Wszystko co warto wiedzieć o atakach typu DDoS

Większość ataków DDoS na świecie to dzieło grupy zwanej Qassam Cyber Fighters, która ostatnio na portalu Pastebin przypomniała czytelnikom o motywach swojego działania i podsumowała swoją kampanię DDoS zwaną Operation Ababil. Z kolei inna grupa, Haktivist, uruchomiła swoje ataki DDoS wymierzone w instytucje oferujące usługi finansowe, które skoncentrowane były na formularzach web i zawartości stron. Ostatnio słychać było również o cyberzamachach organizowanych na skalę krajową, wymierzonych w banki i rządowe agencje, które wykorzystywały skomplikowane, działające na wielu płaszczyznach ataki łączące DDoS z próbami modyfikacji a nawet fałszowania kont za pośrednictwem internetu.

Ostatnie półtora roku pokazało, że działalność hakerów jest zjawiskiem coraz częstszym i nieustannie ewoluującym. Niedawne incydenty bezpieczeństwa mające miejsce w bankach każdego rodzaju są dowodem na to, że istnieje wiele rodzajów ataków DDoS. Wśród nich znajdują się tradycyjne ataki wykorzystujące SYN oraz DNS flood, jak również DNS amplification, ataki na warstwę aplikacji i metody wymierzone w zawartość strony. Ataki Denial of Service (DoS) wymierzone w szyfrowane przez SSL zasoby i treść, stanowią, oprócz wspomnianych, dodatkowe wyzwanie. W niektórych przypadkach, hakerzy zaczęli stosować kombinację różnych ataków wykorzystujących trudniejsze do powstrzymania metody celujące w warstwę aplikacji w miejsce "tanich", zmasowanych ataków, które mogą być filtrowane i blokowane w prostszy sposób.

W celu powstrzymania tak nasilonej aktywności hakerów, dyrektorzy ds. IT i bezpieczeństwa oraz ich podwładni muszą przygotować plan i rozważyć inwestycję w całą gamę narzędzi ochronnych, łączących technologie on-premise oraz usługi osadzone w chmurach. Konieczna jest również implementacja i zastosowanie techniki zbierania i udostępniania informacji na temat ataków, która może pomóc w projektowaniu kompleksowej strategii ochrony przeciwko DoS.

1. Korzystanie z usług scrubbing lub z usług innego dostawcy pozwalających na powstrzymywanie zmasowanych ataków

Skala ruchu wywoływanego przez ataki DDoS osiągnęła poziom, w którym 80Gbps jest już normą. Zdarzały się nawet sytuacje, w których ruch generowany przez atak był rzędu 300 Gbps. Tylko nieliczne, o ile w ogóle jakiekolwiek przedsiębiorstwa, są w stanie utrzymać odpowiednią przepustowość, aby poradzić sobie z takim atakiem. Pierwszą rzeczą, którą firma powinna zrobić mając do czynienia z tak zmasowanym uderzeniem, jest rozważenie przekierowania ruchu przez dedykowaną usługę scrubbing osadzoną w chmurze, która będzie w stanie usunąć złośliwe pakiety ze strumienia danych. Dostawcy takich usług są pierwszą linią obrony przeciwko atakom na dużą skalę - posiadają wystarczającą przepustowość i odpowiednie narzędzia do oczyszczenia ruchu sieciowego, co sprawia, że pakiety DDoS zostają powstrzymane w chmurze, a normalny ruch BAU (business as usual) jest przepuszczany do sieci firmowej.

2. Inwestycja w dedykowane urządzenie do zwalczania DDoS w celu identyfikowania, izolowania i powstrzymywania ataków

Złożoność ataków DoS i tendencja do łączenia zmasowanych ataków i metod aplikacyjnych wymaga wykorzystania kombinacji technik zapobiegawczych. Najlepszym sposobem na zwalczanie wspomnianych elementów ataku jest wykorzystanie dedykowanych urządzeń on-premise. Firewalle i systemy zapobiegające włamaniom są krytyczne w kontekście ochrony przed zagrożeniami, a urządzenia bezpieczeństwa zaprojektowane dla DDoS zapewniają dodatkową warstwę ochrony poprzez zaawansowane technologie identyfikujące i blokujące ataki DoS w czasie rzeczywistym. Administratorzy mają również możliwość skonfigurowania swoich urządzeń on-premise tak, by w przypadku ataku przekierowywały ruch do usługi typu scrubbing osadzonej w chmurze.

