Zmasowany atak komputerowy na Banco de Espana, hiszpański bank centralny, rozpoczął się w minioną niedzielę (26.08) i według przedstawicieli instytucji mógł trwać aż do wtorku. Cyberprzestępcom udało się uniemożliwić użytkownikom dostęp do strony internetowej instytucji poprzez bombardowanie serwerów banku żądaniami jej wywołania. Ponieważ jednak Banco de Espana nie jest bankiem komercyjnym i nie oferuje usług bankowych w internecie, a komunikacja z Europejskim Bankiem Centralnym odbywa się innymi, bezpiecznymi kanałami, jego funkcjonowanie nie zostało zaburzone. Strona banku wróciła do sieci we wtorek wieczorem.

W ocenie Infosecurity Magazine bank nie zastosował się do obowiązujących trendów w cyberbezpieczeństwie, zgodnie z którymi większy nacisk kładzie się na analizę ryzyka i zapobieganie incydentom niż na zdolności usuwania skutków ataków. Podobne zalecenia podaje m.in. Bank of England - bank centralny Wielkiej Brytanii.

Sukces w działaniu

Właśnie. By bronić się skutecznie przed atakami DDoS nie możemy na nie czekać. Zalecenia CERT Orange Polska są takie, aby przygotować się na nie wcześniej, bo nasze zasoby prędzej, czy później i tak zostaną zaatakowane. Część zadań trzeba wykonać zawczasu, przygotowując się na taki atak: m.in. identyfikację procesów, urządzeń i usług krytycznych dla działania organizacji, przygotowanie dokładnej procedury postępowania oraz listy adresów IP mających priorytet w obsłudze (np. najwięksi klienci, kluczowi interesariusze), monitoring wydajności architektury sieciowej w celu detekcji ataku i inne. Ważne jest testowanie własnej infrastruktury przy użyciu tzw. testów wydajnościowych. Pozwalają one precyzyjnie zdeterminować poziom wolumenu ruchu, który infrastruktura może wytrzymać, a także – a może przede wszystkim – wskazać słabe punkty w jej budowie.

Po wykryciu ataku DDoS trzeba natychmiast skontaktować się z zespołami administrującymi infrastrukturę sieciową, dostawcą usług internetowych, a także – jeśli wymaga tego sytuacja – odpowiednimi zespołami CERT/CSIRT oraz organami ścigania.

Co to jest?

DDoS – Distributed Denial of Service – to ataki mające na celu zablokowanie dostępu do zasobów m.in. na pasmo potrzebne do świadczenia usługi.

Ataki DDoS /DoS stanowią znaczącą grupę incydentów bezpieczeństwa - prawie 20% wszystkich. Tylko w I półroczu 2018 roku w sieci Orange Polska zanotowano ich ponad 30 000. Trend, który obserwujemy w tej kategorii, to mniej długich i spektakularnych ataków. Okazuje się, że bardziej opłacalne jest przeprowadzenie serii krótkich ataków, kończących się zanim zostanie uruchomiony proces mitygacji zagrożenia. Efektywność tego typu ataków jest podobna do długotrwałych DDoS – serwisy atakowanej firmy są de facto przez większość czasu niedostępne. Nie maleje dostępność DDoS na czarnym rynku – podaż botnetów przekracza popyt na ich usługi.

W roku 2017 średnia wielkość szczytowego natężenia ataku DDoS zaobserwowana w sieci Orange Polska osiągnęła poziom 1,22 Gbps (1,15 Gbps w 2016 r). Z kolei największa odnotowana wartość natężenia ruchu w szczycie ataku wyniosła ok 177 Gbps (przy 82 Gbps w 2016 r.)

Jak chronić instytucję finansową przed DDoS?

Możecie skorzystać z usługi Orange Polska i Integrated Solutions – Ochrona przed DDoS. Zapewni ona bezpieczeństwo informacji i procesów biznesowych Twojej instytucji. Ruch sieciowy jest monitorowany przez CERT i SOC Orange Polska w trybie 24/7/365 pod kątem wykrywania anomalii. W przypadku faktycznego ataku, filtrowane są podejrzane pakiety, a do Was trafia jedynie prawidłowy ruch sieciowy. Wdrożone w sieci Orange mechanizmy FlowSpec pozwalają na przyjęcie i mitygację ataków wolumetrycznych o bardzo dużej wielkości.

"Ten przykład pokazuje, że nawet duża instytucja jak Banco de Espana może być narażona na ataki DDoS i może nie być dostatecznie przed nimi zabezpieczona. Usługi tego typu już od wielu lat są dostępne na światowych rynkach. Integrated Solutions wspólnie z Orange Polska oferuje taką usługę jak DDoS Protection. Wprowadziliśmy ją jako pierwszy operator w Polsce w 2012 roku. Obecnie nasi klienci to głównie firmy z sektora finansowo-ubezpieczeniowego, ale także instytucje publiczne czy inne firmy komercyjne np. sklepy internetowe. Wdrożenie usługi DDoS zalecamy każdej firmie czy instytucji, która w swojej działalności korzysta z internetu" – Aleksander Jagosz, Head of Security Integration Department, Integrated Solutions.