Každý, kto sa spolieha na svoju online prítomnosť a služby, je zraniteľný útokmi DDoS. Ak je nedostupná webová stránka, je to najmä reputačné riziko. Ak však ide o elektronický obchod, finančné inštitúcie, webové stránky s hrami či hazardnými hrami, me­diálne spoločnosti a zdravotnícke organizácie, je to až existenčné riziko.

Ide to hore

Presné počty a typy DDoS útokov na globálnej úrovni je prakticky nemožné zistiť. Súvisí to so stupňom a spôsobom viditeľnosti do DDoS útokov organizácií, ktoré reporty pripravujú. Výsledky však vykazujú regionálne odlišnosti, v prípade Slovenska spojené prevažne s vojnou na Ukrajine.

Profesionáli tak predpokladajú, že nárast DDoS útokov u nás je výrazne vyšší ako globálne. Národné centrum kybernetickej bezpečnosti SK-CERT sleduje tento typ kampaní už od začiatku a v ostatnom čase eviduje viacero vĺn týchto útokov.

Dobrovoľné botnety

V slovenskom kybernetickom priestore sa objavila nová tendencia DDoS útokov. Miesto použitia veľkých botnetov pozostávajúcich z kompromitovaných zariadení sa útočníci čoraz viac uchyľujú k hacktivizmu a spúšťajú útoky z počítačov sympatizantov.

Aj v januári evidovala jednotka CSIRT.SK hlásenia útokov na webové stránky televíznych staníc a bánk a vládnej siete Govnet. K útoku sa prihlásila prorusky orientovaná hacktivistická skupina Anonymous Russia. Trend hack­tivizmu v DDoS útokoch rastie a predstavuje významné nebezpečenstvo pre organizácie.

Ako to funguje?

Hacktivisti si zvyčajne stiahnu nástroj, ktorý im umožňuje získať zoznam cieľov a spustiť proti nim útoky. „Pozorujeme aj prípady, keď tento nástroj zahŕňa aj systém odmien v kryptomene, ktorý motivuje účastníkov a robí z toho lukratívne podnikanie,“ delí sa o skúsenosti Milan Pikula z NCKB SK-CERT. Hacktivisti si často neuvedomujú ďalší bezpečnostný rozmer, že tieto nástroje môžu potenciálne obsahovať aj inú skrytú funkcionalitu.

Tým, že útočníci využívajú siete aktivistov, vykonávajú útoky s väčšou ľahkosťou a efektivitou. A tak od úvodného oznamu do začiatku útoku prejde len niekoľko hodín. V čase útoku je už potom neskoro začať myslieť na obranu. Organizácie bez rozdielu veľkosti a zamerania preto musia zaviesť a otestovať pokročilé bezpečnostné opatrenia na ochranu sietí pred týmito novými typmi útokov.

Celkom populárna služba

DDoS útoky sa dajú aj jednoducho „nakúpiť“ na webe, a to už nehovoríme len o dark webe. Komerčné kyberzločinecké stránky sa často maskujú za služby a ponúkajú testovanie bezpečnosti. V skutočnosti si tak zákazník kupuje cielený útok.

„Tu sú v riziku všetky organizácie, keďže konkurencia, nespokojný zákazník, prepustený zamestnanec alebo povedzme aj nespokojný pacient môžu takto zaútočiť a spôsobiť výpadok služieb,“ vysvetľuje manažér kybernetickej bezpečnosti Pavol Vrabec z martinskej univerzitnej nemocnice.

Oči pre plač

Dosah DDoS útoku závisí od toho, či mieri na webové servery alebo na aplikačnú úroveň a ako je od týchto služieb závislý predmet podnikania alebo poslanie organizácie. Úlohu zohráva aj to, či je to automat alebo cielený, na mieru šitý útok. Keďže život a svet sa v mnohých rozmeroch preniesol do internetového a aplikačného prostredia, nedostupnosť akejkoľvek služby prináša diskomfort, problémy a komplikácie. Vedúca úseku bezpečnosti vo Východoslovenskej energetike Diana Legdanová hovorí o tom, že pre útočníkov sú DDoS útoky stále zaujímavé a vyžadujú ostražitosť.

Štatistiky nepustia

K varovaniam sa pripája aj Tomáš Masný, riaditeľ informačnej bezpečnosti spoločností Slovak Telekom a T-Mobile Česká republika. „Intenzita a sila DDoS útokov je variabilná a významná. Pohybuje sa od jednotiek až po stovky gigabitov za sekundu. Naše centrum bezpečnostných operácií, čiže SOC, eviduje a pravidelne reportuje počty týchto útokov.“

Ako veľký operátor ponúkajú štandardne službu DDoS ochrany, ale ešte stále je mnoho prípadov, keď si význam takejto ochrany zákazník uvedomí, až keď je pod útokom a dochádza k škodám.

