Jak się bronić przed atakami DDoS, czyli ciągłość biznesowa od A do Z
Działania zakłócające normalne funkcjonowanie serwerów to jedna z najgroźniejszych broni w rękach przestępców. Nawet krótkotrwała niedostępność usług może skutkować stratami finansowymi i pogorszeniem reputacji. Na szczęście nie jesteśmy wobec takich ataków bezradni.
CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU:
|
Ataki DDoS (ang. Distributed Denial of Service – rozproszona odmowa dostępu do usługi) polegają na przeciążeniu zasobów sieciowych, serwerów lub aplikacji poprzez bombardowanie ich dużą liczbą zapytań. Celem atakującego jest spowodowanie niedostępności usług dla użytkowników. Do wysyłania ogromnej liczby zapytań i kreowania sztucznego ruchu wykorzystywane są sieci zainfekowanych urządzeń – tzw. botnety.
Według danych Cisco liczba ataków DDoS ciągle rośnie – z ok. 8 mln zdarzeń w 2018 roku do ponad 15 mln prognozowanych dla całego 2023 roku[1]. Ostatni okres przyniósł jednak pewne zmiany w stosunku do czasuprzed wojny na Ukrainie – widoczny jest większy udział wielowektorowych ataków DDoS prowadzonych przez prorosyjskie grupy REvil, Killnet, czy Anonymous Sudan na serwery państw zachodnich[2]. Hakerzy zainteresowani są zwłaszcza rynkiem bankowym[3] (w tym systemem SWIFT), atakują również duże firmy (Microsoft Azure[4]), ale nie pogardzają infrastrukturą publiczną. Najlepszym przykładem są tu wielokrotne ataki na infrastrukturę IT Olsztyna, powodujące utrudnienia w korzystaniu z komunikacji miejskiej. W lipcu 2023 roku, po kilku tygodniach od ataku, usuwanie jego skutków ciągle trwa[5]. W czerwcu 2023 roku hakerzy próbowali również zablokować Elektroniczną Platformę Usług Administracji Publicznej (ePUAP)[6].
Dane Netscout obejmujące Europę[7] przynoszą informacje o czasie trwania takich ataków. Najczęściej niedostępność zasobów dla użytkowników trwa od 5 do 15 minut (ponad milion przypadków w regionie EMEA), zdarzają się jednak ataki trwające powyżej godziny. To okres, w którym użytkownicy i klienci nie mogą korzystać z zasobów firmy lub napotykają poważne utrudnienia. W Polsce atak DDoS trwa średnio 8 minut. Do najczęściej atakowanych przedsiębiorstw w naszym kraju należą firmy branży telekomunikacyjnej, centra przetwarzania danych, bankowość oraz media.
Aby skutecznie odpierać tego typu ataki, wiele firm decyduje się na wykorzystanie zapasowych centrów danych w modelu georedundancji lub stosuje podejście hybrydowe z wykorzystaniem chmury publicznej. Jak to działa?
Wiele lokalizacji, wiele możliwości obrony
Zapasowe centra danych stanowią kluczowy element strategii obrony przed atakami DDoS. W sytuacji, w której główne centrum danych jest atakowane, organizacja może uruchomić swoje zasoby z zapasowego centrum danych, zapewniając kontynuację działalności biznesowej bez przestojów.
Ważne jest, by zapasowe centrum danych znajdowało się w odległej geograficznie lokalizacji, co pozwala minimalizować ryzyko przerwania działalności w przypadku katastrofy naturalnej lub fizycznego uszkodzenia. Takie podejście (georedundancja) to strategia polegająca na rozmieszczeniu kluczowych zasobów IT w różnych lokalizacjach w celu zwiększenia niezawodności i odporności systemu. Może ona również przyczynić się do ochrony przed atakami typu DDoS, umożliwiając rozproszenie ruchu sieciowego.
