NEXT 보안 – DDoS 공격 완화
전 세계적으로 인터넷 사용자는 34억 명이 넘고, 약 64억 대의 사물인터넷 기기가 연결되어 있어, 이 생태계는 정보와 거래가 1초마다 이루어지는 급성장하는 거래소가 되었습니다. 가트너는 2020년까지 200억 대의 기기가 존재할 것으로 추정합니다. 사물인터넷(IoT)은 공공 서비스부터 교통, 대국민 서비스에 이르기까지 우리 삶의 일부가 될 것입니다. 이 모든 것이 전례 없는 수준의 편의성을 제공하는 반면, 시간이 지남에 따라 역량을 발전시킨 사이버 범죄자들의 원치 않는 주의를 끌기도 합니다. 연결된 IoT 세계의 기기는 온갖 편리한 새로운 기능을 제공하지만, 사람들은 이러한 기기가 네트워크에 연결되어 있다는 사실을 종종 잊습니다. 과거의 원시적인 웜과 스파이웨어부터, 오늘날의 사람들과 기업은 사이버 스파이, 랜섬웨어, 정교한 맬웨어, 그리고 늘상 있는 DDoS 공격과 같은 복잡한 위협에 직면해 있습니다.
분산 서비스 거부(DDoS)는 의도한 사용자의 네트워크 리소스/서비스를 방해하는 것을 목표로 하는 다중 소스 사이버 공격의 한 형태입니다. 이 바이러스는 사기와 강탈 등 온갖 피해를 입힐 수 있을 만큼 정교하게 진화했습니다. DDoS 공격은 일반적으로 봇으로 가장한 여러 시스템이나 장치에서 발생하는 엄청난 트래픽 양을 이용해 네트워크 리소스를 압도합니다. DDoS 공격은 다음과 같은 유형으로 분류할 수 있습니다.
- Volumetric : 네트워크 리소스를 범람시켜 합법적인 사용자 트래픽에 대한 액세스를 거부하고 특히 초당 연결 수(CPS)를 처리하는 능력을 저하시킵니다.
- 비대칭 : 네트워크 속도를 엄청나게 느리게 하기 위해 메모리를 소모하도록 설계된 소량의 악성 데이터
- 계산형 : CPU 리소스와 메모리를 소모하도록 설계됨
- 취약점 : 취약점을 악용합니다.
- 하이브리드 : 하나 이상의 서로 다른 DDoS 공격 유형의 조합
그 어느 때보다 더 큰 위협
DDoS 공격은 2000년대 후반부터 흔해졌지만, 지난 몇 년 동안 공격 규모가 크게 증가했습니다. 새로운 프로토콜 악용과 증폭 공격은 대부분의 조직이 클라우드 기반 DDoS 스크러빙 서비스의 지원 없이는 대처하기 어려울 정도로 규모가 커졌습니다. 2013년에는 300Gbps 규모의 공격으로 인해 SpamHaus 서비스가 중단되었다고 보고되었고, 2014년에는 최대 400Gbps 규모의 공격이 기록되었습니다. 그러나 역사상 세계 최대 규모의 DDoS 공격은 2015년에 500Gbps에 달하는 최대 규모로 포착되었습니다. 대역폭 비용이 저렴해지면서 대규모 공격을 실행하는 것이 더 저렴해졌고, 앞으로 테라바이트 규모의 공격이 곧 발생할 것으로 예상됩니다.
최신 서비스 거부 공격은 서비스를 중단시키거나 무력화시키는 데 그치지 않고, 인프라에 다양한 영향을 미치는 여러 위협을 혼합하여 보안 운영 팀의 주의를 산만하게 합니다. 이런 공격은 빈도, 규모, 정교함이 점점 더 커지고 있습니다. 공격자는 볼륨적 공격, 부분적 포화 공격, 인증 기반 공격, 애플리케이션 수준 공격을 결합하여 명령 체계에서 가장 약한 연결 고리를 찾아냅니다. 방어하기 점점 어려워지는 이러한 위협은 종종 지능형 지속 위협(APT)의 선구자입니다. 조직이 이러한 위협을 얼마나 빨리 발견하고 차단할 수 있느냐는 서비스 연속성을 보장하는 데 중요합니다. 또한, 볼륨형 DDoS가 만연해지고 BOT가 잠재적으로 증가함에 따라 온프레미스 WAF와 클라우드 기반 스크러빙 서비스를 결합하는 하이브리드 DDoS 전략이 필요합니다.
