Mi a teendő, ha DDoS-támadás éri

Szerző:

A DDoS-támadás (Distributed Denial of Service) nem nevetséges dolog; rosszindulatú forgalom árasztja el a hálózatot, leállítja az alkalmazásokat, és megakadályozza, hogy a jogos felhasználók hozzáférjenek a szolgáltatáshoz. A DDoS-támadások gyakran eredményeznek elmaradt eladásokat, elhagyott bevásárlókosarakat, hírnévkárosodást és elégedetlen felhasználókat.

E blogsorozat első része néhány olyan lépést tárgyalt, amelyeket érdemes megtennie, hogy felkészüljön egy elosztott szolgáltatásmegtagadásos (DDoS) támadásra, mielőtt az bekövetkezne. Ez a bejegyzés azt tárgyalja, hogy mit kell tennie most, hogy támadás érte.

Noha nem tudja befolyásolni, hogy mikor érheti támadás, az alábbiakban ismertetett lépések követése segíthet minimalizálni a támadás hatását, elindulhat a helyreállítás útján, és segíthet megelőzni, hogy ez újra megtörténjen.

A legfontosabb érdekelt felek figyelmeztetése

Gyakran mondják, hogy a probléma megoldásának első lépése annak felismerése, hogy van egy probléma. Ebből a célból figyelmeztetnie kell a kulcsfontosságú érdekelt feleket a szervezeten belül, elmagyarázva, hogy támadás érte, és hogy milyen lépéseket tesznek a probléma enyhítésére.

A kulcsfontosságú érdekelt felek közé tartozik például a szervezet CISO-ja, a biztonsági műveleti központ (SOC), a hálózati informatikai igazgató, az üzemeltetési vezetők, az érintett szolgáltatások üzleti vezetői stb.

Mivel valószínűleg tele lesz a keze a támadás elleni küzdelemmel, valószínűleg az a legjobb, ha a figyelmeztetés rövid és lényegre törő.

A legfontosabb információknak – amennyire rendelkezésére állnak – a következőket kell tartalmazniuk:

  • Mi történik
  • Mikor kezdődött a támadás
  • Mely eszközök (alkalmazások, szolgáltatások, szerverek stb.) érintettek
  • A felhasználókra és ügyfelekre gyakorolt hatás
  • Milyen lépéseket tesznek a támadás mérséklésére

Folyamatosan tájékoztassa az érintetteket az esemény alakulása és/vagy az új információk rendelkezésre állása szerint. A kulcsfontosságú érdekelt felek folyamatos tájékoztatása segít megelőzni a zavart, a bizonytalanságot és a pánikot, valamint koordinálni a támadás megállítására irányuló erőfeszítéseket.

Értesítse a biztonsági szolgáltatót

A szervezeten belüli érdekelt felek értesítésével párhuzamosan a biztonsági szolgáltatót is figyelmeztetni kell, és kezdeményezni kell a támadás kezelését segítő lépéseket.

A biztonsági szolgáltatója lehet az internetszolgáltatója (ISP), a webtárhely-szolgáltatója vagy egy dedikált biztonsági szolgáltatás.

Minden szolgáltatótípus más-más képességekkel és szolgáltatási körrel rendelkezik. Az internetszolgáltatója segíthet minimalizálni a hálózatára érkező rosszindulatú hálózati forgalom mennyiségét, míg a webtárhely-szolgáltatója segíthet az alkalmazások hatásának minimalizálásában és a szolgáltatás skálázásában. Hasonlóképpen, a biztonsági szolgáltatások általában kifejezetten a DDoS-támadások kezelésére szolgáló eszközökkel rendelkeznek.

Még ha nincs is előre meghatározott szolgáltatási megállapodása, vagy nincs előfizetve a DDoS-védelmi ajánlatukra, akkor is érdemes megkeresnie őket, hogy megtudja, hogyan tudnak segíteni.

Az ellenintézkedések aktiválása

Ha rendelkezik bármilyen ellenintézkedéssel, most van itt az ideje, hogy aktiválja azokat.

Az egyik megközelítés az IP-alapú hozzáférés-vezérlési listák (ACL) bevezetése a támadási forrásokból érkező forgalom blokkolására. Ez a hálózati útválasztó szintjén történik, és általában a hálózati csapat vagy az internetszolgáltató kezeli. Ez egy hasznos megközelítés, ha a támadás egyetlen forrásból vagy kevés támadási forrásból érkezik. Ha azonban a támadás IP-címek nagy csoportjából érkezik, akkor ez a megközelítés nem biztos, hogy segít.

