多層次DDoS防禦服務介紹

企業用戶事業群 徐德怡 經理

2017.3.30

攻擊流量越來越大 攻擊手法越來越複雜 攻擊次數越來越頻繁

DDoS最大攻擊量近5年已由數十Gb 快速飆升至1000Gb以上

超過25%攻擊是針對 HTTP, DNS, SMTP等application-based為目標

超過50%資料中心每月遭受 超過10次DDoS攻擊

DDoS攻擊趨勢

DDoS攻擊主要7種目標 每月DDoS平均攻擊次數

DDoS攻擊威脅越來越大

2

0

200

400

600

800

1000

1200

2010 2011 2012 2013 2014 2015 2016

攻擊量(Gb)

DDoS攻擊量快速成長

Source： Arbor Annual Worldwide Infrastructure Security Report

知名駭客團體「匿名者」為支持 反課綱微調抗議行動，陸續對教育部、 國民黨、國防部、經濟部、中天電視 發動網路攻擊，導致這些網站短暫出現 連線不穩或無法正常提供服務。

DDoS攻擊造成企業重大損失

品牌 企業遭受DDoS攻擊致網路癱瘓，將造成客戶對企業資安疑慮及不信任。

營收 網路中斷可能致使線上交易、服務受影響，造成企業營收及賠償直接損失。

品牌 營收 資安 企業

資安 部分竊取個資行為會以DDoS攻擊做為掩護，如無防護機制形同暴露於高風險中。

商譽及營收重大損失 3

10/21 美東大規模DDoS，造成 Twitter、 Amazon、 eBay、PayPal 等知名網站對外服務癱瘓長達11小時。

據國外業者統計(Nexusguard)，銀行遭受DDoS攻擊每小時潛在損失高達十萬美元。

2014年JPMorgan因資安防護設備遭到DDoS攻擊癱瘓，最終損失高達700萬筆機密資料。

DDoS已是金融企業必要防禦措施

4

台灣、中國、香港、新加坡等各國金管單位 均已將DDOS列為網銀必要防禦措施

香港金融管理局 HKMA

中國銀監會

Independent Assessment of Security Aspects of Transactional E-banking Services 2.2.14 ....plans and procedures for dealing with interruptions caused by attacks such as Denial of Services (DoS) and Distributed Denial of Services (DDoS);

INTERNET BANKING AND TECHNOLOGY RISK MANAGEMENT GUIDELINES 9.0 DISTRIBUTED DENIAL OF SERVICE ATTACKS (DDOS) 專章

电子银行业务的风险管理原则 原则13：银行应该拥有有效的能力、业务连续性和应急计划程序，以确保电子银行系统和服务的连续可用性。 确保体系的正常运转也取决于应急支持系统缓释拒绝服务的攻击（或其他可能造成业务中断的事件）的能力。

新加坡金融管理局 MAS

台灣金管會

依據金融監督管理委員會105年7月6日金管銀國字第10500102770號函說明二辦理 說明：為避免金融機構網際網路應用系統遭受DDoS攻擊，導致無法提供電子銀行金融服務， 請貴機構對DDoS攻擊建立監控與事故應變機制，並於每年進行程序演練…..

電信業者骨幹機房 客戶端網路

企業佈署DDoS防禦設備之困境

伺服器效能 100Mbps

防火牆效能500Mbps

網路頻寬 100Mbps

客戶自建防禦設備

電信業者骨幹核心防禦系統>30Gbps

5

電信業者骨幹機房 客戶端網路

電信業者DDoS防禦佈署架構

伺服器效能 100Mbps

防火牆效能500Mbps

網路頻寬 100Mbps

電信業者 Edge端 防禦設備

電信業者骨幹核心防禦系統>30Gbps

結合骨幹型及Edge型多層次防禦系統，全面協助客戶抵禦各種型態攻擊。

6

多層次DDoS防禦架構，全面協助客戶抵禦各種型態攻擊!

骨幹清洗設備

電信業者骨幹清洗中心

接取清洗設備

包含了L3~L7各式流量、資源耗盡及應用層攻擊

第一層有如自來水廠 針對L3~L4大流量阻 斷攻擊進行清洗防禦 避免頻寬塞爆中斷營運

第二層有如淨水器 針對L7資源耗盡及應用層攻擊進行清洗防禦 確保正常流量抵達應用

服務伺服器

7

多層次DDoS防禦架構

企業主機

駭客攻擊源

乾淨流量

自動監控/客製化告警報表系統

8

24小時自動即時監控

告警系統主動通報客戶

客戶自訂報表

email至客戶端，

即時掌握攻擊趨勢

客戶帳號登入，隨

時掌握攻擊狀態

電信等級DDoS防禦服務優勢

電信級多層次DDoS防禦服務全面抵禦L3~L7攻擊 安全

7x24 Always On+自動即時監控、通報、客製化

告警報表系統，即時掌握攻擊狀況 效率

於電信骨幹防禦，快速偵測啟動防禦

Latency影響最低 速度

9

電信骨幹佈建及管理，客戶端不需投資設備

及改變既有網路架構，快速無痛導入 彈性

10