拒绝服务攻击响应需要更佳的业务连续性规划

在网络上，对隐私权的担忧是一直存在的，最近的一些新闻事件则将这个问题更进一步推到大家面前。

尽管遭到很多团体（甚至包括法国和欧盟的监管单位）的反对，但从本月初开始，Google将开始实施“新”的隐私策略。新的隐私策略使得Google可以在自己的所有服务中使用用户通过一种服务产生的数据，这是一种前所未有的做法。根据Google的介绍，这是为了“提供更加简单直观的Google使用体验”。

不光搜索引擎有隐私问题，在今年二月初，流行的手机软件Path和Hipster都被发现会将用户的手机通讯录上传到自己的服务器。随后iOS和Android也都被发现会在未经用户许可的情况下，让应用程序可以访问用户的照片。

到目前为止，还没有一套可以让企业在掌握我们数据的同时，必须遵守以及对此负责的准则。基本上，当企业能够访问我们的个人数据，并且将之保存到企业的设备上加以处理时，与隐私有关的结果就不言而喻了。

今年二月，很多网络广告和主要网络公司，例如AOL、Google、微软，以及雅虎都同意实施“请勿追踪”功能：基本上，这个功能可以让网站（以及网络广告）不再追踪用户。但这种技术同时也影响了广告商的某些业务，例如个性化广告。

这是根据白宫所提出的“消费者隐私权法案”实施的，这份白皮书包括的各项原则其实都是一些基本常识：他们让用户在网上存储的数据可以和自己电脑中保存的数据一样，获得相同的保护。从根本上来说，美国的做法是首先呼吁网络公司和业界自愿实施这些规范，然后再由监管单位强制执行。

这是否意味着用户再也不需要担心自己的隐私问题，而广告商和网站也不会再滥用他们对用户所了解的一些信息？很遗憾，这是不可能的。

请勿追踪技术目前还不能立刻投入使用，甚至如何实施，该技术如何运作，这些技术细节尚未完全确定。总之用户可能需要等待一段时间，才能真正享受到这项技术带来的保护。

这件事的意义主要是，监管部门终于开始注意隐私问题，而企业也意识到他们必须开始对此加以关注，而不只是发出一堆晦涩的，谁也看不懂，没有任何实质含义的文件。欧洲隐私监管机构已经对Google新的隐私策略展开调查。而因为和美国加州当局达成了协议，Apple和Google等移动软件在线商店在原则上已经同意，对于需要收集个人信息的应用，强制要求开发人员必须在自己的应用中提供隐私策略。

用户对网络追踪和个人隐私的关心是很真实的。Pew Research的调查报告发现，几乎三分之二的美国搜索引擎用户不允许使用个性化搜索功能，此外针对个性化网络广告，抵制的人大概也是这样的比例。昆士兰大学的一份独立研究报告显示，澳洲用户也抱有类似的态度。很显然，用户对于会在他们身上收集什么信息，以及如何利用这些信息等问题都是非常关注的。

在数字化时代，关于隐私的争辩毫无疑问还将继续下去。每个人对于如何在隐私和方便之间取得平衡点都持有不同的标准，但用户应该要能自由地为自己作决定，而且必须有足够的信息和工具来帮助决定自己的数据最终会去往哪里。

注释：作者David Sancho现为趋势科技资深威胁研究员。　　尽管因特网安全技术在发展，高调的拒绝服务(denial-of-service，简称DoS)攻击还是不断地干扰许多组织的运转。少数公司已经准备好应付DoS攻击，但是对于组织来说在DoS攻击发生前进行DoS攻击响应规划至关重要。这些业务连续性规划应该不仅包括技术步骤。更为全面深入的DoS攻击预防规划必须判断如何在特定的场景下继续业务运转。在本文中，我们会援引最近发生的DoS攻击事件来分析DoS威胁的广度和深度，和如何同时从技术以及关键业务和通信策略出发来应对DoS攻击，这些能有助于更快和更经济地处理状况。

DoS威胁的宽度和深度

在2000年发生著名的针对Yahoo、eBay、CNN和Amazon web站点Mafiaboy(黑手党男孩) DDoS攻击前，DoS攻击已经出现有一段时间了。然而自从那以后DoS攻击的威胁发生了极大的变化。在Mafiaboy攻击时期，大多数的工具要求某种程度的专业技能，但是更多现代的用JavaScript编写的工具是在用户的Web浏览器内运行，这使得事实上任何人都可能尝试发起DoS攻击。声名狼藉的黑客团体Anonymous在他们的DDoS攻击中已经使用了这些工具。这些攻击工具一直是用于发起基础的IP和应用级别攻击，造成企业的带宽和处理能力被压垮。

