Pod poriadne krkolomným názvom „distribuovaný útok na zamedzenie služby“ (DDoS) sa v skutočnosti ukrýva niečo, čo sa deje neustále. Je to pomerne bežný typ útoku, ktorý má jasný cieľ – zhodiť sieť či server.
Útočiť sa môže na banky, operátorov, väčšie firmy či mediálne spoločnosti. Takýto útok predstavuje pre firmy naozaj obrovské riziko. Ich služba, teda i plnohodnotná prevádzka sú kompletne narušené, až znemožnené.
Ako sa prejaví DDoS?
DDoS vzniká v takzvaných botnet sieťach. Sú to siete tvorené tisíckami až stotisíckami prepojených zariadení, ktoré boli nejakým spôsobom kompromitované skupinou hackerov. Dokážu ich ovládať na diaľku a vedia pomocou príkazov na konkrétnu IP adresu alebo URL adresu zacieliť DDoS.
Všetky zariadenia sa „zobudia“ v rovnakom čase a začnú posielať požiadavky na konkrétnu webstránku, respektíve na akúkoľvek sieťovú službu. Takýmto množstvom požiadaviek stránku či službu zahltia a tá sa stane nefunkčnou.
Ak by ste boli bankou, v tom momente nemôžu vaši klienti pristupovať do svojich účtov a vy nemáte prístup k firemným dátam. Nemôžete vykonávať žiadnu činnosť.
Prečo by sa mali firmy obzerať za riešením, ktoré predchádza DDoS? Pravda je, že distribuované útoky na zamedzenie služby nie sú vôbec výnimočné. Práve naopak. Sú veľmi častým typom útoku. Sú populárne, dostupné a dokonca aj lacné.
Na Slovensku je možné zacieliť takýto útok na niekoho za desiatky, možno aj jednotky eur. „Motívov na vykonanie DDoS je mnoho. Nemusí ísť pritom len o zhodenie služby s cieľom spôsobiť niekomu finančné či reputačné škody, ale aj o zamedzenie prístupu v strategickom čase, ako sú napríklad voľby,“ spresňuje situáciu Štefan Rak, manažér B2B segmentu v Orangei.
To znamená, že ak by niekto chcel napríklad „zhodiť“ konkurenčný eshop vo vypätom vianočnom období, pokojne to vtedy dokáže jednoduchou a lacnou objednávkou.
Riešenie od Orangeu
Existujú riešenia, ktoré vedia takýmto rizikám zamedziť. Jedno ponúka aj Orange. Ide o službu DDoS ochrany, ktorá sa postará o bezpečnosť používateľových služieb pomocou automatizovaného systému. Technológia automaticky identifikuje podozrivé správanie siete, a keď zaznamená prekročenie stanovených hodnôt, začne konať.
Po identifikácii útoku presmeruje dátový tok, pričom škodlivý je eliminovaný. „Ide o službu, ktorú Orange Slovensko používa aj sám na ochranu svojej vlastnej infraštruktúry. Ako prvý operátor sme ju však začali komerčne ponúkať zákazníkom,“ hovorí Henrich Šnajder, manažér pre informačnú bezpečnosť, Orange Slovensko.
Služba neustále filtruje prevádzku. Filtrovanie prebieha na základe známych a aktuálnych DDoS po celom svete. Technológia si vytvorí vzory pre každého monitorovaného zákazníka, teda konkrétne správanie v dennej a nočnej prevádzke.
Zisťuje normálny bežný priebeh prevádzky a keď zaznamená určité zmeny, následne spustí kroky potrebné na vyhodnotenie a zneškodnenie útoku. Systém disponuje rôznymi, tzv. signatúrami, ktoré rozoznajú útok. Útočníci totiž veľakrát na zahltenie služby kombinujú rôzne typy útokov.
Operátor, ktorý spúšťa manuálnu mitigáciu, dokáže vďaka informáciám o útoku posúdiť, či ide naozaj o DDoS, alebo je len prekročená prevádzka na štandardnom serveri. Vtedy sa mitigácia, teda zmierňovanie útoku, neuskutoční.
Po zaznamenaní útoku je celá prevádzka IP adresy obete presmerovaná cez tzv. práčku (scrubbing center), ktorá stojí medzi internetom a zákazníckymi systémami. V nej sa vyhodnocujú vzory DDoS a práve tu sa eliminujú.
Vďaka tomu sa škodlivý dátový tok z internetu odkláňa a k zákazníkovi prechádzajú len užitočné dáta. „Klienti z týchto aktivít nič v čase jeho priebehu nepocítia. To je výhoda automatickej mitigácie a dohľadového centra. Informácie a štatistiky o útoku si potom, samozrejme, môžu pozrieť na špecializovanom portáli,“ uzatvára Štefan Rak, manažér B2B Orange.
Tu sa však opatrenia nekončia. Bezpečnostné centrum po úspešnom zmiernení ďalej DDoS analyzuje a zrealizuje aj konfiguračné opatrenia do budúcnosti. Nastavenie ochrany, samozrejme, berie do úvahy, akú službu klient poskytuje, aké má kapacity linky, aký silný server a podobne.
– Nepodceňujte ani bezpečnosť a heslá v internete vecí
Zraniteľné a zneužiteľné zariadenia, ktoré môžu zohrávať veľkú úlohu v distribuovaných útokoch. Máme ich doma všetci.
Nenápadné zariadenia spôsobujúce ťažkosti v DDoS sú IoT, teda elektronika pripojiteľná na internet. Patria sem napríklad domáce spotrebiče, ale aj hračky či IP kamery, routery. Hoci ciele môžu byť rôzne, jedným z motívov je aj to, že tieto zariadenia môžu tvoriť škodlivé botnety.
