Czy ataki Distributed Denial of Service to dzisiaj poważne zagrożenie?

Mariusz Baczyński [MB]: Bez względu na to jak dużo wydamy na SIEM, FW, IPS, DLP i inne technologie cyberbezpieczeństwa, praktycznie każdy element infrastruktury IT może paść ofiarą większego lub bardziej zaawansowanego ataku DDoS. W obecnych realiach związanych z COVID-19 problem staje się jeszcze poważniejszy – dla wielu firm niezawodny dostęp do platform e-commerce oraz zasobów wewnętrznych przy pomocy infrastruktury VPN jest kluczowy dla ich przetrwania.

Jak zatem obecnie wygląda krajobraz ataków DDoS? Co się zmieniło w ostatnim czasie?

MB: Najnowocześniejsze metody przeprowadzenia ataków DDoS są niezmiernie skuteczne i destruktywne. Zarazem wymagają stanowczo mniejszej ilości zasobów, aby osiągnąć swój cel. Skutkuje to globalną komodytyzacją usług DDoS – są one znacznie tańsze oraz łatwiej dostępne. Na przykład, miesięczna subskrypcja usługi obejmującej 5 godzin wielowektorowego ataku o wielkości do 500Gbps kosztuje w darknecie mniej niż 1 tys. USD. Jeśli zostanie wykorzystana w ramach kampanii typu Ransom DDoS potrafi przynieść atakującym od 10 do nawet 50 BTC, czyli od 700 tys. do 3,5 mln zł. nieopodatkowanego zysku. W porównaniu do ubiegłego roku mówimy o 10-krotnym wzroście. Pokusa ogromnych zysków oraz anonimowość nieuchronnie prowadzą do rosnącego zainteresowania tego typu atakami.

Łukasz Kajdan [ŁK]: Zachęcamy do zapoznania się ze szczegółami raportu Radware ERT, który poświęcony jest właśnie obecnie trwającym kampaniom Ransom DDoS skierowanym na firmy z sektora finansowego oraz e-commerce [LINK: https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/global-ransom-ddos-campaign-update/]. Atakujący żądają okupu, często wykonują atak wstępny, który potwierdza, że nie są to jedynie czcze pogróżki, a jeśli ich żądania nie zostają spełnione, następuje atak właściwy. Do skutecznej obrony konieczne jest zastosowanie zaawansowanej globalnej infrastruktury.

Jak to zmienia podejście po stronie atakowanych?

ŁK: Znaczenie ochrony DDoS było do tej pory przez wiele firm marginalizowane, jednak ostatnie miesiące pokazały jak bardzo zależni jesteśmy od ciągłości dostępu do usług. Cyfrowa transformacja, która została na nas wymuszona, pokazała jak istotne są usługi w sieci dla zapewnienia ciągłości biznesowej. Posiadanie skutecznej ochrony przed DDoS wolumetrycznym i aplikacyjnym powoduje przede wszystkim, że bardzo skutecznie ograniczamy możliwości infiltracji naszej infrastruktury poprzez zablokowanie mechanizmów codziennie skanujących naszą sieć i szukających luk podatnych na ataki. Dlatego ochrona przed DDoS powinna być pierwszym krokiem do zapewnienia bezpieczeństwa naszej firmy a osiągnięcie tego, wymaga zrozumienia wykorzystywanych przez atakujących mechanizmów oraz możliwego zakresu ich wykorzystania.

MB: Nową codziennością są na przykład ataki wielowektorowe, gdzie atak zalewowy, wolumetryczny jest tylko jednym z wektorów - nadal niezmiernie skutecznym, ale często mającym na celu tylko odwrócenie naszej uwagi od np. kradzieży danych, która jest rzeczywistym celem ataku. Nasi klienci na co dzień mierzą się również z atakami niezmiernie trudnymi do wykrycia i wymagającymi dużej inteligencji po stronie usługi. Ataki DDoS bywają prowadzone przez wrogie BOT-y, zaawansowane programu skutecznie imitujące ludzkie zachowanie, które zaprogramowane są, aby np. ściągnąć duży katalog produktowy ze strony internetowej producenta 50 tys. razy w ciągu tygodnia, utrudniając lub uniemożliwiając w ten sposób dostęp do zasobów firmy prawdziwym klientom.

