A vállalatok informatikai rendszereit mind gyakrabban érik úgynevezett túlterheléses vagy szolgáltatásmegtagadással járó (DDoS) támadások, amelyek egyre szofisztikáltabbak. A támadások többsége viszonylag kisméretű és rövid ideig tart, hiba lenne azonban úgy vélni, hogy ezek nem elég jelentősek ahhoz, hogy zavart idézzenek elő a szolgáltatásban.

A kisebb méretű DDoS támadások aránya még emelkedést is mutat a korábbiakhoz képest. Zömük rövidebb, mint egy óra, és nagyságát tekintve a sávszélesség szempontjából az 500 megabit/másodperc (Mbps), a másodpercenkénti csomagszám alapján pedig az 1 Mpps alatti tartományba tartozik.

Az igazság azonban az, hogy gyakran még az 500 Mbps alatti, rövid ideig tartó támadások is képesek jelentős zavarokat és károkat okozni ott, ahol nem áll rendelkezésre a megfelelő felhőalapú DDoS védelmi szolgáltatás. Sőt, a rövid támadások képesek lehetnek arra is, hogy elsősorban a manuális DDoS védelmi rendszerek észlelése nélkül okozzanak kárt, és még azelőtt véget érhetnek, hogy az elemző egyáltalán azonosította volna a támadást.

A korszerű, valós idejű, automatikus védelmi mechanizmusuk megléte ezért egyre inkább kritikus fontosságú minden online tevékenységet is folytató vállalkozás számára.

Amatőrök és profik

A kisebb támadások mögött többféle motiváció állhat. Jelezhetik azt, hogy amatőr támadók könnyen elérhető eszközök segítségével próbálnak támadásokat indítani a gépek és hálózatok ellen, de profi kiberbűnözők is bevethetik az ezzel egy időben indított más típusú kibertámadásokra irányuló figyelem elterelésének céljával.

A rövid támadások a megtámadni kívánt cél kibervédelmi szintjének felderítését is szolgálhatják. A darkneten széles körben elérhető terheléstesztelő eszközök és automatizált DDoS-eszközök rövid, például SYN-elárasztás típusú sorozatokat generálhatnak, majd egy másik rövid támadást követhetnek el valamely alternatív támadási vektor segítségével. Ez lehetővé teszi a támadók számára, hogy megértsék célpontjaik biztonsági helyzetét, mielőtt úgy döntenek, hogy nagyobb, hosszabb és költségesebb támadásokat indítanának.

A kisebb DDoS támadásokat a kiberbűnözők bizonyítékként és figyelmeztetésként is bevethetik, ezzel igazolva a célszervezet számára azt, hogy képesek valós károkat okozni. Az ilyen típusú támadások részeként többnyire váltságdíjat is követelnek a célszervezettől, a hálózati infrastruktúrát megbénító támadással fenyegetőzve.

Támadnak a zombi számítógépek

A globális adatok tanúsága szerint a támadásokban egyre nagyobb szerepet kapnak a botnetek (robot network), vagyis a támadók által vezérelt zombi számítógépek hálózatai. A valaha indított egyik legnagyobb ilyen támadás 2020 júliusában valósult meg. A Cloudflare webes infrastruktúrát szolgáltató vállalat beszámolója szerint a kampány közel tíz napig tartott, a támadás csúcspontján 654 Gbps-on tetőzött és 18 705 egyedi IP-címről indult.

A koronavírus-járvány kirobbanását követően minden korábbinál több támadási vektort észleltek: az úgynevezett SYN, UDP és RST elárasztásos (flood) támadások továbbra is uralják az összképet, ugyanakkor drámai növekedés látható az olyan protokoll-specifikus támadásoknál, mint az mDNS-, a Memcached- és a Jenkins-alapú DDoS támadás.

A zsaroló vagy váltságdíj által vezérelt, úgynevezett Ransom DDoS (RDDoS) támadások száma ugyancsak felfutóban van, nem utolsósorban a Fancy Bear és Cozy Bear nevű orosz, illetve a Lazarus Group nevű észak-koreai székhelyű kiberbűnözői csoportok aktivitása hatására. Az RDDoS fenyegetések ugyan nem mindig eredményeznek tényleges támadást, az utóbbi időszak tapasztalatai ugyanakkor azt mutatják, hogy a támadók gyakran be is váltják a fenyegetést, nagyszabású DDoS támadásokat indítva a megfelelő felhőalapú DDoS védelmi szolgáltatással nem rendelkező rendszerek ellen.

Érdemes beruházni a védelembe

A szakértők azt tanácsolják, hogy amennyiben ilyen támadás ér valakit vagy valamely vállalatot, semmiképpen ne fizesse meg a váltságdíjat. Ez ugyanis nem garantálja, hogy a támadók – jelentős anyagi kárt okozva - nem váltják be fenyegetésüket, később akár többször megismételve azt. A támadás bekövetkezését és észlelését követően haladéktalanul értesíteni kell a helyi bűnüldöző szerveket, a hasonló jövőbeli esetek elkerülése érdekében pedig mielőbb érdemes beruházni a szükséges védelmi eszközökbe.

Mivel az egyre szofisztikáltabb támadások megelőzése és kivédése összetettsége miatt nem ritkán meghaladja a saját kapacitást, sok szervezet számára az IT-biztonságot garantáló védelmi rendszer megteremtését a pénzügyi szempontokat is mérlegelve érdemes külső szolgáltatóra bízni, amely rendelkezik az ehhez szükséges szakmai tudással és technológiai háttérrel. Ilyen szolgáltató az Antenna Hungária, melynek saját üzemeltetésű, a vállalati igényektől függően többféle csomagban választható, folyamatosan fejlesztett védelmi szolgáltatása hatékony megoldást nyújt a DoS és DDoS támadások ellen.