Pozornosť každú sekundu

Systém DDoS ochrany u operátorov je plne automatický. „Ak je potrebné, vedia zasiahnuť SOC analytici a blokovať útok aj manuálne alebo doladiť ochranu na konkrétne prevádzkové potreby. Zákazník si v rozhraní vie kedykoľvek skontrolovať priebeh útokov a ochrany,“ dopĺňa Henrich Šnajder za Orange Slovensko.

„Zákazníkov máme zo všetkých segmentov, malých, stredných aj veľké korporácie, chránime tiež viacerých poskytovateľov internetu, mediálne domy a obchodné reťazce.“

Útoky idú do práčky

Detekcia útoku je už automatizovaná. Technológia spozornie, ak identifikuje abnormálne správanie siete, a pri prekročení stanovených hodnôt deteguje útok. Ak už je jasné, na akú konkrétnu IP adresu smeruje DDoS útok, dátový tok sa presmeruje a eliminuje sa škodlivý. Po skončení je dôležité analyzovať odrazený útok a zdieľať informácie. Zároveň sa vykonávajú konfiguračné opatrenia do budúcnosti.

Dobre kúpená služba

Kľúčovú úlohu pri predchádzaní škodám zohráva toľko spomínané stredisko bezpečnostných operácií (SOC). Keďže vybudovanie a prevádzka sú náročné, služby SOC si organizácie aj v tomto prípade prenajímajú.

Vyladené stredisko SOC odhaľuje útoky, zavádza a vykonáva plány reakcie na incidenty, nasadzuje nástroje a techniky na zmierňovanie útokov. „Najdôležitejšou súčasťou sú však proaktívne opatrenia, čím sa minimalizuje vplyv DDoS útokov,“ zhŕňa skúsený SOC manažér Ján Andraško.

To najhoršie na koniec

Podľa skúseností Júliusa Seleckého z Esetu firmy často ignorujú fakt, že na DDoS útoku sa môžu podieľať ich zariadenia. Čokoľvek, čo je pripojené do internetu, môže byť hacknuté a zapojené do útočného botnetu. Ak je zariadenie zraniteľné a nedá sa aktualizovať, aj po reštarte spravidla dochádza k jeho opätovnému infikovaniu.

Zapojenie v botnete má na fungovanie zariadenia minimálny alebo nemá žiadny vplyv, čiže sa náročne identifikuje. Krajná situácia je, „keď vám polícia rozrazí dvere, že váš router útočí na banku“.

Ako sa brániť proti útokom na aplikačnej vrstve?

Tradičné metódy obrany, užitočné pri objemových DDoS útokoch, sa spoliehajú na detekciu útoku štatistickými metódami a následné blokovanie.

Na zvládnutie rastúcej hrozby útokov na aplikačnej vrstve však musia organizácie zaviesť úplne iné typy obrany. Útok je totiž veľmi ťažké odhaliť z logov sieťových bezpečnostných prvkov, alebo odlíšiť od legitímnej sieťovej komunikácie.

Ťažisko detekcie a blokovania sa teda prenáša na cieľový systém, alebo aplikačné proxy a load balancery umiestnené pred ním.

1. prvým krokom je úspešná detekcia. Tá je možná monitoringom doby odozvy webových stránok alebo automatickou analýzou logov.
2. na zníženie záťaže môžu byť využité veľké distribučné siete obsahu (CDN), ktorá rozdeľujú záťaž na rôzne servery a znižujú riziko útokov s jedným bodom zlyhania.
3. exitujú tiež služby, ktoré čistia obsah na aplikačnej vrstve s využitím veľkých dátových centier. Pri využití takých služieb sa však treba uistiť, aby spôsob ich nasadenia nepriniesol nové bezpečnostné riziká. Prevádzkovateľ takejto služby napríklad vidí do celého obsahu komunikácie, vrátane citlivých dát ako napríklad prihlasovacie mená a heslá, pri službe webmail obsah e-mailov a podobne.
4. účinným prostriedkom v čase útoku je tiež geo-blokácia, blokovanie IP adries asociovaných s Tor alebo otvorenými proxy.

 

Odporúčanie spracovalo Národné centrum kybernetickej bezpečnosti SK-CERT