Un atac DDoS (Distributed Denial of Service) nu este deloc de râs; acesta vă inundă rețeaua cu trafic malițios, punându-vă la pământ aplicațiile și împiedicând utilizatorii legitimi să vă acceseze serviciile. Atacurile DDoS au ca rezultat frecvent vânzări pierdute, coșuri de cumpărături abandonate, afectarea reputației și utilizatori nemulțumiți.
Prima parte a acestei serii de bloguri a discutat unii dintre pașii pe care ar trebui să îi faceți pentru a vă pregăti pentru un atac DDoS (Distributed Denial of Service) înainte ca acesta să aibă loc. Această postare va discuta despre ce trebuie să faceți acum, când sunteți atacat.
Deși nu puteți controla momentul în care ați putea fi atacat, urmând pașii descriși mai jos vă pot ajuta să minimalizați impactul atacului, să vă îndreptați spre recuperare și să vă ajutați să preveniți ca acest lucru să se întâmple din nou.
Alertați principalele părți interesate
Se spune adesea că primul pas în rezolvarea unei probleme esterecunoașterea faptului că aveți una. În acest scop, trebuie să alertați părțile interesate cheie din cadrul organizației explicând că sunteți atacat și ce măsuri se iau pentru a atenua acest lucru.
Exemple de părți interesate cheie includ CISO al organizației, centrul de operațiuni de securitate (SOC), directorul IT al rețelei, managerii de operațiuni, managerii de afaceri ai serviciilor afectate și așa mai departe.
Din moment ce veți avea probabil mâinile ocupate în combaterea atacului, este probabil cel mai bine să păstrați această alertă scurtă și la obiect.
Informațiile cheie – în măsura în care le aveți – ar trebui să includă:
- Ce se întâmplă
- Când a început atacul
- Ce active (aplicații, servicii, servere, etc.) sunt afectate
- Impactul asupra utilizatorilor și clienților
- Ce măsuri se iau pentru a atenua atacul
Informați părțile interesate pe măsură ce evenimentul se dezvoltă și/sau noi informații devin disponibile. Informarea permanentă a principalelor părți interesate va contribui la prevenirea confuziei, incertitudinii și panicii și va ajuta la coordonarea eforturilor de stopare a atacului.
Anunțați furnizorul de securitate
În paralel cu notificarea părților interesate din cadrul organizației dumneavoastră, veți dori, de asemenea, să vă alertați furnizorul de securitate și să inițiați orice măsuri din partea acestuia pentru a vă ajuta să faceți față atacului.
Furnizorul dvs. de securitate poate fi furnizorul dvs. de servicii de internet (ISP), furnizorul de găzduire web sau un serviciu de securitate dedicat.
Care tip de furnizor are capacități și o sferă de servicii diferite. ISP-ul dvs. ar putea ajuta la minimizarea cantității de trafic de rețea malițios care ajunge în rețeaua dvs., în timp ce furnizorul dvs. de servicii de găzduire web ar putea să vă ajute să minimizați impactul aplicațiilor și să vă extindeți serviciul. De asemenea, serviciile de securitate vor avea, de obicei, instrumente dedicate special pentru a face față atacurilor DDoS.
Chiar dacă nu aveți deja un acord predefinit pentru servicii sau nu sunteți abonat la oferta lor de protecție DDoS, ar trebui totuși să luați legătura cu ei pentru a vedea cum vă pot ajuta.
Activați contramăsurile
Dacă aveți contramăsuri în vigoare, acum este momentul să le activați.
O abordare constă în implementarea listelor de control al accesului (ACL) bazate pe IP pentru a bloca tot traficul care provine din sursele de atac. Acest lucru se face la nivelul routerului de rețea și, de obicei, poate fi gestionat fie de echipa dvs. de rețea, fie de ISP. Este o abordare utilă în cazul în care atacul provine de la o singură sursă sau de la un număr mic de surse de atac. Cu toate acestea, dacă atacul provine de la un grup mare de adrese IP, atunci această abordare ar putea să nu fie de ajutor.