Jeśli atak DDoS jest skoncentrowany na jednej lokalizacji, inne lokalizacje mogą obsługiwać normalny ruch, co minimalizuje wpływ ataku na cały system. Skorzystanie z georedundancji umożliwia także stosowanie mechanizmów filtrowania ruchu w różnych lokalizacjach. Można zastosować różne reguły i algorytmy w celu blokowania nieprawidłowego ruchu pochodzącego z ataku DDoS, a jednocześnie umożliwić obsługę normalnych zapytań w innych lokalizacjach.
Są również inne korzyści georedundancji. Użytkowanie co najmniej dwóch data center pozwala na rozproszenie obciążenia sieciowego na dwie lokalizacje (tzw. load balancing), co zwiększa dostępność i wydajność systemów.
Warto jednak podkreślić, że georedundancja to tylko jedna z wielu strategii ochrony przed atakami DDoS i nie daje ona całkowitej gwarancji ochrony. Wdrażanie tego typu strategii powinno być zintegrowane z innymi środkami ochronnymi, takimi jak filtrowanie ruchu, wykrywanie anomalii w ruchu sieciowym oraz monitorowanie i reagowanie na ataki.
W chmurze bezpieczniej
Alternatywą dla koncepcji georedundancji w zakresie zachowania ciągłości działania w przypadku ataków DDoS jest chmura hybrydowa, która łączy w sobie chmurę prywatną i publiczną. Takie połączenie odgrywa istotną rolę w ochronie przed atakami DDoS. Przeniesienie niektórych zasobów do chmury publicznej, takich jak serwery aplikacyjne czy serwery DNS, umożliwia dystrybucję ruchu i obciążenia na wypadek ataku. Wykorzystanie chmury publicznej umożliwia także skalowanie zasobów w zależności od potrzeb, co pomaga w ochronie przed przeciążeniem infrastruktury bazowej podczas ataku DDoS.
Jednak nawet najlepsza pod względem infrastruktury chmura nie da nam gwarancji ochrony przed atakiem, jeśli zaniedbamy kwestie cyberbezpieczeństwa. W tym zakresie istnieje bardzo dużo możliwości oraz narzędzi. Jednym z tych rozwiązań są tzw. inteligentne firewalle, które są w stanie analizować ruch sieciowy i wykrywać anomalie związane z atakami DDoS. Te zaawansowane urządzenia są w stanie dynamicznie reagować na zmieniające się zagrożenia i blokować podejrzany ruch.
Innym skutecznym rozwiązaniem jest wykorzystanie rozproszonej infrastruktury serwerów proxy (CDN – Content Delivery Network), które pozwalają na rozproszenie ruchu sieciowego i zminimalizowanie wpływu ataku DDoS na infrastrukturę organizacji. To rozwiązanie polega na kierowaniu ruchu poprzez wiele serwerów proxy, rozmieszczonych w różnych lokalizacjach.
Stały monitoring ryzyka
Firmy, które są szczególnie narażone na ataki DDoS lub takie, dla których efekty podobnego ataku niosłyby poważne konsekwencje finansowe, mogą skorzystać z wyspecjalizowanych usług ochrony. AntyDDoS to rozwiązanie chroniące witryny internetowe przed ruchem generowanym przez sieci botnet. Jeżeli system wykryje próbę ataku, ruch w ciągu sekundy jest przekierowany do specjalnego centrum czyszczenia, w którym podejrzane pakiety zostaną wyeliminowane.
Dla organizacji, które potrzebują kompleksowego podejścia do tematu cyberbezpieczeństwa interesujące mogą okazać się usługi Security Operations Center as a Service (SOC). Tego typu rozwiązanie zapewnia kompleksową ochronę przed różnego rodzaju atakami, nie tylko DDoS. Usługa oferuje wsparcie zespołu ekspertów ds. bezpieczeństwa, zaawansowane narzędzia analizy zagrożeń oraz monitorowanie infrastruktury w czasie rzeczywistym. Oto kilka sposobów, jak usługi tego typu mogą pomóc w zwalczaniu ataków DDoS:
- Ciągłe monitorowanie ruchu sieciowego, analiza logów i wykrywanie nieprawidłowych zachowań. Dzięki temu można wykrywać i identyfikować potencjalne ataki DDoS w czasie rzeczywistym.