3. Przedsiębiorstwa muszą dostosować swoje firewalle, aby mogły radzić sobie z dużymi częstotliwościami połączeń

Firewall to również element, który odegra istotną role w trakcie ataku DDoS. Administratorzy powinni skonfigurować opcje firewalla pod kątem rozpoznawania i powstrzymywania zmasowanych ataków i ataków w warstwie aplikacji. Dodatkowo, w zależności od dostępnych funkcjonalności firewalla, powinno się uruchomić blokowanie pakietów DDoS i zwiększyć wydajność firewalla w trakcie ataku.

4. Projekt metodologii lub strategii chroniącej aplikacje przed atakami typu DDoS

Technologie bezpieczeństwa mogą zapewnić silną ochronę przeciwko atakom DDoS. Jednak dodatkowo administratorzy powinni rozważyć udoskonalenie swoich serwerów web, modyfikację techniki równoważenia obciążenia (load balancing) oraz metod dostarczania treści w ten sposób, by zagwarantować jak najszybszy start działania systemu po ataku. Dodatkowym zabezpieczeniem może być zastosowanie blokowania prób wielokrotnego logowania. Innym ciekawym podejściem jest powstrzymywanie automatycznie wykonywanych przez maszynę działań poprzez dołączanie do treści strony szczegółów oferty, jak np. możliwości zmniejszenia odsetek lub informacji na temat nowego produktu, które wymuszają na użytkowniku kliknięcie przycisku "Akceptuj" lub "Nie, dziękuję" w celu dalszej możliwości przeglądania strony.

Kolejnym ważnym elementem jest analiza zawartości. Może to polegać nawet na czymś tak prostym, jak upewnienie się, że na krytycznych dla działania przedsiębiorstwa serwerach nie znajdują się duże pliki PDF.

Powyższe metody są podstawą każdej strategii zabezpieczania się przed atakami DDoS. Przedsiębiorstwa muszą również współpracować z dostawcami usług oraz dostawcami internetu w celu opracowania własnych technik ochrony. Dostawcy usług sieciowych muszą być zaangażowani w projektowanie strategii. Ataki DDoS wykorzystują ten sam internet, co klienci banków, a dostawcy usług sieciowych przenoszą oba rodzaje ruchu.

Coraz istotniejsze staje się również znalezienie i implementacja odpowiedniej techniki zbierania i rozpowszechniania informacji na temat ataków. Rozwiązanie powinno analizować dane wewnątrz sieci firmowych i rozszerzać wiedzę o informacje przesyłane z innych firm z sektora usług finansowych.

Zebranie jak największej ilości informacji na temat atakującego, jego motywacji oraz metod, których używa, pomaga administratorom przewidzieć, jak będzie wyglądał atak i daje możliwość zaprojektowania odpowiedniej ochrony. Informacje na temat profilu ataku mogą zawierać wykorzystywane protokoły (SYN, DNS, HTTP), źródła wysyłanych pakietów, sieci centrów kontroli i zarządzania atakiem oraz statystki na temat godzin, w których dochodzi do ataków. Te dane są niezwykle cenne, jednak nie ma prostego sposobu na współdzielenie tych informacji, a regulacje prawne często jeszcze utrudniają to zadanie.

Obecnie dzielenie się informacjami opiera się jedynie na rozmowach między znajomymi z branży. Sytuacja ta powinna ewoluować do zautomatyzowanego systemu, do którego przedsiębiorstwa mogą się zalogować i odczytać informacje na temat ataku a także uzyskać pewne wskazówki na temat ataków, które miały już miejsce lub obecnie są przeprowadzane. Tego typu system mógłby również rozpowszechniać sposoby zabezpieczania się przed atakami oraz dostarczać odpowiednie do tego narzędzia. Funkcjonalność współdzielenia informacji na temat ataków wewnątrz branży pomogłaby firmom z sektora finansowego rozwijać metody zwalczania ataków DDoS i wnieść nowy poziom profilaktyki przeciwko tego typu zagrożeniom.