」和「資源耗損」兩類攻擊。前者是透過大量傳送網路封包,癱瘓攻擊目標的網路線路;後者是藉由佔住攻擊目標的連線資源,讓其服務過於忙碌,而無法為一般使用者提供正常服務。
證交所電腦規劃部專員楊英伸指出:「我們採用頻寬耗損的DDoS攻擊模式來設計演練情境。為了測試防護的有效性,受測的證券期貨業者事先會知情,但對提供網路服務的ISP業者保密。」
演練的主要評核標準又分為技術面與程序面兩部分。技術面看的是,業者建置的流量清洗機制是否有效。在演練過程中,證交所會透過自動偵測與人為檢視兩種方式,來觀察受測網站建置的流量清洗機制,能否在與ISP業者議定的時效內有效清洗惡意的攻擊流量。至於程序面,證交所則注重業者辦理應變措施的熟悉度;特別是觀察受測業者能否在獲知DDoS攻擊後30分鐘內,向主管機關通報事件。
有效隱藏客戶網址 遠傳CDN確保營運連續
目前,對抗頻寬耗損攻擊的常見做法之一為CDN服務,CDN服務會先把網路流量導到清洗中心,清洗完惡意流量後,再把乾淨的流量導回客戶端。這樣的轉向式防護機制,可以有效地隱藏客戶端的網路位址,避免攻擊者直接針對網路位址發動攻擊。
證交所在演練過程觀察到,「在我們測試過程中,遠傳電信的CDN服務,自始至終都把客戶的網路位址隱蔽得很好。如此一來,不但有效發揮CDN的功效,也間接地提升攻擊者查找有效攻擊手法的成本。」
事實上,企業使用CDN雲端DDoS防護服務,其成效遠比自購資安設備來得好,關鍵在於一旦遭受大量攻擊封包,可避免企業連外網路被塞爆。
遠傳的資安服務團隊補充表示:「我們的雲端防護服務是把防禦DDoS設備,建置於網路骨幹當中;透過『監聽-過濾』機制,讓乾淨的流量進到客戶主機,惡意流量則進行攔阻。因此,發動攻擊的流量不會直接塞爆企業的頻寬,用戶得以維持營運連續性,提供安全無虞的網路環境。而且該服務採取月租方式,亦可降低企業的投入成本。」
營運持續的關鍵課題─網路資安防護
隨著新興科技的發展,發動DDoS攻擊的成本及技術門檻降低,全球DDoS攻擊事件頻傳,攻擊規模也逐漸增加。投入全球化競爭的企業,必須正視網路資安防護與資安健檢服務。對於這道企業營運持續的關鍵議題。證交所除特別感謝遠傳電信對提升臺灣DDoS防護能量所做的努力外,也對證券期貨業者提出建言。
「持續提升證券期貨市場對DDoS攻擊的防護能力,一直是金融主管機關與證券期貨周邊單位,近期努力的目標。證券期貨業者在主管機關的要求下皆已具備DDoS防護機制,但證交所仍建議證券期貨業者應適時強化防護強度,再搭配每年實施的攻擊演練,否則一旦突然遭受鎖定攻擊,可能造成服務中斷,商譽也將因此受損。」