Ha a támadás célpontja egy alkalmazás vagy egy webalapú szolgáltatás, akkor az egyidejű alkalmazáskapcsolatok számának korlátozásával is megpróbálkozhat. Ezt a megközelítést sebességkorlátozásnak nevezik, és gyakran a webtárhely-szolgáltatók és a CDN-ek által kedvelt megközelítés. Megjegyzendő azonban, hogy ez a megközelítés hajlamos a nagyfokú hamis pozitív eredményekre, mivel nem képes különbséget tenni a rosszindulatú és a jogos felhasználói forgalom között.

A dedikált DDoS-védelmi eszközök a legszélesebb lefedettséget biztosítják a DDoS-támadásokkal szemben. A DDoS-védelmi intézkedések telepíthetők akár az adatközpontban lévő készülékként, akár felhőalapú törlési szolgáltatásként, akár hardveres eszközt és felhőszolgáltatást kombináló hibrid megoldásként.

Ezek az ellenintézkedések a támadás észlelése után azonnal működésbe lépnek. Egyes esetekben azonban az ilyen eszközök – például az útvonalon kívüli hardvereszközök vagy a manuálisan aktiválható, igény szerinti kárenyhítési szolgáltatások – megkövetelhetik, hogy az ügyfél aktívan kezdeményezze azokat.

Mint már említettük, még ha nem is rendelkezik dedikált biztonsági megoldással, a legtöbb biztonsági szolgáltatás lehetővé teszi a vészhelyzeti bekapcsolást egy támadás során. Az ilyen beszállás gyakran magas díjat von maga után, vagy a szolgáltatásra való későbbi előfizetési kötelezettséget. Erre azonban szükség lehet, ha nincs más lehetősége.

Támadás előrehaladásának nyomon követése

A támadás során figyelemmel kell kísérnie annak előrehaladását, hogy lássa, hogyan alakul az idővel.

A legfontosabb kérdések közül néhányat próbáljon meg felmérni ez idő alatt:

  • Milyen típusú DDoS-támadásról van szó? Hálózati szintű áradás, vagy alkalmazásszintű támadás?
  • Melyek a támadás jellemzői? Mekkora a támadás nagysága (mind a másodpercenkénti bitek, mind a másodpercenkénti csomagok tekintetében)?
  • A támadás egyetlen IP-forrásból vagy több forrásból érkezik? Tudja azonosítani őket?
  • Hogyan néz ki a támadási minta? Egyetlen tartós áradat, vagy burst támadás? Egyetlen protokollt érint, vagy több támadási vektort?
  • A támadás célpontjai ugyanazok maradnak, vagy a támadók idővel változtatják a célpontokat?

A támadás előrehaladásának nyomon követése segít a védelem hangolásában is.

A védelem teljesítményének értékelése

Végül, ahogy a támadás fejlődik, és az ellenintézkedéseket alkalmazza, mérnie kell azok folyamatos hatékonyságát.

A kérdés itt egyszerű:

A biztonsági szolgáltatójának szolgáltatási szintű megállapodást (SLA) kell készítenie, amelyben vállalja a szolgáltatási kötelezettségeit. Ebben a dokumentumban a két legfontosabb mérőszám a Time-to-Mitigate (TTM) és a Consistency-of-Mitigation.

  • A Time-to-Mitigate azt méri, hogy a szállítója milyen gyorsan vállalja a támadás megállítását.
  • A Consistency-of-Mitigation mérőszám viszont azt méri, hogy milyen jól állítja meg a támadást. Ezt a mérőszámot általában úgy határozzák meg, hogy a rosszindulatú forgalom hány százaléka jut el a hálózatáig.

Ha úgy találja, hogy a biztonsági rendszer nem teljesíti SLA kötelezettségét – vagy ami még rosszabb – egyáltalán nem képes megállítani a támadást, akkor itt az ideje annak is, hogy felmérje, szükség van-e változtatásra.

Töltse le a Radware “Hackers Almanac” című kiadványát, ha többet szeretne megtudni.

Töltse le most

Szólj hozzá!