【DDoS攻擊】黑客技術提升　CISA及FBI呼籲加強IoT防禦力

DDoS 攻擊主要價值在於可癱瘓目標企業的業務運作或網上應用服務，美國網絡安全機構 CISA 及執法機關 FBI 聯合發出警告，因應 DDoS 攻擊技術日益提升，呼籲企業應加強防禦力，減少遭受損失。而當中最大的原因，都是跟 IoT（物聯網）裝置的脆弱性有關。

黑客會使用 DDoS 攻擊向企業勒索贖金，否則將向對方的網站或雲端應用服務發動攻擊，令客戶無法訪問網站，員工無法遙距工作，直接打擊企業營運。DDoS 攻擊一般須使用大量殭屍電腦設備，但隨著黑客掌握放大技術，即使只控制較少量 botnet 也能成功，例如今年 6 月 Cloudflare 為客戶攔截的 Mantis，攻擊期間的無效訪問要求便高達 260 億次，但只動用了約 5,000 部殭屍電腦裝置。

美國將推出 loT 安全標籤計劃

正因為黑客發動 DDoS 攻擊時，所需的殭屍電腦儲備不用太多，因此減少一部 IoT 受感染已有很大幫助。CISA 指出最普遍的 IoT 風險便是仍採用出廠密碼及沒有安裝安全更新。前者問題主要出在 IT 管理部門身上，後者則可能與生產商有關，因為對方未有提供一個用家介面，讓用家知道原來已有更新推出。

美國方面已計劃在明年春季推出 IoT 安全標籤計劃，草案建議生產商必須為每部裝置設定不同的出廠密碼，而且亦要求用家在第一次啟用服務時必須更改帳戶名稱及密碼，甚至建議使用高強度密碼。

建議採購 DDoS 防護解決方案

CISA 及 FBI 指出，企業應採購 DDoS 防護解決方案以應對 DDoS 攻擊，如有採用雲端應用服務，更應選用 Web Application Firewall，為網上服務提供保護。至於如何減少業務中斷，官方建議應將重要工作部署在多個節點上，確保其中一個失效，也可採用後備節點繼續提供服務。

由於 DDoS 防護的重點在於清洗惡意流量，而不是攔截所有網站訪問要求，因此企業應細心了解供應商會基於哪些技術過濾惡意流量，較先進的技術有比對數據封包的病毒特徵、IP 信譽及連線請求協議的完整性。此外，企業亦應預先理解收費準則及流量彈性，因為如遭受以 TB 計的 DDoS 流量攻擊，固定式流量計劃未必能應付。

資料來源：https://www.zdnet.com/article/fbi-and-cisa-heres-what-you-need-to-know-about-ddos-attacks/

相關文章：【wepro 小教室】DDoS 分散式阻斷服務攻擊