Макар че атаките за отказ на услуга (DDoS) се случват през цялата година, през празничния сезон се извършват някои от най-значимите атаки.
Получете информация от експертите в подкаста Набор от ресурси на Microsoft срещу заплахи. Слушайте сега.
Защита от DDoS през празничния сезон: Вашето ръководство за безопасност
DDoS атаките (разпределена атака за отказ на услуга (DDoS)) се извършват от отделни устройства (ботове) или мрежа от устройства (ботнет), които са заразени със зловреден софтуер и се използват за наводняване на уебсайтове или услуги с големи обеми трафик. DDoS атаките могат да продължат няколко часа или дори дни.
- Какво: DDoS атака залива сайт или сървър с нередовен трафик, за да наруши обслужването или да го изключи от мрежата.
- Защо: Престъпниците използват DDoS атаки, за да изнудват собствениците на сайтове по финансови, конкурентни или политически причини.
- Как: Благодарение на бизнес модела „киберпрестъпления като услуга“ DDoS атака може да бъде поръчана от абонаментна услуга за DDoS само за USD$5.1
IP booters—познати още като DDoS стресиращи устройства и IP стресиращи устройства—по същество са софтуер като услуга за кибератаки. Тези услуги позволяват на всеки да използва ботнет за провеждане на масирани кампании за DDoS атаки - без да са необходими умения за програмиране.
- Първо: организациите обикновено разполагат с по-малко ресурси за наблюдение на своите мрежи и приложения, което предоставя по-лесни възможности на участниците в заплахите да извършат атака.
- Второ: обемът на трафика е рекордно висок (тази година се очаква продажбите да достигнат USD$1.33 трилиона), особено за уебсайтовете за електронна търговия и доставчиците на игри, което затруднява ИТ персонала да прави разлика между легитимен и нелегитимен трафик.
- Трето: за атакуващите, които търсят финансова изгода, възможността за по-изгодни плащания може да е по-голяма по време на празниците, тъй като приходите са най-високи, а времето за работа на услугите е критично.
Миналата година подчертахме, че по време на празничния сезон броят на подобни атаки се е увеличил, което подчертава необходимостта от надеждни защити.
Всяко прекъсване на работата на уебсайта или сървъра по време на пиковия празничен сезон може да доведе до загуба на продажби и клиенти, високи разходи за възстановяване или увреждане на репутацията ви. Въздействието е още по-значително за по-малките организации, тъй като за тях може да е по-трудно да се възстановят след атака.
Като цяло DDoS атаките се разделят на три основни категории, като във всяка от тях има различни кибератаки. Всеки ден се появяват нови вектори на DDoS атаки, тъй като киберпрестъпниците използват по-усъвършенствани техники, като например атаки, базирани на изкуствен интелект. Нападателите могат да използват множество видове атаки, включително такива от различни категории, срещу дадена мрежа.
Обемни атаки: Цели скорост на предаване. Те са проектирани така, че да претоварват мрежовия слой с трафик.
Пример: Атака за усилване на DNS (сървър за имена на домейни), при която се използват отворени DNS сървъри, за да се наводни целта с трафик от DNS отговори
Протоколни атаки: Цели ресурси. Те се възползват от слабости в протоколния стек на ниво 3 и ниво 4.
Пример: SYN атака ("синхронизиране на пакет за заливане"), която използва всички налични сървърни ресурси (като по този начин прави сървърът недостъпен), е пример за такава атака.
Атаки на ниво ресурси: Насочва се към пакети за уеб приложения. Те нарушават предаването на данни между хостовете
Пример: Атака за бързо нулиране на HTTP/2, при която се изпращат определен брой HTTP заявки с помощта на HEADERS, последвани от RST_STREAM, и се повтаря този модел, за да се генерира голям обем трафик на целевите HTTP/2 сървъри.
Въпреки че не можете да избегнете напълно възможността да станете обект на DDoS атака, проактивното планиране и подготовка могат да ви помогнат да създадете по-ефективна защита.
Въпреки това е важно да помните, че по-високите нива на трафик по време на празниците могат да направят откриването на аномалии по-трудно.
- Оценявайте рисковете и уязвимостите си: Започнете с идентифициране на приложенията във вашата организация, които са изложени на публичен достъп до интернет. Също така не забравяйте да отбележите нормалното поведение на приложението, за да можете да реагирате бързо, ако то започне да се държи различно от очакваното.
- Уверете се, че сте защитени: Тъй като по време на празниците броят на DDoS атаките е изключително висок, имате нужда от услуга за защита от DDoS с усъвършенствани възможности за смекчаване, която може да се справи с атаки от всякакъв мащаб. Търсете функции на услугата, като например наблюдение на трафика; защита, съобразена със спецификата на вашето приложение; телеметрия, наблюдение и предупреждение за защита от DDoS и достъп до екип за бързо реагиране.
- Създаване на стратегия за реагиране на DDoS: Наличието на стратегия за реагиране е от решаващо значение, за да ви помогне да идентифицирате, смекчите и бързо да се възстановите от DDoS атаки. Ключова част от стратегията включва съставянето на екип за реагиране на DDoS с ясно определени роли и отговорности. Екипът за реагиране на DDoS трябва да разбира как да идентифицира, смекчава и наблюдава атака и да може да координира действията си с вътрешните заинтересовани страни и клиенти.
- Потърсете помощ по време на атака: Ако смятате, че сте обект на атака, обърнете се към съответните технически специалисти, като например утвърден екип за реагиране на DDoS, за помощ при разследването на атаката по време на атаката, както и за анализ след приключването ѝ.
- Учене и адаптиране след атака: Въпреки че вероятно ще искате да продължите възможно най-бързо, ако сте преживели атака, важно е да продължите да наблюдавате ресурсите си и да направите ретроспекция след атака. Уверете се, че анализът ви след атака отчита следното:
- Имаше ли смущения в услугата или в работата на потребителите поради липсата на мащабируема архитектура?
- Кои приложения или услуги са пострадали най-много?
- Колко ефективна е била стратегията за реагиране на DDoS и как може да бъде подобрена?
Следвайте Microsoft