Tie vedia útočníci na diaľku ovládať a s ich využitím nasmerovať útok na konkrétny cieľ. Môže sa teda doslova stať, že na vašu firemnú sieť bude útočiť chladnička.
„V porovnaní s počítačmi a so smartfónmi sa môže zdať, že IoT zariadenia nie sú dostatočne výkonné na to, aby zaujali kyberzločincov a boli využité v rámci ich ilegálnych aktivít.
Ich nedostatočný výkon je viac než dosť vyvážený ich počtom a tiež skutočnosťou, že niektorí výrobcovia inteligentných zariadení stále nevenujú dostatočnú pozornosť zabezpečeniu svojich produktov,“ vysvetľuje Mikhail Kuzin, bezpečnostný analytik Kaspersky Lab.
Je tu však háčik
Problémom je, že aj keby začali výrobcovia od tohto momentu vyrábať zariadenia s lepším zabezpečením, na trhu je obrovské množstvo zariadení, ktorým chýba vyšší stupeň ochrany.
Malvéry, ktoré ich napádajú, sa tiež neustále vyvíjajú a mutujú. Dokážu jednoduché hračky premeniť na výkonné zariadenia a využiť ich na ilegálne aktivity, ako napríklad špehovanie, kradnutie alebo vydieranie,“ poznamenáva Kuzin.
Nezabúdajte si preto pravidelne aktualizovať systém či firmvér, zmeniť prednastavené heslá a reštartovať, respektíve rebootovať zariadenie, ak sa vám zdá, že jeho reakcie sú podozrivé.
Stĺpček odborníka: Odpovedá Henrich Šnajder, manažér pre informačnú bezpečnosť, Orange Slovensko
Komu hrozia tzv. DDoS útoky? Mala by napríklad aj malá firma zvážiť ochranu proti takýmto útokom alebo je to len vecou veľkých?
DDoS útoky hrozia každému, kto prevádzkuje sieťovú službu v internete, či už je to malý e-shop, alebo veľká firma poskytujúca internetové služby. Samozrejme, záleží na motivácii útočníka.
Niekedy si vás môže „podať“ nahnevaný zákazník, inokedy konkurencia alebo sa stanete obeťou jednoduchého vydierania, no môže to byť aj len tak, pre zábavu či na skúšku. DDoS útok môže byť aj súčasťou cieleného prieniku do firmy – buď môže slúžiť na odvrátenie vašej pozornosti, alebo zneužiť zraniteľnosť v informačnom systéme, ktorá sa prejavuje práve pri zahltení samotného systému.
Rizikom výpadku sieťových a IT služieb by sa mala zaoberať každá firma, pre ktorú výpadok takýchto služieb vedie k finančným stratám, reputačným problémom alebo poškodeniu dobrého mena, nefunkčnosti biznis procesov, alebo bezpečnosti prevádzok.
Firma prevádzkujúca e-shop, ktorý je zároveň jediným zdrojom príjmu, sa bez aktívnej ochrany vystavuje vážnemu riziku. Pre inú firmu zase môže zahltený VPN prístup do podnikovej siete znefunkčniť riadiace procesy vo výrobe alebo v logistike.
Ako sa vlastne DDoS útok prejavuje, ako firma spozná, že na ňu takto útočia?
Samotný DDoS sa prejavuje čiastočným alebo úplným znefunkčnením sieťovej služby alebo IT služby. Firma, ktorá je pod DDoS útokom a nemá žiadnu aktívnu DDoS ochranu, sa dozvie o útoku až sekundárne, primárne spozoruje nefunkčnosť siete alebo IT služieb.
Ako rýchlo sa dá takýto útok odvrátiť?
Ak máte kvalitnú DDoS ochranu, útok je väčšinou zdetegovaný do pár sekúnd. Nasleduje automatická, prípadne dodatočná manuálna analýza použitých útočných techník a následné presmerovanie prevádzky do scrubbing centra (práčka), kde sa škodlivá prevádzka zahodí a prepustí sa len užitočná. Spravidla sa tak udeje do 1 až 3 minút od začiatku útoku.
V prípade ak medzi poskytovateľom internetovej služby a vašou internetovou službou nemáte žiadnu DDoS ochranu, v prípade útoku máte jednoducho smolu. Vaša internetová služba bude nedostupná až do času, kým nebude útok ukončený. Dĺžka útoku pritom môže byť pár minút, ale aj desiatky dní.
Ako si vybrať kvalitnú DDoS ochranu, na čo sa treba zamerať?
Pre firmy je výhodné objednať si DDoS ochranu priamo od svojho poskytovateľa internetových a cloudových služieb. Ak uvažujete o lokálnej DDoS ochrane inštalovanej priamo vo firme, ide spravidla o málo efektívne riešenie, ktoré bude funkčné len do maximálnej kapacity internetovej prípojky.
Ak teda máte 100 Mbit linku a budete pod útokom s veľkosťou 20 Gbit, vaše sieťové pripojenie bude zahltené a následne nefunkčné. A dôležité je aj individuálne nastavenie služby. Každý zákazník má inú prípojnú kapacitu, rôzne sieťové služby, ktoré potrebuje chrániť, a tiež môže mať rôzne výkonné servery.
Rovnako sa táto služba nezaobíde bez odborného personálu, ktorý dokáže analyzovať priebeh útoku a dokáže neustále vylepšovať celkovú úroveň a efektivitu ochrany.
Článok je natívnou informáciou
1.diel: Ste zaujímavý. Verte tomu a chráňte sa
3.diel: Starostlivosť o bezpečnosť nechajte na odborníkov