而且，当攻击者拥有许多攻击节点、或者换句话说就是用于DDoS攻击的僵尸网络(botnet)时，DoS攻击仍然是最为有效的方式。这是因为很难阻断大量的攻击来源，并且对于单个攻击系统来说要求的带宽是低的，所以即使是网速很慢的系统也能被利用来攻击。

DoS攻击响应准备：业务规划

公司对于DoS攻击准备的工作应该包括通信、业务连续性规划以及让ISP参与进来。如果企业的Web站点位于公司外的主机提供商，必须确保服务提供商有能力、工具和流程来及时地对DoS攻击做出响应。不管使用什么工具，服务提供商需要知道如何有效地使用该工具并且制定有效的流程。如果在DoS攻击后没有取消一些短期地将DoS攻击影响最小化步骤，可能在复杂性上造成消极的长期影响。

企业也应该在它和服务提供商的合同条款中包括DoS攻击响应服务内容，并且可能的话甚至增加应该包括在服务品质协议(service-level agreement，简称SLA)中的响应的详细内容。例如，确保SLA要求记载响应时间是明智的，因为对于企业的Web站点来说更短的宕机时间可能带来更快的响应时间。

当协商合同内容时，可能也要提前协商费用以及额外的使用报价。提前做这些事情以防在事故期间服务提供商因为额外的服务索要离谱的费用。以协商好的价格拥有SLA也能确保ISP或是主机提供服务商满足可用性要求，例如企业Web 站点99.9%的正常运作时间。

同样，在规划对DoS攻击做出响应时，企业的计算机安全事故响应团队(computer security incident response team，简称CSIRT)应该建立与业务部门、包括在业务运作方面主要决策者沟通的方法，以确保在事故期间告知重要的利益相关人并与其磋商。应该认定主要的决策者，并且赋予其在最坏情况下中断因特网连接、或是仅是中断部分因特网连接的权力。禁用因特网连接可能要求高层领导签署决策，但是断开单个网络连接可由CSIRT团队决定。同相关内部部门的沟通也应该开放，包括市场或是公众关系部门，以便这些部门能够就该DoS攻击事件和媒体交流。建立这些沟通渠道也能帮助认定主要决策者，例如搞清楚如果需要的话谁能授权购买新的DoS防范网络设备来将攻击的影响最小化。

DoS攻击响应准备：技术响应

对于包括DoS攻击在内的任何事故响应情况来说，准备工作对于快速地缓解该问题是关键的。准备工作取决于攻击类型，以及因特网主机位于何处。技术上的准备工作能够划分为网络和Web基础设施部分，包括辨识、响应和监控。辨别DoS攻击可能从简单的，如收到某个消费者无法使用Web站点的通知，到更为复杂的，例如收到来自带宽监控工具的通知，报告WAN连接使用率过高。

一旦被告知可能发生的事故，要调查被攻击的基础设施来判断最有效的响应措施。通过观察IDS、数据流、服务器日志、应用日志或是其它网络数据，并且查找高使用率模式来辨别被攻击的特定服务器或是应用。如果某个Web应用被攻击，响应措施可能是将该Web站点迁移到另外的主机服务提供商、服务器或是网络，或者是利用DoS防护工具来确保业务运作的持续性。这些服务器或服务甚至可以迁移到云服务提供商或是内容分发网络上。可以使用监控来判断是否攻击已经停止、发生变化或是需要额外的措施。监控手段可能仅是利用侦测工具并且创建当满足阈值条件时的告警，例如80%的连接利用率或是大量的UDP连接。你也可以联系攻击源头的ISP来要求他们阻断他们的顾客参与DDoS攻击或是阻断攻击来源。你可以自己来阻断攻击来源，但是阻断大量的攻击计算机可能是困难的。一旦DoS攻击减弱后，要么取消措施、或是将Web站点移回原来的主机上。要评估防护措施是否到位或者是应该保持长期的变更。

结论

DoS攻击可以使业务瘫痪，但是提前准备的话，对业务的干扰能够降至最低。DoS攻击的发展已经使得阻断它们和追溯所有的攻击来源更加困难，但是新的方法可以将其影响最小化。要阻止此类攻击不太可能，而有准备工作保障持续地运转业务是可能的。但是准备工作必须不仅包括公司内部的技术措施，还应该包括与外部服务提供商详尽的沟通和规划，由详细的SLA提供的支持会防止发生事故时预料外的耽搁和费用。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友