Co robić w przypadku ataku DDoS

Ataki DDoS (Distributed Denial of Service) to nie powód do śmiechu; zalewają one sieć złośliwym ruchem, powodując awarie aplikacji i uniemożliwiając legalnym użytkownikom dostęp do usług. Ataki DDoS często powodują utratę sprzedaży, porzucone koszyki, utratę reputacji i niezadowolonych użytkowników.

W pierwszej części tej serii blogów omówiono niektóre z kroków, które należy podjąć, aby przygotować się na atak DDoS (Distributed Denial of Service), zanim on nastąpi. W tym wpisie omówimy, co należy zrobić teraz, gdy już jesteśmy atakowani.

Mimo że nie można kontrolować, kiedy zostaniemy zaatakowani, wykonanie poniższych kroków może pomóc zminimalizować skutki ataku, ułatwić powrót do zdrowia i zapobiec ponownemu wystąpieniu takiej sytuacji.

Zaalarmuj kluczowych interesariuszy

Często mówi się, że pierwszym krokiem do rozwiązania problemu jest uznanie, że problem istnieje. W tym celu należy zaalarmować kluczowych interesariuszy w organizacji, wyjaśniając, że jesteśmy atakowani i jakie kroki są podejmowane, aby to złagodzić.

Przykłady kluczowych interesariuszy obejmują CISO organizacji, centrum operacji bezpieczeństwa (SOC), dyrektora IT sieci, menedżerów operacyjnych, menedżerów biznesowych dotkniętych usług, i tak dalej.

Ponieważ prawdopodobnie będziesz miał pełne ręce roboty w walce z atakiem, prawdopodobnie najlepiej jest utrzymać ten alarm krótki i na temat.

Kluczowe informacje – w zakresie, w jakim je posiadasz – powinny zawierać:

  • Co się dzieje
  • Kiedy atak się rozpoczął
  • Które aktywa (aplikacje, usługi, serwery, itd.) zostały dotknięte
  • Impact to users and customers
  • What steps are being taken to mitigate the attack

Keep stakeholders informed as the event develops, and/or new information becomes available. Bieżące informowanie kluczowych interesariuszy pomoże zapobiec zamieszaniu, niepewności i panice oraz ułatwi koordynację działań mających na celu powstrzymanie ataku.

Powiadomienie dostawcy usług bezpieczeństwa

Wraz z powiadomieniem interesariuszy w organizacji, należy również powiadomić dostawcę usług bezpieczeństwa i zainicjować wszelkie kroki po jego stronie, aby pomóc w radzeniu sobie z atakiem.

Twoim dostawcą zabezpieczeń może być dostawca usług internetowych (ISP), dostawca usług hostingowych, lub dedykowana usługa bezpieczeństwa.

Każdy typ dostawcy ma inne możliwości i zakres usług. Twój ISP może pomóc zminimalizować ilość złośliwego ruchu sieciowego docierającego do sieci, podczas gdy dostawca usług hostingowych może pomóc zminimalizować wpływ aplikacji i skalować usługę. Podobnie, usługi bezpieczeństwa będą zazwyczaj miały dedykowane narzędzia specjalnie do radzenia sobie z atakami DDoS.

Nawet jeśli nie masz jeszcze wstępnie zdefiniowanej umowy na usługi lub nie jesteś zapisany na ich ofertę ochrony DDoS, powinieneś mimo wszystko skontaktować się z nimi, aby sprawdzić, jak mogą pomóc.

Aktualizacja środków zaradczych

Jeśli posiadasz jakiekolwiek środki zaradcze, teraz jest czas na ich aktywację.

Jednym z podejść jest wdrożenie list kontroli dostępu (ACL) opartych na adresach IP w celu zablokowania całego ruchu pochodzącego ze źródeł ataku. Odbywa się to na poziomie routera sieciowego i zazwyczaj może być obsługiwane albo przez zespół sieciowy, albo przez dostawcę usług internetowych. Jest to przydatne podejście, jeśli atak pochodzi z jednego źródła lub niewielkiej liczby źródeł ataku. Jeśli jednak atak pochodzi z dużej puli adresów IP, to takie podejście może nie pomóc.

