Útok DDoS (Distributed Denial of Service) není žádná legrace; zaplaví vaši síť škodlivým provozem, způsobí výpadek vašich aplikací a zabrání legitimním uživatelům v přístupu k vašim službám. Útoky DDoS mají často za následek ztrátu tržeb, opuštěné nákupní košíky, poškození pověsti a nespokojené uživatele.
První díl tohoto seriálu blogů pojednával o některých krocích, které byste měli podniknout, abyste se na útok DDoS (Distributed Denial of Service) připravili ještě předtím, než k němu dojde. V tomto příspěvku se budeme zabývat tím, co dělat nyní, když jste pod útokem.
Ačkoli nemůžete ovlivnit, kdy se můžete stát obětí útoku, dodržení níže uvedených kroků vám může pomoci minimalizovat dopad útoku, nastartovat cestu k obnově a zabránit tomu, aby se útok opakoval.
Upozorněte klíčové zainteresované strany
Často se říká, že prvním krokem k nápravě problému je rozpoznat, že nějaký máte. Za tímto účelem je třeba upozornit klíčové zainteresované stranyv organizaci s vysvětlením, že jste napadeni a jaké kroky jsou podnikány k jeho zmírnění.
Mezi klíčové zainteresované strany patří například CISO organizace, centrum bezpečnostních operací (SOC), ředitel IT sítě, manažeři provozu, obchodní manažeři dotčených služeb atd.
Protože budete mít pravděpodobně plné ruce práce s bojem proti útoku, je pravděpodobně nejlepší, aby toto upozornění bylo krátké a věcné.
Klíčové informace – v rozsahu, v jakém je máte k dispozici – by měly obsahovat:
- Co se děje
- Kdy útok začal
- Která aktiva (aplikace, služby, servery atd.) jsou zasažena
- Dopad na uživatele a zákazníky
- Jaké kroky jsou podnikány ke zmírnění útoku
Informujte zúčastněné strany o vývoji události a/nebo o nových informacích. Průběžné informování klíčových zúčastněných stran pomůže zabránit zmatku, nejistotě a panice a pomůže koordinovat úsilí o zastavení útoku.
Upozorněte poskytovatele zabezpečení
Současně s informováním zúčastněných stran ve vaší organizaci budete chtít upozornit také poskytovatele zabezpečení a zahájit veškeré kroky na jeho straně, které vám pomohou útok řešit.
Vaším poskytovatelem zabezpečení může být poskytovatel internetových služeb (ISP), poskytovatel webhostingu nebo specializovaná bezpečnostní služba.
Každý typ dodavatele má jiné možnosti a rozsah služeb. Váš poskytovatel internetového připojení vám může pomoci minimalizovat množství škodlivého síťového provozu, který se dostane do vaší sítě, zatímco poskytovatel webhostingu vám může pomoci minimalizovat dopad aplikací a rozšířit služby. Stejně tak bezpečnostní služby budou mít obvykle specializované nástroje speciálně pro řešení útoků DDoS.
I když ještě nemáte předdefinovanou smlouvu o poskytování služeb nebo nejste předplatiteli jejich nabídky ochrany proti DDoS, měli byste je přesto oslovit a zjistit, jak vám mohou pomoci.
Aktivujte protiopatření
Pokud máte zavedena nějaká protiopatření, je nyní čas je aktivovat.
Jedním z přístupů je zavedení seznamů řízení přístupu (ACL) založených na IP, které blokují veškerý provoz přicházející ze zdrojů útoku. To se provádí na úrovni síťového směrovače a obvykle se o to může postarat buď váš síťový tým, nebo poskytovatel internetového připojení. Je to užitečný přístup, pokud útok přichází z jediného zdroje nebo z malého počtu zdrojů útoku. Pokud však útok přichází z velké skupiny IP adres, pak tento přístup nemusí pomoci.
Je-li cílem útoku aplikace nebo webová služba, můžete se také pokusit omezit počet souběžných připojení aplikace. Tento přístup je znám jako omezování rychlosti a často jej upřednostňují poskytovatelé webhostingu a sítě CDN. Všimněte si však, že tento přístup je náchylný k vysoké míře falešně pozitivních výsledků, protože nedokáže rozlišit mezi škodlivým a legitimním uživatelským provozem.
Specializované nástroje ochrany proti DDoS vám poskytnou nejširší pokrytí proti útokům DDoS. Opatření na ochranu proti DDoS lze nasadit buď jako zařízení ve vašem datovém centru, jako službu čištění v cloudu, nebo jako hybridní řešení kombinující hardwarové zařízení a cloudovou službu.
Pravděpodobně tato protiopatření naběhnou okamžitě po zjištění útoku. V některých případech však tyto nástroje – například hardwarová zařízení mimo cestu nebo ručně aktivované služby zmírnění útoku na vyžádání – mohou vyžadovat, aby je zákazník aktivně inicioval.
Jak bylo uvedeno výše, i když nemáte k dispozici specializované bezpečnostní řešení, většina bezpečnostních služeb umožňuje nouzové zapnutí během útoku. Takový on-boarding s sebou často nese vysoký poplatek nebo povinnost si službu později předplatit. Může to však být nezbytné, pokud nemáte jinou možnost.
Sledování průběhu útoku
V průběhu útoku byste měli sledovat jeho průběh, abyste zjistili, jak se vyvíjí v čase.
Několik klíčových otázek, které byste se měli pokusit během něj vyhodnotit:
- O jaký typ útoku DDoS se jedná? Jedná se o záplavy na úrovni sítě, nebo o útok na aplikační vrstvě?
- Jaké jsou charakteristiky útoku? Jak velký je útok (z hlediska počtu bitů za sekundu i paketů za sekundu)?
- Přichází útok z jednoho zdroje IP, nebo z více zdrojů? Můžete je identifikovat?
- Jak vypadá vzor útoku? Jedná se o jedinou trvalou záplavu, nebo o nárazový útok? Zahrnuje jediný protokol, nebo více vektorů útoku?
- Jsou cíle útoku stále stejné, nebo útočníci své cíle v průběhu času mění?
Sledování průběhu útoku vám také pomůže vyladit obranu.
Vyhodnocení účinnosti obrany
Nakonec, jak se útok vyvíjí a vaše protiopatření jsou nasazována, musíte měřit jejich průběžnou účinnost.
Tady je otázka jednoduchá:
Váš dodavatel zabezpečení by vám měl poskytnout dokument SLA (Service Level Agreement), ve kterém se zaváže k poskytování svých služeb. Dvěma nejdůležitějšími metrikami v tomto dokumentu jsou Time-to-Mitigate (TTM) aConsistency-of-Mitigation.
- Time-to-Mitigate měří, jak rychle se váš dodavatel zaváže zastavit útok.
- Metrika Consistency-of-Mitigation naopak měří, jak dobře se mu daří útok zastavit. Tato metrikaje obvykle definována jako poměr škodlivého provozu, kterému je umožněno proniknout do vaší sítě.
Pokud zjistíte, že vaše zabezpečení neplní svůj závazek SLA – nebo ještě hůře – není schopno útok zastavit vůbec, je nyní také čas posoudit, zda je třeba provést změnu.
Stáhněte si „Almanach hackerů“ společnosti Radware a dozvíte se více.
Stáhněte si nyní
.