ŁK: Kolejnym wyzwaniem jest globalna infrastruktura generującą ataki, która wymaga kompleksowego podejścia do zagadnienia. Dla niektórych ochrona operatora jest wystarczająca. Inni, którzy oczekują większej pewności, że każdy klient zostanie obsłużony nawet w trakcie ataku, powinni rozważyć podejście hybrydowe, stosowane przez największe światowe banki oraz firmy e-commerce. Świetny przykład: w trakcie ATS 2020 miała miejsce premiera najnowszej konsoli SONY PS5 a wielu chętnych na zakup – doświadczyłem tego na własnej skórze - niesłusznie zablokowały niedokładnie działające systemy anty-DDoS. Rozwiązania Radware zapewniają najwyższą możliwą jakość oraz dokładność, co odzwierciedla najbardziej kompleksowe SLA na rynku. Dbamy, aby każdy klient naszych klientów został obsłużony a każda firma, którą obsługujemy mogła wykorzystać swoją reputację jako narzędzie do przewagi konkurencyjnej.

Jak zatem zabezpieczyć się przed atakami DDoS?

MB: Przede wszystkim, zapisać numer telefonu do nas – mówię to pół żartem, ale prawda jest taka, że na ochronie przed atakami DDoS znamy się, jak mało kto. Radware działa na globalnym rynku cyberbezpieczeństwa IT od ponad 20 lat nieustannie doskonaląc własne mechanizmy ochrony. Od kilku lat analitycy Forrester uznają nasze rozwiązania za najlepszą ochronę DDoS dostępną na świecie. Mając to w pamięci, należy zacząć od zadania sobie kilku pytań: czy jeśli dostaniemy ransom note z groźbą ataku 500Gbps, to czy mamy pewność, że nasza infrastruktura to wytrzyma? Jeśli nawet odpowiedź jest twierdząca, to ilu klientów możemy stracić w trakcie ataku ze względu na np. niedokładność black holing-u – jak to było w przypadku Sony PS5? Ile będzie nas to kosztować? Czy na pewno mniej, niż inwestycja w skuteczną ochronę DDoS? Ilu klientów stracimy? Co tydzień otrzymujemy zgłoszenia od klientów, którzy otrzymali takie ransom notes, również z Polski i z naszą pomocą skutecznie odpierają atak.

ŁK: Atakujący wykorzystują rosnącą zależność biznesu od Internetu. Ponadto, posiadając 2 lub więcej własnych DC lub korzystając z chmur publicznych, często płacimy wielokrotnie za ochronę DDoS. Stanowczo łatwiej, taniej i skuteczniej jest zaplanować inwestycję w oparciu o ilość czystego ruchu, jaki ma nam zastać zagwarantowany, abyśmy mogli skutecznie prowadzić biznes bez względu na lokalizację naszych aplikacji czy wielkość ataku, który najprawdopodobniej zostanie przeprowadzony na całą firmę a nie tylko na jedno DC. Musimy więc mieć pełną kontrolę, również w środowisku multi-cloud. Warto dodać, że chętnie udzielamy wsparcia atakowanym firmom, które nie są naszymi klientami. Wystarczy skontaktować się z nami, a w ciągu kilku minut uruchomimy wsparcie.

Na co przede wszystkim należy zwrócić uwagę poszukując rozwiązania dla swojej organizacji?

MB: Brak zrozumienia mechanizmów atakujących oraz natłok zadań powoduje często, że firmy podejmują decyzje najprostsze, natomiast niekoniecznie zapewniające największą skuteczność. Konieczna jest przede wszystkim szczegółowa analiza potrzeb, możliwości, doświadczeń oraz rzetelna analiza ryzyka. Są klienci, którzy ze względu na swoje doświadczenia nie wyobrażają sobie ochrony DDoS bez Radware, ale są też tacy, którzy akceptują znaczący kompromis jakościowy. Dla sektora finansowego obowiązuje regulacja KNF, która nadal ogranicza możliwości korzystania z usług chmurowych niezbędnych do zapewnienia skutecznej ochrony. Korzystając z rozwiązań Radware w podejściu hybrydowym mamy gwarancję, że przekierowany do chmury zostanie tylko ruch szkodliwy, wrażliwe dane oraz certyfikaty nie będą dostępne w chmurze a klienci nadal będą mieli możliwość dokończenia transakcji – to zapewnia najwyższy z możliwych poziomów ochrony przy pełnej zgodności z najostrzejszymi wymogami prawnymi.

ŁK: W przypadku DDoS warto unikać nauki na własnych błędach i zaufać ekspertom z wieloletnim doświadczeniem. Przewidujmy potencjalne szkody, sprawdzajmy skuteczność posiadanych rozwiązań oraz trzymajmy rękę na pulsie. Aktualna wiedza o nowościach i trendach oraz dopasowana do tego strategia ochrony infrastruktury to klucz do szybkiego oraz skutecznego reagowania w trakcie incydentu.