创业公司走过A轮、B轮就不容易,走向上市的更是凤毛麟角。在创投圈,“不成功便成仁”的魄力已渐失,更多的是求生存。在各种各样的死法中,除品控、本钱、市场需求这样的“显性”症状,企业安全问题更像是死神发起的最后召唤。之外部安全要挟为例,Wanna Cry的恐慌刚刚停息,更猛烈的Petya随即突袭而来,乃至还要随时面对更频繁的DDoS攻击。有数据显示,60%的小企业在遭受DDoS攻击后,六个月内便会垮掉!这样的灭顶之灾,让创业公司如何自处?
直面内忧外患的安全困局:内有技术短板,外有黑客环伺
受创业环境的影响和制约,绝大部份创业公司的企业安全构架存在着很多问题。或为了追逐产品上线的进度,一切以功能为主;或因创业早期资金有限,没法采购太多的服务器资源;亦或缺少技术精英,技术团队组建出现短板。这些困难直接致使系统在技术架构层面没法做太多的设计,系统的所有资源都集中在一个服务器上。正因此,创业公司普遍存在两大问题:服务器不稳定和服务器性能延续面临瓶颈。
创业公司的“生死劫”不但体现在“内忧”,“外患”尤胜。
网络黑产业链随着创业浪潮水长船高,攻击手段层见叠出。其中,DDoS攻击已成为企业凛冬期间的“头号杀手”。百度安全今年发布的《2016年DDoS攻击报告》显示,DDoS攻击范围愈来愈大,已超出了12306的高峰期带宽。由此带来的损失也足够引发创业公司的重视:“仅需一小时,且用买苹果有线耳机的钱,黑客就可以打垮一家网站”,绝不是夸大而谈。
最近几年来,黑客攻击小型创业网站并索取保护费的新闻屡见不鲜。仅仅一个用户的数据被泄漏,都极有可能被不法份子利用进行敲诈勒索,蒙受巨大损失,这对基础薄弱的创业公司来讲几近是致命的打击。此前,有香港媒体报导,因受网络攻击造成相关经济损失金额逾18亿港元,而平均每次修复工程花费就达780万港元。内地知名的创业公司也曾面临各种辣手的企业安全问题:滴滴出行未成为行业巨头前,Uber、滴滴打车频频爆出过系统漏洞,伟人网络某站POST型SQL注入,贷齐乐P2P平台频遭攻击……
经过这些年的内忧外患,创业公司的企业安全问题有所减缓了吗?现状其实不乐观。当前很多创业公司要末缺少安全意识,要末有心加强安全风控,却缺少相应的技术能力和解决方案。如果公司决心自主搭建安全系统,主机托管,则需要经验丰富的运维工程师,同时还需要技术人员随时跟进,对最新的安全漏洞进行修补,但是超负荷的工作量和高本钱,常常让创业公司望而生畏。
既然内部没法解决困局,“救命稻草”也惟有走出去寻觅了。
重视安全厂商的技术实力:丰富经验是先决条件,产品和服务是加分项
创业公司走出去寻觅“安全靠山”的整体思路不会变,即“一个中心,两个基本点”:以保障企业安全的可靠运行动中心,享受优良、便捷的产品和服务为两个基本点,全方位提升企业的安全防护能力。
随着网络技术的深入发展,国内安全厂商也如雨后春笋般突起。从云服务器、终端装备安全,到WEB-APT和DDoS防护,一时间数百家安全厂商在各自的领域战役着。这对创业公司而言,又产生了新的问题:如何才能找到最合适自己企业的安全合作厂商?是寻求“大而全”或者选择“小而美”?
业内有很多安全人士着手预测未来的网络要挟走势,其中已达成共鸣的是:随着黑色产业链和高级要挟攻击技术的发展,新一轮的黑客淘金浪潮就要来袭,未来黑客攻击的广度和深度都将扩大。换言之,黑客一旦锁定有漏洞或缺少防护的企业安全系统,定会调用各种资源、手段发动“连锁式”攻击。
即便是已成长多年的成熟公司,面对企业本身的安全漏洞,一样战战兢兢。如视频、电商等网站一旦被黑客发现并攻击漏洞,动辄数万条用户信息将面临“裸奔”要挟。这样看来,扑朔迷离的网络要挟环境,让创业公司不能不“广积粮,高筑墙”。
基于全面防护的斟酌,创业公司该采取怎样的措施进行有效的应对呢?打击DDOS攻击主要是以预防为主,下面是以网络安全防范为己任的小刀网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:
亮点一:多重整合
有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络,数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。
亮点二:智能防御
小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻防备可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时,小刀采取的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小刀组建的是散布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。
再就是定制的商用DDoS解决方案。
针对超大流量的攻击或复杂的游戏CC攻击,可以斟酌采取专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或流量清洗的一些装备,或采取大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的本钱要求也比较高。
在小刀网络,我们团队去颠覆带宽“军备比赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。
游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”或者“坏”,从而决定它是不是是可以访问到它想访问的资源;而当攻击真的产生时,也能够通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。
某棋牌行业基于游戏盾的架构示意图
所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。
风控理论需要用到大量的云计算资源和网络资源,小刀网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已从他们的攻击目标里面消失。
游戏盾,是小刀网络的人工智能技术与调度算法,在安全行业中的成功实践。
而随着攻防进程的推动,网络层和接入层逐渐壮大,我们希望“游戏盾”的风控模式,会逐渐延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边沿处。所有的端,在接入这张网络时,都会经过风险控制的辨认,网内的风控系统,也让坏人没法访问到他锁定资源。
未来,以资源为基础的DDoS防护时期终将被打破,演进出对DDoS真正免疫的风控架构。