- Ochrona przed atakami przez filtrowanie ruchu, limitowanie połączeń i zasobów, czy też wykorzystywanie metod analizy behawioralnej do wykrywania nietypowych wzorców ruchu.
- Zespół ekspertów ds. bezpieczeństwa reaguje na ataki DDoS w czasie rzeczywistym. Mogą oni szybko identyfikować i analizować ataki oraz podejmować odpowiednie działania w celu ograniczenia ich wpływu na usługi organizacji.
- Usługa jest skalowana, można ją dostosować do warunków i rozszerzać swoje możliwości w odpowiedzi na rosnące zagrożenia.
Plan zachowania ciągłości działania
Wszystkie te technologie nie zadziałają odpowiednio, jeżeli organizacja nie przygotowała wcześniej planu ciągłości działania, czyli sposobów utrzymania ważnych funkcji biznesowych w sytuacji awaryjnej. Główne zasoby, które należy chronić w kontekście ataków DDoS, to firmowy system poczty elektronicznej, serwery WWW, intranet i bazy danych. Jeśli którykolwiek z tych elementów zostanie naruszony, komunikacja lub możliwość dostępu do informacji zostanie zatrzymana, co spowoduje utratę ciągłości biznesowej i wygeneruje stratę dla firmy. Jeśli firma nie posiada planu przed wystąpieniem sytuacji awaryjnej, prawdopodobnie będzie podejmować złe decyzje z powodu presji czasowej.
Oprócz opisanych wyżej rozwiązań firmy powinny upewnić się, że posiadają niezawodne kopie zapasowe. Oznacza to kopie zapasowe, które są wykonywane regularnie oraz testowane w zakresie ich przywracania.
Na koniec należy pamiętać, aby przeszkolić swoich pracowników i przetestować ich za pomocą zorganizowanych symulacji. Jeśli firma wdroży wszystkie powyższe kroki w bardzo istotny sposób ograniczy skutki ewentualnego ataku DDoS i ograniczy ewentualne straty spowodowane przez tego typu działania.
Podsumowanie
Zapasowe centra danych oraz chmura hybrydowa są skutecznymi narzędziami ochrony przed atakami DDoS. Wykorzystanie zaawansowanych rozwiązań z zakresu bezpieczeństwa, takich jak inteligentne firewalle, infrastruktura serwerów proxy, czy SOC znacząco zwiększa odporność organizacji na tego rodzaju zagrożenia.
Ważne jest również posiadanie planów zachowania ciągłości działania, aby w sposób możliwie uporządkowany zapanować nad chaosem, który pojawi się w przypadku ataku DDoS. Regularne szkolenia i symulacje dla pracowników pozwalają zminimalizować stres wywołany taką sytuacją i wypracować efektywny system obrony przed tym zagrożeniem.
Autor:
Damian Kozłowski,
Product Owner Data Center&Cloud T-Mobile Polska S.A.
[1] https://www.cisco.com/c/en/us/solutions/collateral/executive-perspectives/annual-internet-report/white-paper-c11-741490.html
[2] https://blog.cloudflare.com/ddos-threat-report-2023-q2/
[3] https://www.darkreading.com/risk/killnet-threatens-imminent-swift-world-banking-attacks
[4] https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-azure-outlook-outages-caused-by-ddos-attacks/
[5] https://www.money.pl/gospodarka/olsztyn-sparalizowany-od-tygodni-po-cyberataku-miasto-otrzyma-miliony-z-nowego-funduszu-6918397515639648a.html
[6] https://samorzad.pap.pl/kategoria/e-urzad/minister-cyfryzacji-cyberatak-na-epuap
[7] https://www.netscout.com/threatreport/emea/
Data publikacji: 27.07.2023