dodany: 29.03.2013 | tagi: , ,

Autor:

Jak chronić się przed atakami DDoS

2
DDoS

Wielowarstwowa strategia zabezpieczeń, ochrona serwerów DNS i monitorowanie infrastruktury IT oszczędzą firmom wielu zmartwień i kosztów związanych z atakami typu denial of service.

Ataki DDoS wywodzące się od prostych ataków wywołujących odmowę usługi (ang. denial of service) uruchamianych z jednego komputera – wraz z szybkim rozpowszechnieniem się botnetów – ewoluowały do rangi jednego z największych zagrożeń w sieci. Początkowo, skierowane były w krytyczną infrastrukturę przedsiębiorstw np. w główne serwery DNS. Nieco później, do przeprowadzania ataków wykorzystywano już tysiące maszyn działających w ramach botnetu, które automatycznie generowały ruch w kierunku ofiary, doprowadzając do zablokowania atakowanych usług. Firma Verizon w swoim raporcie z 2012 roku na temat dochodzeń w sprawie utraty danych („2012 Data Breach Investigations Report”) nazwała te ataki „bardziej zatrważającymi niż inne zagrożenia, autentyczne czy tylko wyobrażone”.

Raport przygotowany przez firmę badawczą Stratecast z kwietnia 2012 roku zapowiada wzrost liczby ataków DDoS o 20 – 45 proc. rocznie. Według analityków to obecnie jedne z najbardziej znanych narzędzi używanych przez społeczność hakerów. Często są jednym z elementów kompleksowej strategii ataku, łączącej wiele różnych technik.

Jak wynika z najnowszych badań, ataki DDoS narastają nie tylko pod względem częstotliwości, ale też zajmowanej przepustowości łączy i czasu trwania. Na przykład dekadę temu ataki 50-gigabajtowe trafiały się kilka razy na rok. Teraz do takich ataków dochodzi niemal co tydzień. Dziś hakerzy nie tylko wykorzystują potężne serwery o ogromnej mocy procesorach i przepustowości, ale łączą zaplecze technologiczne z psychologicznymi trikami z zakresu inżynierii społecznej. Coraz bardziej powszechne jest prowadzenie działań DDoS w celu odwrócenia uwagi ofiary i ukrycia innych, bardziej ukierunkowanych ataków. W takiej sytuacji tradycyjne metody zapobiegania atakom DDoS stosowane przez usługodawców okazują się nieskuteczne. Poza tym ataki stają się bardziej inteligentne, bo są teraz lepiej kontrolowane. Zamiast uruchamiać skrypt, zalewając ilością danych, atakujący rozpoczynają operację, a następnie dobierają obiekt oraz typ ataku do oczekiwanego wyniku.

Pewne jest, że ataki DDoS będą stopniowo narastać. Coraz więcej przedsiębiorstw zaprzęga do pracy urządzenia mobilne, a jak zauważył FortiGuard Labs (dział firmy FORTINET zajmujący się badaniami zagrożeń sieciowych), botnety mobilne, jak np. Zitmo, mają wiele cech i funkcji wspólnych z tradycyjnymi botnetami działającymi na komputerach. Zespół FortiGuard Labs przewiduje, że w 2013 roku na światło dzienne wyjdą nowe formy ataków denial of service, wykorzystujące zarówno pecety i urządzenia mobilne.
Z zagrożeniem wiążą się także potężne koszty. Organizacje dotknięte atakami DDoS – zwłaszcza te, których działalność wymaga zapewnienia nieprzerwalności transakcji biznesowych jak bankowość i e-commerce – niezaprzeczalnie poniosą spore straty finansowe. Poza utraconymi przychodami z powodu awarii, firmy będą musiały ponosić koszty związane z analizami IT i odzyskiwaniem danych, utratą wydajności pracy, karami finansowymi za niedotrzymanie umów o poziomie usług oraz narażoną na szwank reputacją marki.