Dacă ținta atacului este o aplicație sau un serviciu bazat pe web, atunci ați putea încerca, de asemenea, să limitați numărul de conexiuni simultane ale aplicației. Această abordare este cunoscută sub numele de limitare a ratei și este frecvent abordarea preferată de furnizorii de găzduire web și CDN-uri. Cu toate acestea, rețineți că această abordare este predispusă la un grad ridicat de rezultate fals-pozitive, deoarece nu poate face distincția între traficul utilizatorului rău intenționat și cel legitim.
Uneltele de protecție DDoS dedicate vă vor oferi cea mai largă acoperire împotriva atacurilor DDoS. Măsurile de protecție DDoS pot fi implementate fie ca un dispozitiv în centrul dvs. de date, fie ca un serviciu de curățare bazat pe cloud, fie ca o soluție hibridă care combină un dispozitiv hardware și un serviciu cloud.
În mod ideal, aceste contramăsuri vor intra în acțiune imediat ce este detectat un atac. Cu toate acestea, în unele cazuri, astfel de instrumente – cum ar fi dispozitivele hardware out-of-path sau serviciile de atenuare la cerere activate manual – ar putea necesita ca clientul să le inițieze în mod activ.
După cum am menționat mai sus, chiar dacă nu dispuneți de o soluție de securitate dedicată, majoritatea serviciilor de securitate permit activarea de urgență în timpul unui atac. O astfel de îmbarcare implică în mod frecvent o taxă mare împreună cu ea sau obligația de a se abona ulterior la serviciu. Cu toate acestea, acest lucru ar putea fi necesar dacă nu aveți altă opțiune.
Monitorizați evoluția atacului
În timpul atacului, ar trebui să monitorizați evoluția acestuia pentru a vedea cum se dezvoltă în timp.
Câteva dintre întrebările cheie pe care trebuie să încercați să le evaluați în acest timp:
- Ce tip de atac DDoS este acesta? Este o inundație la nivel de rețea sau este un atac la nivel de aplicație?
- Care sunt caracteristicile atacului? Cât de mare este atacul (atât în termeni de biți pe secundă, cât și de pachete pe secundă)?
- Atacul provine de la o singură sursă IP, sau de la mai multe surse? Le puteți identifica?
- Cum arată modelul de atac? Este un singur flood susținut, sau este un atac în rafală? Implică un singur protocol sau implică mai mulți vectori de atac?
- Sunt țintele atacului aceleași sau atacatorii își schimbă țintele în timp?
Să urmăriți evoluția atacului vă va ajuta, de asemenea, să vă reglați apărarea.
Evaluați performanța apărării
În cele din urmă, pe măsură ce atacul se dezvoltă, iar contramăsurile dvs. sunt implementate, trebuie să măsurați eficacitatea lor continuă.
Întrebarea aici este simplă: Apărările funcționează sau traficul de atac trece?
Producătorul dvs. de securitate ar trebui să vă furnizeze un document Service LevelAgreement (SLA) care să angajeze obligațiile sale de serviciu. Doi dintre cei mai importanți parametri din acest document sunt Time-to-Mitigate (TTM) șiConsistency-of-Mitigation.
- Time-to-Mitigate măsoară cât de repede se angajează furnizorul dumneavoastră să oprească atacul.
- Pe de altă parte, parametrul Consistency-of-Mitigation măsoară cât de bine oprește atacul. Această metricăeste de obicei definită ca fiind proporția de trafic malițios căruia i se permite să ajungă în rețeaua dumneavoastră.
Dacă constatați că securitatea dumneavoastră nu-și îndeplinește obligația SLA – sau, mai rău – nu este capabilă să oprească atacul deloc, acum este și momentul să evaluați dacă trebuie să faceți o schimbare.
Download Radware’s „Hackers Almanac” pentru a afla mai multe.
Download Now