Era DDoS-ów - jak się chronić?

Ostatnie kilkanaście miesięcy to wyjątkowo gorący okres dla firmowych specjalistów ds. bezpieczeństwa - liczba ataków DDoS skierowanych przeciwko dużym serwisom internetowym, jest większa niż kiedykolwiek. Sytuacja jest specyficzna, bo choć ataków jest wiele, to mało kto chce o nich mówić - milczą przede wszystkim ofiary, ale również ci, którym udało się DDoS-y skutecznie odeprzeć. Mimo to nasi koledzy z amerykańskiego magazynu CSO postanowili dowiedzieć się nieco więcej na ten temat. Jak się okazało, nie było to łatwe…

To, że przedstawiciele dużych firm nie chcą oficjalnie mówić o skierowanych przeciwko nim atakach, nie jest szczególnym zaskoczeniem. Ofiary nie chcą się przyznawać, inni wolą nie przyciągać uwagi przestępców i nie prowokować ataków. Zwykle jednak było tak, że choć otwarcie doniesień o atakach cyberprzestępców nikt nie chciał komentować, to anonimowo specjaliści wypowiadali się na ich temat bardzo chętnie. Tym razem było jednak inaczej. 

"Ataki DDoS to baredzo delikatna sprawa - z pewnością nie jest to coś, co chciałbym komentować" - stwierdził szef bezpieczeństwa IT pewnego banku, poproszony o wypowiedź. "Nasz dział komunikacji zdecydował, że nie powinniśmy wypowiadać się na ten temat, aby nie rzucać się w oczy przestępcom".

Zobacz również:

Może to brzmieć nieco paranoicznie, ale fakty są takie - żaden amerykański bank nie może się czuć w pełni bezpieczny. W ciągu kilku ostatnich miesięcy w mniejszym lub większym stopniu celami ataków DDoS stali się tacy giganci jak Bank of America, Capital One, Chase, Citibank, PNC Bank czy Wells Fargo.

Taktyka "zero komentarzy" z jednej strony wydaje się zrozumiała - firmy nie chcą przyciągać uwagi i zdradzać szczegółów swoich "planów obronnych". Ale z drugiej stronyt warto pamiętać, że wiedza jest potęgą. Znając szczegóły niedawnych ataków można się lepiej do nich przygotować, wdrożyć odpowiednie zabezpieczenia i przeszkolić personel.

Dlatego wydaje się, że niezbędne jest wypracowanie jakiegoś mechanizmu przekazywania informacji o DDoS-ach. "Najlepiej byłoby stworzyć system, w którym firma przekazująca informacje o ataku będzie mogła to zrobić bez narażania się na jakiekolwiek reperkusje, zarówno ze strony przestępców, jak i instytucji kontrolnych (dla których informacja o skutecznym zaatakowaniu jakiejś firmy, szczególnie z branży finansowej, może być podstawą do wszczęcia dochodzenia w tej sprawie). Jeśli ktoś się wychyli, przekaże informacje o tym, jak padł ofiarą ataku, a potem zostanie za to jeszcze ukarany przez regulatora, to możemy być pewni, że później już nikt nigdy nie podzieli się takimi informacjami" - komentuje Chip Tsantes, szef działy analiz bezpieczeństwa z firmy Ernst and Young.

"Najnowsze metody ataków ewoluują tak szybko, że praktycznie każdy nowy DDoS przeprowadzany jest w nowy sposób. Zmienia są metody, cele, zasięg… praktycznie wszystko" - wyjaśnia Lynn Price, specjalista ds. bezpieczeństwa z IBM.

