Za spraw? konfliktu Rosji z Ukrain? ponownie na nag?ówki mediów trafi?a informacja o przeprowadzonych atakach DDoS na serwisy webowe wielu firm oraz instytucji rz?dowych w Ukrainie. Ich skutkiem by? parali? zarówno stron www jak i e-us?ug.
DDoS to skrót od Distributed Denial of Service, co mo?na rozumie? jako rozproszon? odmow? dost?pu do us?ug. Czym w?a?ciwie jest atak DDoS? To atakowanie danego serwisu z wielu miejsc jednocze?nie w tym samym czasie. Atak polega na wys?aniu ogromnej ilo?ci ??da? do us?ug i oznacza du?y ruch sieciowy, co skutkuje brakiem mo?liwo?ci obs?u?enia zapyta?/??da? do us?ug pochodz?cych od „prawdziwych” u?ytkowników. Konsekwencj? ataku jest utylizacja zasobów serwerów, zablokowanie dost?pno?ci do ??czy, aplikacji, us?ug czy serwisów internetowych.
DDoS mo?na porówna? do sytuacji, kiedy np. próbowali?my kupi? bilet na koncert s?awnego wykonawcy albo skorzysta? z serwisu rz?dowego przy sk?adaniu zezna? rocznych do KRS tu? przed ostatecznym terminem. Zdarza?o si? nie raz, ?e serwery „nie wytrzymywa?y” obci??enia. Przy czym opisana sytuacja dotyczy niecelowego dzia?ania wielu u?ytkowników, w przeciwie?stwie do ataku hackerskiego, gdzie zazwyczaj ma to wi?ksz? skal? i celem przest?pców jest parali? dzia?ania serwerów.
Skutki ataku DDoS mog? by? tragiczne dla firmy – mo?na wyobrazi? sobie atak na serwer systemu ERP, witryn? e-commerce czy inny system w firmie, który j? ca?kowicie parali?uje, uniemo?liwiaj?c funkcjonowanie. Przerwa w dzia?alno?ci oznacza wymierne straty z jednej strony skutkuj? przestojem dzia?alno?ci, bezpo?rednio utrat? przychodów, niewywi?zywaniem si? z terminów, nierzadko karami, z drugiej utrat? wiarygodno?ci firmy i odchodzeniem klientów. Atak na serwery administracji rz?dowej uniemo?liwia dzia?anie serwisów dla obywateli czy nawet zaprzestaniem dzia?ania us?ug kluczowych.
Przyk?adów takich ataków jest wiele. Przyk?adem ataku DDoS by?y ataki wirusa Mydoom w 2004 na serwery firmy SCO i Microsoftu. Dwukrotnie celem ataku by?y najwa?niejsze serwery DNS (w 2002 roku powoduj?c blokad? 9 z 12 i w 2007, kiedy zablokowano 2 z 6 atakowanych serwerów). W zwi?zku z planowanym podpisaniem przez polski rz?d porozumienia ACTA w 2012 roku mia? miejsce atak na strony polskich instytucji rz?dowych i Sejmu, do których przyzna?a si? grupa Anonymous. Nierzadko celem ataku (jak np. w latach 2015 i 2016) by?y serwery gier online – np. serwis Stardoll, z której korzysta?o prawie 400 mln u?ytkowników. Prawda jest jednak taka, ?e o wi?kszo?ci ataków DDoS (podobnie jak ataków innego rodzaju) nie dowiadujemy si? – bo s? skrz?tnie ukrywane przez ofiary ( w szczególno?ci biznesowe) – w ko?cu zawsze jest to pokazanie braku przygotowania do incydentów cyberbezpiecze?stwa.
Zapobiega? czy leczy??
Osoby odpowiedzialne za IT powinna zastanowi? si? jak zminimalizowa? ryzyko ataku i zabezpieczy? infrastruktur?. Przede wszystkim wiedzie?, które z serwerów mog? pa?? ofiar? ataku, jakie skutki dla funkcjonowania mo?e mie? atak, co powoduje, przestój jakich serwisów, po to, ?eby móc odpowiednio priorytetyzowa? dzia?ania i przeznaczy? odpowiednie zasoby (czy to ludzkie czy finansowe) na te us?ugi, które s? niezb?dne do funkcjonowania organizacji.
Rozwi?zania Anty-DDoS funkcjonuj? w oparciu o elementy sprz?towe i aplikacje. W systemie ochrony definiuje si? zestaw adresów IP, które s? pod obserwacj? systemu bezpiecze?stwa. Po przekroczeniu okre?lonego progu ruchu generowany jest alarm i uruchomione filtrowanie, przez co ruch na atakowany serwer zostaje przekierowany na inne urz?dzenia. Urz?dzenia owe mog? znajdowa? si? w infrastrukturze lokalnej, jak i b?d?cej w?asno?ci? dostawcy us?ugi anty-DDoS.