Ewolucja ataków DDoS uwydatnia naglącą potrzebę, by przedsiębiorstwa przyjmowały strategie bezpieczeństwa, które zapewnią im profesjonalną ochronę. Istnieją sposoby, dzięki którym firmy mogą aktywnie zwiększyć poziom zabezpieczenia i ograniczyć ryzyko ataków. Zamiast starać się o całkowitą eliminację wszelkiego ruchu DDoS, strategia walki z tego typu atakami powinna raczej koncentrować się na utrzymaniu usług – szczególnie tych o kluczowym znaczeniu – przy minimalnym poziomie zakłóceń. Aby to osiągnąć, firmy mogą zacząć od oceny swojego środowiska sieciowego i opracowania planu reakcji na zagrożenia. Plan powinien uwzględniać między innymi strategie tworzenia kopii zapasowych i odzyskiwania danych po awarii, dodatkową obserwację oraz metody przywracania usług tak szybko i sprawnie, jak to możliwe.
Trzy najważniejsze kroki, których wymaga aktywna ochrona, to wdrożenie wielowarstwowej strategii zabezpieczeń, ochrona serwerów DNS i innych elementów sieci oraz monitorowanie i utrzymanie kontroli nad infrastrukturą IT.

Wielowarstwowe zabezpieczenia

Kluczowym etapem jest opracowanie i wdrożenie strategii wielowarstwowej ochrony przed atakami DDoS. System powinien zawierać dedykowane narzędzia do ochrony przed atakami DDoS zainstalowane w siedzibie firmy. Warto, by funkcjonalności obejmowały antyspoofing, uwierzytelnianie klientów, określały limity ilości pakietów dla połączeń w różnych warstwach sieciowych, monitorowały ich stan, walidowały zgodność transmisji z RFC dla poszczególnych protokołów, tworzyły wzorzec poprawnej komunikacji będący punktem odniesienia w razie wystąpienia anomalii, a także wspierały białe i czarne listy adresów IP, również w oparciu o ich geolokalizację.

Rozważając zastosowanie specjalistycznych rozwiązań chroniących przed DDoS, organizacje muszą upewnić się, że pozwolą im one nie tylko wykrywać ataki DDoS w warstwie aplikacji i skutecznie blokować typowe lub niestandardowe techniki i wzorce ataków DDoS, ale również będą potrafiły „uczyć się” rozpoznawania zarówno akceptowalnych, jak i nieprawidłowych wzorców ruchu w oparciu o analizowany strumień danych. Takie profilowanie ma ogromne znaczenie, bo pozwala szybciej wykrywać i ograniczać zagrożenia, zmniejszając liczbę fałszywych alarmów.
Aby uzyskać większą sprawność operacyjną, firmy powinny również szukać rozwiązań zabezpieczających przed DDoS, które zapewnią zaawansowane funkcje wirtualizacji i geolokalizacji.

Dzięki wirtualizacji administratorzy mogą tworzyć i nadzorować wiele niezależnych domen bezpieczeństwa za pomocą pojedynczego urządzenia, co pozwala zapobiegać oddziaływaniu ataków realizowanych w jednym segmencie sieci na pozostałe. Mechanizm ten dobrze sprawdza się również podczas obrony – zamiast polegać na jednym zestawie reguł, administratorzy IT mogą z wyprzedzeniem zdefiniować ich więcej, co daje możliwość wykorzystania tych bardziej rygorystycznych w sytuacji, gdy pierwotne zasady okażą się niewystarczające.

Technologie geolokalizacji z kolei pozwalają firmom blokować złośliwy ruch przychodzący z nieznanych lub podejrzanych źródeł zagranicznych. Ogranicza to obciążenia i zużycie energii przez serwery usługowe, eliminując ruch z regionów poza geograficznym obszarem działania firmy.

Ochrona serwerów DNS

W ramach ogólnej strategii bezpieczeństwa organizacje muszą chronić swoje kluczowe zasoby oraz infrastrukturę. Wiele firm utrzymuje własne serwery DNS w celu zapewnienia sobie obecności w Internecie i właśnie ich serwery często są pierwszym celem ataków DDoS. Po uderzeniu w serwery DNS atakujący mogą łatwo sparaliżować operacje sieciowe organizacji poprzez blokadę jej usług.