W takiej sytuacji posiadanie informacji o tym, z jakich narzędzi i taktyki korzystają aktualnie przestępcy, jest krytyczne do skutecznego bronienia się przed kolejnymi DDoS-ami. Dlatego też mimo zmowy milczenia dziennikarze CSO zebrali zestaw podstawowych porad dla administratorów chcących zabezpieczyć się przed atakami:

1. Bądź gotów na modyfikowanie zabezpieczeń "w locie"

Przestępcy już to robią - wielokrotnie zdarzało się, że w czasie jakiegoś ataku nagle diametralnie zmieniali modus operandi. Potrafili np. zorientować się, że atakowana firma rozgryzła ich metodę ataku, odczekać chwilę, pozornie uspokoić sytuację, a później zaatakować w zupełnie inny sposób. Dlatego też do analogicznych działań powinni być gotowi administratorzy.

2. Nie ufaj bezgranicznie zabezpieczeniom sprzętowym

W większości przypadków przeanalizowanych przez CSO sprzęt zabezpieczający chroniący infrastrukturę firmy przed zewnętrznymi atakami (firewalle, systemy IPS, sprzęt do optymalizacji ruchu sieciowego) okazał się możliwy do pokonania i niezdolny do 100-proc. zablokowania szkodliwego ruchu.

Zdaniem specjalistów, optymalne jest wczesne wykrycie i zablokowanie DDoS-ów zanim w ogóle ataki dotrą do firmowej infrastruktury - to jest możliwe do zrobienia, w końcu systemy odpowiedzialne za atakowanie są równie wrażliwe i możliwe do zablokowania jak sprzęt, który jest ich celem.

3. Zabezpiecz się przed atakami na warstwę aplikacyjną

Takie ataki są trudniejsze do wykrycia (i przeprowadzenia), są zwykle lepiej przygotowane i skuteczniejsze. Do ich blokowania niezbędne jest stosowanie odpowiednich zabezpieczeń w firmie lub data center (np. DPI - głęboka inspekcja pakietów).

4. Współpracuj

O tym już pisaliśmy - generalnym problemem jest zmowa milczenia, choć na szczęście sytuacja się zmienia. Informatorzy CSO twierdzą, że banki atakowane DDoS-ami coraz częściej porozumiewają się między sobą oraz z dostawcami usług telekomunikacyjnych i wspólnie szukają metod blokowania ataków. W USA działa organizacja Financial Services Information Sharing and Analysis Center, która często pośredniczy w wymianie informacji na ten temat.

5. Miej kilka asów w rękawie

Przeprowadzanie ataków DDoS stało się dla przestępców poważnym biznesem - ich ataki są coraz lepiej planowanie i skuteczniejsze. Dlatego też do ich skutecznego zwalczania potrzebne jest coś więcej niż tradycyjny zestaw zabezpieczeń. Niezbędne jest przewidywanie ich działań, i to najbardziej pomysłowych i nietypowych, przygotowanie kilku alternatywnych planów działania w przypadku ataku, które będą stosowane w zależności od rozwoju sytuacji.

6. Uważaj na ataki wtórne/dodatkowe

Warto pamiętać, że DDoS, niezależnie od skali, może czasami nie być głównym działaniem przestępców - odnotowano już co najmniej kilka przypadków wykorzystania tej techniki do odwrócenia uwagi od zupełnie innego typu ataku informatycznego. Dlatego gdy jakaś organizacja staje się celem DDoS-a, nie można zapominać o stałej ochronie innych potencjalnych wektorów ataku - DDoS zawsze może okazać się tylko dywersją.

7. Bądź gotów, nawet jeśli nie pracujesz w banku

Faktem jest, że ostatnia fala ataków skierowana jest przede wszystkim przeciwko instytucjom finansowym - ale eksperci obawiają się, że to może być tylko początek fali ataków na inne branże. W końcu banki nie są jedynymi firmami, dla których stała dostępność witryny internetowej jest kluczowa, równie dobrze na celowniku mogą znaleźć się serwisy firm medycznych, biur podróży itp. Szefowie bezpieczeństwa tych firm również nie powinni zasypiać gruszek w popiele - już teraz muszą szykować się do walki z DDoS-ami, uważnie przyglądając się temu, co dzieje się obecnie w segmencie bankowym.