DDoS 공격 완화
회사가 온프레미스 WAF로부터 DDoS 공격을 받고 있다는 것을 감지하면, 이 회사는 트래픽을 감지하고 제거하기 위해 F5 Silverline 이 제공하는 것과 같은 클라우드 기반 DDOS 스크러빙 서비스로 유입 트래픽을 전환합니다. 트래픽이 깨끗하게 정리되면 Silverline에서 회사로 전송됩니다. 이러한 일이 일어나는 동안에도 회사는 정상적으로 운영을 계속합니다. 스크러빙 서비스는 서비스를 중단시키려는 DDoS 공격을 효과적으로 완화하는 동시에 회사가 계속해서 운영할 수 있도록 해줍니다.
기업에서는 대규모의 끊임없는 공격으로부터 인프라를 보호하면서도 성능을 저하시키지 않는 것이 중요합니다. 이는 배포 환경 전반에서 데이터를 자동으로 수집하고 분석하여 애플리케이션 및 데이터에 대한 사용자 및 신원에 대한 맥락적 지식과 결합된 세부적인 DDoS 규칙 및 정책을 통해 달성할 수 있습니다. 여기에는 SSL 검사, 행동 분석, 대역폭 사용, 상태 모니터링 및 기타 통계가 포함됩니다.
이를 통해 HTTP/S, SMTP, FTP, DNS, SIP 등의 공격을 더 빨리 감지하고 하드웨어, 업스트림 또는 클라우드 기반 서비스 전반에서 신속하고 정확하게 완화 조치를 활성화할 수 있습니다. 따라서 기업은 공격 트래픽이 관리 가능한 수준으로 줄어들면 원활하고 즉각적으로 서비스를 다시 시작할 수 있다는 확신을 가질 수 있습니다.
F5 DDoS Hybrid Defender 소개
F5® DDoS Hybrid Defender™는 단일 어플라이언스에서 포괄적인 DDoS 보호 기능을 제공하며, 행동 분석을 통해 공격을 식별하고 완화하고, 머신 러닝을 통해 회피적 위협이나 트래픽 이상을 감지하는 DDoS 방어 기능을 제공합니다. 이 어플라이언스는 하이브리드 모델에서 온디맨드 클라우드 기반 스크러빙(F5 Silverline)을 지원하여 볼륨 공격 트래픽을 원활하게 리디렉션하여 오버헤드를 줄이고 네트워크 대역폭 사용량을 크게 개선합니다. 네트워크, 세션 및 애플리케이션 계층에서 다중 계층 DDoS 방어를 결합하여 편리한 올인원 폼 팩터로 오프사이트 클라우드 스크러빙을 지능적으로 통합함으로써 인프라를 보호합니다.
애플리케이션 수준에서 기업은 데이터 스트림 논리, HTTP에서 수집된 신호, TCP 요청, 트랜잭션, 전반적인 서버 상태의 특성을 기반으로 하는 심층적인 애플리케이션 위협을 발견하여 레이어 7 공격에 대한 애플리케이션 검사를 통해 이점을 얻을 수 있습니다. 풀 프록시 솔루션은 모든 계층에서 DDoS 보호 기능을 제공하여 프로토콜(SSL 및 TLS 암호화를 사용하는 프로토콜 포함)을 보호하고 DDoS 버스트, 무작위 HTTP 플러드, 캐시 바이패스 및 애플리케이션 동작을 방해할 수 있는 기타 공격을 차단합니다.
결론
DDoS 공격은 점점 더 정교해지고 용량이 커질 것이며, 온라인에 접속되는 수많은 IoT 기기로 인해 더욱 심화될 가능성이 있습니다. 이제는 그 어느 때보다도 하이브리드 완화 접근 방식이 필요합니다. 엄청나게 확대되고 빠르게 확장될 수 있는 능력으로 인해 공격자가 조직의 운영을 쉽게 마비시키고, 애플리케이션을 쓸모없게 만들고, 중요한 데이터에 액세스할 수 있습니다. 그렇기 때문에 보안 솔루션은 네트워크를 공격하는 경우에도 DDoS 위협을 완화하는 동시에 하이브리드 환경뿐만 아니라 기능 문제를 해결할 수 있을 만큼 포괄적이어야 합니다.