Monitorowanie i utrzymywanie kontroli nad infrastrukturą

Zmieniający się charakter ataków DDoS wymaga od przedsiębiorstw wykazania się znacznie większą dalekowzrocznością i bardziej proaktywną ochroną. Istotne jest opracowanie planu postępowania na wypadek ataku i ocena infrastruktury sieciowej pod kątem reakcji na ewentualny atak. Firmy muszą zacząć od wzmocnienia obrony głównych serwerów i nadania priorytetów danym.

Organizacje muszą zachowywać czujność i monitorować swoje systemy przed atakiem, w jego trakcie, a także już po nim. To żadna tajemnica, że posiadanie pełnego obrazu środowiska IT pozwala administratorom wykrywać odchylenia od normy w ruchu sieciowym i szybko ujawniać ataki. Taka analiza zapewnia informacje i możliwości analityczne potrzebne do wdrażania odpowiednich środków minimalizacji ryzyka i zapobiegania zagrożeniom. Najlepsze zabezpieczenia obejmują ciągłe i zautomatyzowane monitorowanie poprzez system alertów, które pozwalają na reakcję w razie wykrycia ruchu DDoS.

Ważne jest posiadanie precyzyjnego systemu monitorowania i kontroli w całej sieci. Pomaga to administratorom dotrzeć do źródeł ataku i blokować ruch nadmiarowy, umożliwiając jednocześnie swobodny przepływ danych produkcyjnych. Taki system daje również możliwość prowadzenia dogłębnych analiz w czasie rzeczywistym oraz przeglądania danych historycznych. Co istotne, zaawansowane techniki śledzenia ataków mogą umożliwić zidentyfikowanie ich adresów źródłowych, co w konsekwencji pozwala na kontakt z administratorem odpowiedniej sieci.

Na nowo skupić się na biznesie

Ataki DDoS – podobnie jak inne zagrożenia bezpieczeństwa – będą ewoluować, stając się coraz bardziej nieprzewidywalne. Podlegająca ciągłym modyfikacjom natura technologii DDoS będzie wymagała, by firmy dokonywały zmiany podejścia do zagrożeń, wykazując się większą dalekowzrocznością i korzystaniem z bardziej aktywnych zabezpieczeń.

Dlatego organizacje już dziś muszą udoskonalać swoje plany reagowania awaryjnego i oceniać odporność własnej infrastruktury sieciowej na zagrożenie atakami DDoS. Muszą też zacząć wzmacniać zabezpieczenia kluczowych serwerów i szeregować dane względem ważności. Co więcej, konieczne jest wdrażanie rozwiązań służących do zarządzania i monitorowania, które zapewnią im całościową wiedzę o wszystkich zakamarkach własnej sieci. Wreszcie administratorzy IT powinni mieć możliwość implementowania niezawodnych zabezpieczeń, które szybko zidentyfikują źródło zagrożenia, zminimalizują oddziaływanie ataku i przywrócą działanie usług tak szybko, jak to możliwe.

Tylko w ten sposób firmy będą mogły przestać obawiać się paraliżujących ataków DDoS i w pełni skupić się na swojej działalności.

avatar
Fortinet , Territory Manager na Polskę, Ukrainę i Białoruś
Absolwent Wydziału EAIE krakowskiej Akademii Górniczo-Hutniczej oraz Katedry Zarządzania i Finansów Szkoły Głównej Handlowej w Warszawie. Wszechstronną praktykę menadżerską zdobywał w firmach specjalizujących się w dystrybucji technologii ochrony informacji oraz urządzeń bezpieczeństwa sieciowego. Ma ponad osiemnastoletnie doświadczenie w branży informatycznej. Karierę zawodową rozpoczął w firmie 2SI. W roku 1996 związał się z firmą Veracomp gdzie współtworzył nowy dział dystrybucji systemów sieciowych. Od 2007 roku pracuje w firmie Fortinet (NASDAQ: FTNT). Obecnie, do jego obowiązków na stanowisku Territory Manager należy planowanie, organizacja oraz zarządzanie rozwojem sprzedaży systemów zabezpieczeń w trzech krajach europejskich: w Polsce, na Ukrainie i Białorusi.

2 odpowiedzi na “Jak chronić się przed atakami DDoS”

  1. avatar j@chu napisał(a):

    a gdzie odpowiedź na pytanie 'jak chronić się przed atakami ddos'?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *