徐開勇

甲骨文的“紅科技”早已不再局限于概念層面，我們已經(jīng)把奪人眼球的各種先進(jìn)的“黑科技”落實(shí)運(yùn)用到企業(yè)級(jí)產(chǎn)品上，賦予其企業(yè)級(jí)的穩(wěn)定性和可靠性。

在DDoS攻擊期間，時(shí)間是無情的，成功防護(hù)和高成本網(wǎng)絡(luò)停機(jī)之間的區(qū)別只不過是幾秒鐘的時(shí)間。任何能縮短平均檢測(cè)攻擊時(shí)間（MTTD）和平均響應(yīng)攻擊時(shí)間（MTTR）的舉措都將成為您的優(yōu)勢(shì)所在。

在當(dāng)今的云和企業(yè)環(huán)境中尤其如此，在這些環(huán)境中，越來越依賴于互聯(lián)網(wǎng)連接和分布式應(yīng)用程序，再加上不斷變化的各種威脅，這些相互交織在一起的各種因素讓網(wǎng)絡(luò)和安全運(yùn)營(yíng)部門難以招架。安全部門正面臨越來越大的壓力，必須在時(shí)間非常緊迫的情況下，對(duì)哪些威脅是真實(shí)的，應(yīng)部署哪些防護(hù)措施及時(shí)做出嚴(yán)謹(jǐn)?shù)呐袛唷?/p>

這使得自動(dòng)化成為選擇DDoS防御解決方案時(shí)最優(yōu)先考慮的因素。合適的解決方案能夠及早發(fā)現(xiàn)攻擊，并在攻擊影響網(wǎng)絡(luò)服務(wù)之前自動(dòng)部署相應(yīng)的對(duì)抗措施，從而為您贏得寶貴的時(shí)間。

自動(dòng)化措施必須能從根本上阻止攻擊，而不會(huì)阻斷合法的數(shù)據(jù)流，必須告知管理人員阻斷了什么以及為什么阻斷。換句話說，自動(dòng)化措施要想有效，必須引導(dǎo)用戶找到正確答案，提供語境和支持分析，最重要的是整個(gè)過程是由人指導(dǎo)的，而不是“黑盒子”。

Arbor Networks DDoS解決方案有三種形式利用自動(dòng)化

內(nèi)置對(duì)抗措施—Arbor Networks APS，這是為企業(yè)和數(shù)據(jù)中心應(yīng)用提供的內(nèi)置不間斷DDoS緩和解決方案，集成了30多種內(nèi)置的自動(dòng)對(duì)抗措施，每一種都基于我們對(duì)攻擊場(chǎng)景的深刻體驗(yàn)和知識(shí)，檢測(cè)某種類型的攻擊并自動(dòng)進(jìn)行處理。

如果剛部署APS便出現(xiàn)了攻擊，仍然能立即激活對(duì)抗措施，因?yàn)樗恍枰獙W(xué)習(xí)時(shí)間或者基本前提條件。雖然這些內(nèi)置的對(duì)抗措施被設(shè)計(jì)為能夠立即有效地工作，但也可以根據(jù)用戶的特殊安全策略和風(fēng)險(xiǎn)閾值，對(duì)觸發(fā)條件進(jìn)行定制配置。

動(dòng)態(tài)威脅情報(bào)—Arbor的主動(dòng)威脅級(jí)別分析系統(tǒng)（ATLAS-Active Threat Level Analysis System），這一世界上覆蓋范圍最廣的威脅情報(bào)收集平臺(tái)能夠近乎實(shí)時(shí)地查看全球互聯(lián)網(wǎng)威脅活動(dòng)。不僅僅是收集和分析數(shù)據(jù)，Arbor安全工程和響應(yīng)團(tuán)隊(duì)（ASERT-Arbors Security Engineering & Response Team）整理這些威脅情報(bào)，通過ATLAS情報(bào)傳送（AIF -ATLAS Intelligence Feed）系統(tǒng)直接發(fā)送到Arbor APS和Arbor SP/TMS情報(bào)DDoS攻擊防護(hù)系統(tǒng)中，將其應(yīng)用于威脅策略和對(duì)抗措施模板中。

AIF包含與不同類型威脅相關(guān)聯(lián)的規(guī)則表，每種類型都有相關(guān)的風(fēng)險(xiǎn)級(jí)別（高、中和低），并隨著新的威脅策略和規(guī)則的發(fā)展而不斷更新Arbor部署。

云信令—安全專家越來越多地推薦分層或者混合DDoS保護(hù)策略，這種策略結(jié)合了本地和基于云的攻擊防護(hù)能力，最大度地提高效能。這給企業(yè)提供了可擴(kuò)展的防御解決方案，能夠應(yīng)對(duì)不同類型和規(guī)模的攻擊。Arbor提供了支持這種混合方法的全線產(chǎn)品。

本地保護(hù)能夠立即檢測(cè)到大部分通常針對(duì)防火墻、IPS系統(tǒng)和網(wǎng)絡(luò)周邊設(shè)備的小規(guī)?！暗蛯?、慢速”攻擊，而在云端服務(wù)提供商級(jí)別上能很好地抵御規(guī)模較大的攻擊。要想有效地挫敗這些多層攻擊需要兩種防御組件同步工作。

云信令是Arbor的一種機(jī)制，通過它，本地組件（Arbor APS）實(shí)時(shí)與服務(wù)提供商的云組件（Arbor SP/TMS、Arbor云）進(jìn)行通信，使攻擊數(shù)據(jù)和防護(hù)措施同步。如果本地的攻擊流量增大到用戶設(shè)定的臨界值，云信令（Cloud Signaling）會(huì)自動(dòng)觸發(fā)基于云的DDoS攻擊防護(hù)對(duì)抗措施，共享被阻斷的IP和濫用類型等攻擊數(shù)據(jù)。當(dāng)安全運(yùn)營(yíng)商看到威脅越來越嚴(yán)重時(shí)，也可以人工啟動(dòng)云信令。Arbor的混合解決方案使網(wǎng)絡(luò)和安全部門能夠非常靈活的配置和調(diào)整他們的云信令策略。

市場(chǎng)上的很多DDoS解決方案在很大程度上依賴于所謂“一勞永逸”的自動(dòng)化措施，這需要大量的基本前提條件和知識(shí)學(xué)習(xí)，但在很多情況下仍然無法區(qū)分真正的攻擊和激增的合法流量，而且?guī)缀鯖]有攻擊分析能力。這種方法有三方面的缺點(diǎn)：誤觸發(fā)，阻斷有效的客戶會(huì)話，以及缺少可見性。

因此，重要的一點(diǎn)是選擇一種智能DDoS攻擊防護(hù)解決方案，能夠迅速、自動(dòng)地區(qū)分實(shí)際攻擊和流量激增，當(dāng)出現(xiàn)攻擊時(shí)，動(dòng)態(tài)的啟用或者禁用相應(yīng)的對(duì)抗措施。

隨著DDoS攻擊越來越老練，攻擊方法層出不窮，而企業(yè)也越來越了解針對(duì)他們發(fā)起的攻擊的特性，因此，能夠靈活地更新、重新配置和完善自動(dòng)響應(yīng)功能也同樣重要。