Jeśli celem ataku jest aplikacja lub usługa internetowa, to można również spróbować ograniczyć liczbę jednoczesnych połączeń aplikacji. To podejście jest znane jako ograniczanie prędkości i jest często preferowane przez dostawców usług hostingowych i CDN. Zauważ jednak, że to podejście jest podatne na wysoki stopień fałszywych alarmów, ponieważ nie może odróżnić złośliwego i legalnego ruchu użytkownika.

Dedykowane narzędzia ochrony przed atakami DDoS zapewnią Ci najszerszy zakres ochrony przed atakami DDoS. Środki ochrony DDoS mogą być wdrożone jako urządzenie w centrum danych, jako usługa oczyszczania w chmurze lub jako rozwiązanie hybrydowe łączące urządzenie sprzętowe i usługę w chmurze.

Idealnie, te środki zaradcze będą działać natychmiast po wykryciu ataku. Jednak w niektórych przypadkach takie narzędzia – takie jak urządzenia sprzętowe działające poza ścieżką dostępu lub ręcznie aktywowane usługi łagodzenia skutków na żądanie – mogą wymagać od klienta aktywnego ich uruchomienia.

Jak wspomniano powyżej, nawet jeśli nie masz dedykowanego rozwiązania bezpieczeństwa, większość usług bezpieczeństwa pozwala na awaryjne włączenie do systemu podczas ataku. Taki on-boarding często wiąże się z wysoką opłatą lub zobowiązaniem do subskrypcji usługi w późniejszym czasie. Jednak może to być konieczne, jeśli nie masz innego wyjścia.

Monitoruj postępy ataku

Przez cały czas trwania ataku, powinieneś monitorować jego postępy, aby zobaczyć, jak rozwija się w czasie.

Kilka kluczowych pytań, które należy zadać w tym czasie:

  • Jaki jest typ ataku DDoS? Czy jest to powódź na poziomie sieci, czy atak w warstwie aplikacji?
  • Jakie są cechy ataku? Jak duży jest atak (zarówno w przeliczeniu na bity na sekundę, jak i na pakiety na sekundę)?
  • Czy atak pochodzi z jednego źródła IP, czy z wielu źródeł? Czy możesz je zidentyfikować?
  • Jak wygląda schemat ataku? Czy jest to pojedynczy, ciągły flood, czy atak typu burst? Czy dotyczy jednego protokołu, czy też wielu wektorów ataku?
  • Cele ataku pozostają takie same, czy też atakujący zmieniają swoje cele w czasie?

Śledzenie postępu ataku pomoże Ci również dostroić Twoją obronę.

Ocena wydajności obrony

Na koniec, gdy atak się rozwija, a Twoje środki zaradcze są wdrażane, musisz zmierzyć ich bieżącą skuteczność.

Pytanie jest proste: Czy obrona działa, czy też ruch atakujący przedostaje się na zewnątrz?

Twój dostawca zabezpieczeń powinien dostarczyć Ci dokument Service LevelAgreement (SLA), który zobowiązuje ich do świadczenia usług. Dwie z najważniejszych metryk w tym dokumencie to Time-to-Mitigate (TTM) iConsistency-of-Mitigation.

  • Time-to-Mitigate mierzy, jak szybko twój sprzedawca zobowiązuje się do zatrzymania ataku.
  • Metryka Consistency-of-Mitigation, z drugiej strony, mierzy, jak dobrze jest zatrzymanie ataku. Metryka ta jest zwykle definiowana jako stosunek złośliwego ruchu, który jest dopuszczony do sieci.

Jeśli okaże się, że Twoje zabezpieczenia nie spełniają swoich zobowiązań SLA – lub co gorsza – nie są w stanie w ogóle powstrzymać ataku, teraz jest czas, aby ocenić, czy należy dokonać zmiany.

Pobierz „Hackers Almanac” firmy Radware, aby dowiedzieć się więcej.

Pobierz teraz

.

Dodaj komentarz