Um ataque de negação de serviço distribuída (DDoS) não é motivo de riso; eles inundam a sua rede com tráfego malicioso, derrubando seus aplicativos e impedindo que usuários legítimos acessem o seu serviço. Ataques DDoS frequentemente resultam em vendas perdidas, carrinhos de compras abandonados, danos à reputação e usuários infelizes.
A primeira parte desta série de blogs discutiu alguns dos passos que você deve tomar para se preparar para um ataque DDoS (Distributed Denial of Service – Negação de Serviço Distribuída) antes que ele aconteça. Este post irá discutir o que fazer agora que você está sob um ataque.
Embora você não possa controlar quando você pode estar sob ataque, seguir os passos descritos abaixo pode ajudá-lo a minimizar o impacto do ataque, colocá-lo no caminho da recuperação e ajudá-lo a evitar que isso aconteça novamente.
Alertar os Principais Intervenientes
É frequentemente dito que o primeiro passo para corrigir um problema é reconhecer que você tem um. Para isso, você precisa alertar as principais partes interessadas dentro da organização explicando que você está sob ataque e que medidas estão sendo tomadas para mitigá-lo.
Exemplos das principais partes interessadas incluem o CISO da organização, centro de operações de segurança (SOC), diretor de TI de rede, gerentes de operações, gerentes de negócios dos serviços afetados e assim por diante.
Se você provavelmente terá as mãos cheias no combate ao ataque, provavelmente é melhor manter esse alerta curto e direto ao ponto.
Informação-chave – na medida em que você a tem – deve incluir:
- O que está acontecendo
- Quando o ataque começou
- Que bens (aplicações, serviços, servidores, etc.)) são impactados
- Impacto para usuários e clientes
- Que medidas estão sendo tomadas para mitigar o ataque
>
Manter as partes interessadas informadas à medida que o evento se desenvolve, e/ou novas informações se tornam disponíveis. Manter as principais partes interessadas informadas de forma contínua ajudará a evitar confusão, incerteza e pânico, e ajudará a coordenar esforços para parar o ataque.
Notificar seu provedor de segurança
Em conjunto com a notificação das partes interessadas dentro de sua organização, você também vai querer alertar seu provedor de segurança, e iniciar quaisquer passos no final deles para ajudá-lo a lidar com o ataque.
O seu fornecedor de segurança pode ser o seu fornecedor de serviços de Internet (ISP), fornecedor de alojamento Web ou um serviço de segurança dedicado.
Cada tipo de fornecedor tem diferentes capacidades e escopo de serviço. O seu ISP pode ajudar a minimizar a quantidade de tráfego de rede malicioso que chega à sua rede, enquanto o seu provedor de hospedagem web pode ajudá-lo a minimizar o impacto da aplicação e aumentar a escala do seu serviço. Da mesma forma, serviços de segurança geralmente terão ferramentas dedicadas especificamente para lidar com ataques DDoS.
Even se você ainda não tem um acordo pré-definido para o serviço, ou não está inscrito na sua oferta de proteção DDoS, você deve, no entanto, estender a mão para ver como eles podem ajudar.
Ativar contramedidas
Se você tiver alguma contramedida em vigor, agora é a hora de ativá-las.
Uma abordagem é implementar Listas de Controle de Acesso (ACLs) baseadas em IP para bloquear todo o tráfego vindo de fontes de ataque. Isto é feito ao nível do router de rede, e normalmente pode ser tratado ou pela sua equipa de rede ou pelo seu ISP. É uma abordagem útil se o ataque vem de uma única fonte, ou de um pequeno número de fontes de ataque. Entretanto, se o ataque vem de um grande pool de endereços IP, então esta abordagem pode não ajudar.
Se o alvo do ataque é uma aplicação ou um serviço baseado na web, então você também pode tentar limitar o número de conexões de aplicações simultâneas. Esta abordagem é conhecida como limitadora de taxa, e é frequentemente a abordagem favorecida pelos provedores de hospedagem web e CDNs. Note, no entanto, que esta abordagem é propensa a altos graus de falsos-positivos, pois não consegue distinguir entre tráfego malicioso e tráfego legítimo de usuários.
Ferramentas de proteção DDoS dedicadas lhe darão a mais ampla cobertura contra ataques DDoS. As medidas de proteção DDoS podem ser implantadas como um dispositivo no seu centro de dados, como um serviço de limpeza baseado em nuvem, ou como uma solução híbrida combinando um dispositivo de hardware e um serviço de nuvem.
Idealmente, estas contramedidas entrarão em ação imediatamente após um ataque ser detectado. No entanto, em alguns casos, tais ferramentas – tais como dispositivos de hardware fora do caminho ou serviços de mitigação ativados manualmente sob demanda – podem exigir que o cliente os inicie ativamente.
Como mencionado acima, mesmo que você não tenha uma solução de segurança dedicada, a maioria dos serviços de segurança permitem o acionamento de emergência a bordo durante um ataque. Este tipo de embarque frequentemente implica uma pesada taxa, ou a obrigação de subscrever o serviço mais tarde. No entanto, isto pode ser necessário se você não tiver outra opção.
Progressão de Ataque de Monitor
Atrás do ataque, você deve monitorar sua progressão para ver como ele se desenvolve ao longo do tempo.
Algumas das questões chave para tentar e avaliar durante este tempo:
- Que tipo de ataque DDoS é este? É uma inundação de nível de rede, ou é um ataque de camada de aplicação?
- Quais são as características do ataque? Qual é o tamanho do ataque (tanto em termos de bits por segundo como de pacotes por segundo)?
- O ataque vem de uma única fonte IP, ou de várias fontes? Você consegue identificá-los?
- Como é o padrão de ataque? É um único flood sustentado, ou é um ataque de estouro? Envolve um único protocolo, ou envolve múltiplos vetores de ataque?
- Os alvos do ataque permanecem os mesmos, ou os atacantes mudam seus alvos ao longo do tempo?
Tracking attack progression will also help you tune your defenses.
Avaliar o desempenho da defesa
Finalmente, à medida que o ataque está se desenvolvendo, e as medidas de combate estão sendo implantadas, você precisa medir sua efetividade contínua.
A questão aqui é simples: As defesas estão funcionando, ou o tráfego de ataque está passando?
Seu fornecedor de segurança deve fornecer a você um documento Service LevelAgreement (SLA) que comprometa suas obrigações de serviço. Duas das métricas mais importantes neste documento são Time-to-Mitigate (TTM) eConsistency-of-Mitigation.
- O Time-to-Mitigate mede a rapidez com que o seu fornecedor se compromete a parar o ataque.
- A métrica Consistency-of-Mitigation, por outro lado, mede o quão bem ele está parando o ataque. Esta métrica geralmente é definida como a proporção de tráfego malicioso que é permitida para fazer o ataque à sua rede.
Se você descobrir que sua segurança não está cumprindo a obrigação do SLA – ou pior – não é capaz de parar o ataque, agora também é o momento de avaliar se você precisa fazer uma mudança.
Download “Hackers Almanaque” da Radware para saber mais.
Download Now