Co warto zrobi??
Jedn? z czynno?ci jest wykonanie testów obci??enia serwerów, tak aby?my mogli przygotowa? nasz? infrastruktur? do okre?lonego ruchu sieciowego. Stress testy nie s?u?? tylko i wy??cznie przygotowaniu si? przed atakiem DDoS, ale przygotowaniem serwisów do pracy z okre?lon? liczb? u?ytkowników w okre?lonym przedziale czasu – co pozwala na zapewnienie ci?g?o?ci dzia?ania us?ug np. systemu e-commerce w czasie przed?wi?tecznym. Test obci??eniowy wyka?e jakich zasobów brakuje (pami?? RAM, dyski, procesory, ??cze itp.) przy wi?kszym obci??eniu.
Hardening to zwi?kszenie odporno?ci danego systemu na w?amania poprzez jego prawid?ow? i odpowiedni? rekonfiguracj?. Utwardza? (usztywnia??) nale?y urz?dzenia sieciowe, serwery z us?ugami, bazy danych. Na czym powinien si? skupi? dzia? IT? Zacz?? od „wzmocnienia” sieci i ograniczeniu oferowanych us?ug do poziomu, który wynika za potrzeb, zamkni?ciu niepotrzebnych portów w interfejsach sieciowych, zapewni? odpowiedni poziom uwierzytelniania, kontrolowa? dost?p oraz zoptymalizowa? sposób u?ywania pami?ci i mocy obliczeniowej serwerów oraz wszystkiego, co generuje dodatkowy ruch.
Kolejnym elementem zwi?kszaj?cym bezpiecze?stwo organizacji jest load balancing, czyli „równowa?enie obci??enia”, polegaj?ca na dzieleniu obci??enia pomi?dzy wiele serwerów, pami?ci masowych i po??cze? sieciowych. System „zbalansowany” zapewnia optymaln? prac? serwisu znajduj?cych si? na bli?niaczych serwerach, dzi?ki czemu jeste?my w stanie zapewni? ci?g?o?? dzia?ania przy wyst?pieniu awarii czy ataku hackerskiego.
Warto te? roz?o?y? ruch z jednego serwera DNS na kilka, tak aby jeden serwer nie odpowiada? za ruch w naszej ca?ej sieci. Mo?na stosowa? te? zewn?trzne serwery DNS, dzi?ki czemu unikniemy obci??enia w?asnych serwerów DNS.
Kolejn?, wart? rozwa?enia spraw?, jest optymalizacja serwisu polegaj?cego na ograniczenia do niezb?dnego minimum generowanych zapyta? do bazy danych, pobieranych plików, skryptów, podzielenia dzia?a? aplikacji na etapy. Warto roz?o?y? wykonywane przez serwis czynno?ci na kilka niezale?nych serwerów ?wiadcz?cych pojedyncze us?ugi.
Stosowanie (dok?adniej umiej?tna analiza informacji z nich pochodz?cych) firewalli (czyli zapór sieciowych), pozwala na wykrycie dodatkowego, podejrzanego ruchu sieciowego z okre?lonych adresów. Na podstawie analizy dzienników zdarze? mo?na okre?li? numery IP, z których atakowana jest nasza infrastruktura i ich blokowanie. Czynno?ci te dotycz? to zarówno firewalli sprz?towych jak i aplikacyjnych. Warto te? stosowa? inne narz?dzia pozwalaj?ce na wykrywanie innych anomalii w funkcjonowaniu sieci: wszelkie istotne zmiany w krótkich okresach cz?sto oznaczaj? atak – czy to zwi?kszenie liczby u?ytkowników czy generowane zapytania do strony www pochodz?ce z jakiego? jednego regionu.
W przypadku prewencji przed atakami DDoS warto rozwa?y? przeniesienie swoich serwisów do zewn?trznego Data Center czy korzysta? w swoich rozwi?zaniach z chmury publicznej, poniewa? us?ugi oferowane przez zewn?trznych dostawców zazwyczaj b?d? dla nas ta?sze (je?li spojrzymy na TCO), bardziej zaawansowane z odpowiednim poziomem us?ug. Wszystko ma swoje zalety, jak i wady – ale trzeba je umie? zdefiniowa? i wybra? odpowiedni? opcj?.
Musimy mie? ?wiadomo??, ?e nie ma zestawu czynno?ci i narz?dzi chroni?cych w 100% przed atakiem. Osoby odpowiedzialne za bezpiecze?stwo IT i zapewnienie ci?g?o?ci dzia?ania powinno podj?? zestaw czynno?ci i zaprz?c do tego szereg systemów monitoruj?cych i filtruj?cych ruch sieciowy czy niweluj?cych ataki. Nadchodz?ce miesi?ce przypuszczalnie przynios? nam wzrost ró?nego rodzaju incydentów, dlatego powinni?my zabezpieczy? si? przed wszelkimi zagro?eniami.
