DDoS(四):攻守相赴(三)
2021/01/04 04:14:20 網誌分類: 經濟
不過DDoS攻擊手法多樣化,攻擊者每一分鐘都會掃描各個系統,尋找漏洞及弱點。每一次出現新漏洞,不管是正式被發佈,還是在暗網上流傳的零日漏洞,網絡上很快就會出現掃描器,並且不停掃描,尋找有哪些漏洞可作攻擊。
所有系統都有機會成為潛在攻擊目標,那麼如何令攻擊方失去攻擊意欲呢?大家要明白,攻擊者或罪犯都有捨難取易的習性,只要能夠達到目的,誰的系統漏洞較多較嚴重,更容易被打倒,誰就會成為目標;比較「難哽」的系統,就不容易被列為目標。
主動式防禦就是將系統變得「難哽」,包括計算正確的頻寬、硬件和軟件負載管理;網絡和軟件恒常進行漏洞掃描;配置合理正確的軟硬件安全保障設備;清晰並保持更新的網絡硬件拓撲圖、數據資料流向圖及軟硬件版本紀錄;良好而且可追查的更新控制管理和配置管理數據庫;配置正確的安全監控系統、設計良好的安全編碼等,牢牢操控整個系統所有軟硬件狀態,合理把它們更新,安置於防禦當中,令攻擊者對你失去興趣。
然而把所有訊息安全管理事項都做一遍,而且要做對實在相當麻煩。在我多年職業生涯裏面,做足做對做好的客戶並不多,僅要求數據資料流向圖和配置管理數據庫這兩個做得好的,也屬鳳毛麟角。主動式防禦麻煩困難兼花時間,所以目前大部份系統都採用消極式防禦,下周我們一起探討它的利弊。
TOZ聯合創辦人
龐博文
回應 (0)
我要發表