A mai elosztott szolgáltatásmegtagadási támadások (DDoS) lehet, hogy kifinomultabbá váltak, szélesebb körű következményekkel járnak, mégis még mindig hagyományos eszközökkel védekezünk ellenük.
Az online rendszereket támadó elosztott szolgáltatásmegtagadási (DDoS) támadások majdnem olyan régiek, mint az Internet. De az évek során összetettebbé váltak, nagyobbá és pusztítóbbá fejlődtek - egyre inkább a bevételszerzésre összpontosítva. Ma, amikor a szervezetek működésének záloga a kiterjedt a partnerségekben és a jól felépített ellátási láncokban rejlik - és a járvány miatt legtöbben otthon dolgoznak - a tét nagyobb, mint valaha.
Látunk olyan új DDoS-támadási vektorokat, amelyeket képzettebb támadók fedeztek fel vagy fejlesztettek ki és mindenki számára elérhetővé tették azokat. A DDoS-támadások elérhetik és megzavarhatják például a megosztott internetes infrastruktúrát, a felhőalapú erőforrásokat, a kiegészítő infrastruktúrát, mint például a DNS-kiszolgálók támogatását, és a kívülről érkező forgalmat, így növelve a támadások hatását - magyarázza Roland Dobbins a NetScout vezető mérnöke.
A DDoS-támadás végrehajtásához használt alapvető technikák azonban nem sokat változtak - teszi hozzá Carlos Morales, a Neustar hálózati elemző és kiberbiztonsági cég vezetője. A felhasználásuk módja és a hatékonyságuk azonban igen. Például a Mirai-változatok tucatjai azt eredményezték, hogy IoT eszközök milliói kerültek veszélybe, botnetek létrehozására használták ezeket - jegyzi meg Morales. Mégis, a közhiedelemmel ellentétben, a mai DDoS-támadások nem különösebben sebészeti jellegűek és nem is pontosak. Sok esetben a járulékos károkozás mértéke nagyobb, mint a támadás célpontjában okozott kár.
Hogyan változtak a támadási módszerek
A DDoS-támadások bevételszerzésének gondolata az 1990-es évekig nyúlik vissza, azonban a DDoS bérelhető szolgáltatások és a kriptopénzek növekedése gyökeresen megváltoztatta a dolgokat. "A kevésbé hozzáértőknek soha nem volt ilyen egyszerű DDoS zsarolóvá válni" - magyarázza Dobbins. Ez a jól szervezett, termékeny és nagy horderejű DDoS zsarolási kampányok éles emelkedéséhez vezetett. Ma a számítógépes bűnözéssel foglalkozó csoportok váltságdíjat követelnek olyan e-mailekben, amelyek DDoS-támadásokkal fenyegetik a célpontokat. Ezek többsége nagy, 500 gigabájt / másodperc feletti támadás, néhány pedig 2 terabájt / másodperc sebességgel halad. A váltságdíjak 20 Bitcoinot (kb. 1 millió dollárt) érhetnek el. Az indítékok között az ideológiai konfliktusok, geopolitikai viták, személyes bosszú és egyéb tényezők továbbra is vezető helyen állnak, de a pénzszerzésre való összpontosítás arra késztette a támadókat, hogy egyre inkább megcélozzák az internetes szolgáltatókat, a szoftvereket, mint szolgáltatást nyújtó cégeket és a tárhely / virtuális magánszerver / infrastruktúra szolgáltatókat. Ide tartoznak a vezeték nélküli és a szélessávú társaságok is. "Láttuk, hogy a DDoS támadói bázis kiszélesedik és elmozdul egy még fiatalabb demográfiai csoport felé" - mondja Dobbins.
Morales a Neustar vezetője szerint a DDoS-támadások továbbra is a legkiemelkedőbbek, mivel névtelenséget biztosítanak és képesek nagyon nagy sávszélességet lefoglalni. 2020 szeptemberében a Neustar arról számolt be, hogy 4,83 millió DDoS-támadás történt 2020 első felében. Ez 151% -os növekedést jelent 2019 azonos időszakához képest. A legkiemelkedőbb támadás öt napig és 18 óráig tartott.
A támadások hatásának enyhítése nehéz feladat
A DDoS-támadások leküzdésére szolgáló hagyományos eszközök különösen hatékonyak a jelenlegi környezetben is. A mai botnet-támadások összetett és erősen elosztott jellege, hatalmas forgalmi mennyiségekkel és hamis adatokkal kombinálva megnehezíti a forrás nyomon követését, ezért a szervezeteknek együtt kell működniük egy olyan DDoS-szolgáltatóval, amely mélyen átlátja az informatikai és internetes infrastruktúrát - és együttműködhet társakkal, ügyfelekkel és tranzitszolgáltatókkal a rosszindulatú DDoS-forgalom további nyomon követése érdekében.
A forgalom telemetria alapú megfigyelését és elemzését általában a DDoS-támadási forgalom kiindulási pontjáig történő felderítésére, osztályozására és visszavezetésére használják. Azonosítani tudjuk a bot viselkedését, kapcsolatait, és hogy az ügyfeleink érintettek-e - jegyzi meg Dobbins. Fontos, hogy meggyőződjünk arról, hogy a támadás ismert minták alapján történik-e, vagy egyszerűen csak nagyobb emelkedés tapasztalható a normál forgalomban. Miután megértettük a támadási mintát, a szolgáltató DDoS-védelmi eszközöket használva kiszűrheti és eldobhatja a rosszindulatú botforgalmat, intelligensen irányíthatja a tiszta forgalmat. Az előkészítés kulcsfontosságú - mondja Dobbins. Ez magában foglalja a holisztikus DDoS-védelmi terv meglétét, naprakészen tartását és a keretrendszer tesztelését negyedévente legalább egyszer. A DDoS-védelmi szolgáltatónak rendelkeznie kell a szükséges eszközökkel, szakértelemmel és kapacitással a támadás észleléséhez és elemzéséhez, valamint a válasz automatizálásához. Amennyiben DDoS-támadás érte a szervezetet, tanácsos és bölcs dolog elvégezni a támadás elemzését, és megérteni, mi volt sikeres intézkedés és mi az, amin lehetne még javítani. Fontos továbbá, hogy az eseményt jelentsük az illetékes hatóságoknak - még akkor is, ha ez nem törvényi előírás.
Az egyre szofisztikáltabb támadások megelőzése és kivédése összetettsége miatt nem ritkán túl nagy feladatot jelent a belső IT-kapacitás számára. Ezért sok vállalatnak megéri az IT-rendszer biztonságának fokozását erre specializált szolgáltatóra bízni, amely rendelkezik az ehhez szükséges szaktudással és technológiai háttérrel. Ilyen az Antenna Hungária saját üzemeltetésű szolgáltatása, hatékony védelmet nyújtva a DoS és DDoS támadások ellen, a vállalati igényektől függően választható többféle csomagban.
Források:
- DDoS's Evolution Doesn't Require a Security Evolution (3/15/2021)
- DDoS Attacks Increase by 151% in First Half of 2020 (16/9/2020)
- Cyber Threats & Trends Report: First Half 2020
- Telemetry-Based Infrastructure Device Integrity Monitoring
- Zyxel NAS-ok veszélyben: új köntösben csap le a Mirai botnet