Distribuované útok zahltením servera služby (útok DDoS) prebiehajú počas celého roka, ale v čase prázdnin dochádza k niektorým najzávažnejším.
Získajte prehľady priamo od odborníkov v podcaste Microsoft Analýza hrozieb. Vypočuť si.
Ochrana pred útokom DDoS v čase prázdnin: Váš sprievodca zabezpečením
Útoky DDoS vykonávajú jednotlivé zariadenia (boty) alebo sieť zariadení (botnet), ktoré boli infikované malvérom. Pri útoku dochádza k zahlteniu webových lokalít alebo služieb množstvom prenosových aktivít. Útoky DDoS môžu trvať niekoľko hodín až dokonca niekoľko dní.
- Čo sa deje: Útok DDoS zaplaví lokalitu alebo server falošnou aktivitou s cieľom túto službu prerušiť alebo úplne vyradiť.
- Prečo sa to deje: Zločinci používajú útoky DDoS na vydieranie vlastníkov lokality s cieľom finančného zisku, konkurenčnej výhody alebo z politických príčin.
- Ako sa to deje: Útok DDoS je ponúkaný ako model podnikania typu „počítačový zločin ako služba“ a je možné ho objednať ako predplatenú službu DDoS za menej ako 5 USD.1
Služby IP booter, známe aj ako stresory DDoS a IP adresy, sú typom ponuky „softvér ako služba“ určenej pre kybernetických útočníkov. Tieto služby umožňujú komukoľvek využiť sieť botnet na spustenie masívnej kampane útokov DDoS bez toho, aby útočník dokázal kódovať.
- Prvá príčina: V tomto čase organizácie zvyčajne vyhradia menší počet ľudí na sledovanie sietí a aplikácií, čím zjednodušia útočníkom vykonanie útoku.
- Druhá príčina: Prenosový objem je neustále vysoký (odhaduje sa, že predaj v tomto roku dosiahne 1,33 trilióna USD)), najmä na webových lokalitách slúžiacich na predaj a lokalitách poskytovateľov herných služieb. Pre odborníkov IT je takto oveľa náročnejšie rozlíšiť medzi oprávnenými a neoprávnenými prenosmi.
- Tretia príčina: Pre tých útočníkov, ktorí idú za finančným ziskom, počas prázdnin rastú možnosti lukratívnych príjmov, lebo obraty sú na najvyššom bode a dostupnosť služieb je absolútne nevyhnutná.
Minulý rok sme upozornili na to, že v období prázdnin narástol tento typ útokova podcenila sa potrebu nasadenia robustnej ochrany.
Akékoľvek odstavenie webovej lokality alebo servera vo vrchole prázdninového obdobia môže spôsobiť stratu predaja aj zákazníkov, priniesť vysoké náklady na nápravu, či zničiť vašu reputáciu. Následky sú dokonca horšie pre malé organizácie, lebo zotavenie po útoku je pre nich náročnejšie.
Vo všeobecnosti útok DDoS spadajú do troch hlavných kategórií, pričom každá z kategórií pozostáva z celej škály rôznych kybernetických útokov. Nové vektory útoku DDoS sa objavujú každý deň, lebo kybernetickí útočníci využívajú stále dokonalejšie technológie, napríklad útoky založené na umelej inteligencii. Útočníci dokážu proti sieti použiť niekoľko typov útokov kombinovaných z rôznych kategórií.
Volumetrické útoky: Cielia na šírku pásma. Sú navrhnuté tak, aby sieťovú vrstvu prekryli aktivitou.
Príklad: Objemový útok amplifikáciou servera DNS (Domain Name Server), pri ktorom sa používajú otvorené servery DNS na zahltenie cieľa prenosom odpovedí DNS.
Útoky na protokol: Cielia na prostriedky. Zneužijú oslabenie v 3. a 4. vrstve zoskupenia protokolov.
Príklad: Útok SYN (zahltenie synchronizačnými paketmi), ktorý využíva všetky dostupné zdroje servera (server sa stane nedostupný).
Útoky na zdrojovú vrstvu: Cielia na pakety webovej aplikácie. Prerušia prenos údajov medzi hostiteľmi
Príklad: Útok HTTP/2 Rapid Reset, ktorým sa odošle množstvo žiadostí HTTP použitím HEADERS, za ktorými nasleduje RST_STREAM a opakovaním tohto vzoru vzniká intenzívny prenos na serveroch HTTP/2, na ktoré útok cieli.
Nie je možné sa úplne vyhnúť útokom DDoS, avšak proaktívne plánovanie a príprava vám pomôže zaviesť oveľa efektívnejšiu ochranu.
Je dôležité myslieť na to, že vyššia úroveň aktivity v čase prázdnin zvyšuje komplikovanosť detegovania abnormalít.
- Vyhodnoťte svoje riziká a zraniteľnosti: Začnite identifikovaním tých aplikácií vo svojej organizácii, ktoré sú priamo vystavené verejnosti prístupnému internetu. Nezabudnite si dobre všímať normálne správanie svojej aplikácie, aby ste dokázali v momente, ak toto správanie prestane vykazovať, rýchlo zareagovať.
- Zabezpečte svoju ochranu: Vzhľadom na útoky DDoS vyskytujúce sa počas nepretržitej prázdninovej vrcholnej prevádzky potrebujete službu ochrany pred útokmi DDoS s vylepšenými funkciami zmiernenia rizika, ktoré dokážu zvládnuť útoky v akomkoľvek rozsahu. Sústreďte sa na tieto funkcie služby: monitorovanie prenosu, ochrana cielená na špecifiká vašej aplikácie, telemetria ochrany pred útokmi DDoS, ich monitorovanie a výstrahy a prístup k rýchlemu zásahovému tímu.
- Vytvorte stratégiu zásahu pri útoku DDoS: Musíte zaviesť stratégiu zásahu, ktorá vám pomôže identifikovať a zmierniť riziká a rýchlo obnoviť služby po útokoch DDoS. Kľúčovou súčasťou stratégie je zostavenie zásahového tímu pre útoky DDoS s presne definovanými rolami a zodpovednosťami. Zásahový tím pre útoky DDoS musí byť schopný identifikovať, zmierňovať riziká a monitorovať útok a tieto činnosti koordinovať s internými akcionármi a zákazníkmi.
- Požiadajte o pomoc počas útoku: Ak máte pocit, že ste boli vystavení útoku, obráťte sa na príslušných technických odborníkov, napríklad zostavený zásahový tím pre útoky DDoS, a požiadajte ich o pomoc pri preskúmaní útoku počas toho, ako prebieha, ako aj o následnú analýzu útoku po jeho ukončení.
- Poučte sa z útoku a prispôsobte svoje možnosti: Po útoku pravdepodobne budete chcieť činnosť obnoviť tak rýchlo, ako je to len možné, je však dôležité pokračovať v monitorovaní svojich prostriedkov a zostaviť retrospektívnu analýzu. Analýza po útoku by mala zahŕňať nasledovné:
- Došlo k prerušeniu služby alebo interakcií používateľov následkom nedostatku škálovateľnej architektúry?
- Ktoré aplikácie alebo služby útokom utrpeli najviac?
- Aká efektívna bola stratégia zásahu pri útoku DDoS a ako ju môžete vylepšiť?
Sledujte Microsoft