DDoS útoky jsou nějaký ten pátek v módě a každá chytřejší firma, která stojí a padá na závislosti online světa má nějakou ochranu před DDoS útoky ať už na inline úrovni, nebo na úrovni providera. Bohužel v tomto světě je stále mnoho (mimo jiné i spousta IT) firem, kteří nechápou problematiku a hlavně si nechtějí nechat vysvětlit, že se pletou a kupují si produkt/službu, která je jim k ničemu.
DDoS útok jako takový slouží k nedostupnosti daného serveru (například útok na vládní stránky), jako protest, bojkot a spousty dalších důvodů. Tak tomu bylo. Už není. DDoS útok je ve většině případů pouze zástěrkou pravého útoku. U masivního útoku se veškerá pozornost věnuje právě jemu, podnikají se kroky, které mají útoku zamezit a ponechat službu dostupnou. Dostupnou pro útočníky, kteří pod zástěrkou získají přístup do sítě, systému, umístí exploit, backdoor, nebo rovnou získají to co potřebují. DDoS opravdu není tím za co se vydává.
Začněme jednoduchým příkladem:
Servery mám ve firmě připojené na 1Gbps optickou linku, stačí mi tam tedy dát inline krabici, která zvládne mitigovat 1Gbps provoz.
Nestačí. To že máte 1Gbps linku, neznamená, že nemůže přijít 10Gbps útok (aktuální cena na 24 hodin je aktálně lehce pod 30 dolarů). Koupená ochrana tedy odstraní 1/10 celkového útoku, nicméně stejně zbývá 8Gbps provozu, který konektivitu ucpe. Takže nashledanou.
Jsme na internetovém provozu kriticky závislí, jdeme tedy koupit něco pořádného aby to náš obchod nepostihlo
Ano, ale… Pokud jsem jako firma na digitálním světě závislý, očividně mi nejde jen o to aby běžely servery, ale asi tam bude něco důležitého. Mitigační kapacita 20Gbps? 100Gbps? Není problém. ALE:
DDoS útok probíhá v několika desítkách vektorů (běžně), k tomu není co dodat, jakákoliv výkonější platforma, ať už třeba i Fortinet, nebo Arbor si s tím poradí, ve spolupráci se SOC dohledem, který online 24/7 ovládá mitigaci a přizpůsobuje „pračku“ provozu na aktuální vektor útoku. Jelikož ale potřebuji aby mi vše běželo, nikdy nesmí dojít k přesměrování provozu na úrovni uzlu, v podstatě, bráním útok a ostatní běžný provoz nechávám procházet, takže služba je dostupná. Takže služba je dostupná, bez problémů, mitigace odstranila klidně 50Gbps útoku, běžný provoz je v „normálu“. V normálu, ale o 400kbps vyšší, než je běžný provoz v noci, ale to je anomálie na úrovni 0,1% měsíčního průměru. Pokud je na síti nasazena i IDS/IPS je to ideální řešení, odchytí většinu známých exploitů, ke známým není potřeba sandboxing, takže se nic neděje, žádné problémy, žádné nárůsty. Problém nastává u neznámých, tzv. zero days exploitů, které se v podstatě jinak než sandboxingem odstranit nedají, nicméně, když mám ddos ochranu, IPS, firewall, F5, k čemu šíleně drahý sandboxing…
Třeba k tomu, když nemám v síti netflow monitoring s ADS (anomaly detection system) nepoznám, že je v síti něco špatně. Že má firepower o 2% vyšší CPU load? Že mi na záložním Nexusu padají porty? Mám je přece ve VSS stacku a primární je v pořádku, takže všechno je tak jak má být.
Za 3 týdny (nebo za rok) přijde několik let utajovaný projekt emailem s odkazem na darkweb, kde je volně ke stažení, nebo se to taky nedozvíme.
Ačkoliv se o tom všeobecně neví, DDoS útoky jsou na denním pořádku. Klidně při postu tohohle článku může na twitter zrovna jeden probíhat. A kvalitní DDoS ochrana přitom nemusí vůbec stačit. Jakou cenu má několik let tajně vyvíjený produkt? Na kolik si ho cením? Správná odpověď musí být vždycky správná ochrana. Ideálně realtime inteligence spolu s dohledovým centrem. Pokud mi produkt vydělává miliardu ročně, dát půl milionu měsíčně za ochranu je nic. A je lepší mít ročně o 6 mega nebo o miliardu?
Za posledních pár let v kybernetické bezpečnosti jsem se naučil jedno – ceňte si toho co děláte a patřičně to chraňte. Zadarmo Vás nikdo neochrání (pokud majitel firmy není zároveň majitelem IBM, HP, Arboru, Fortinetu a CISCA, což určitě není).
DDoS ochrana zachová skritické služby dostupné
IPS/IDS systém ochrání před známými typy útoků
Firewall mu v tom pomůže
Netflow monitoring s anomaly detection system odhalí anomálie v síťovém provozu
SIEM ochrání operační systémy a aplikace
dohledové centrum na vše reaguje realtime, mitiguje, blokuje síťový provoz, blokuje napadené účty atd…
Ochrana existuje, existuje efektivní a funkční. Samozřejmě není pro každého. Garážový startup se dvěma servery určitě nepotřebuje řešení za půl milionu/milion měsíčně, postačí jenom menší řešení, klidně vyřešené na „koleni“, nebo opensource, ale na kritické úrovni? Mno…
Tento web používá k poskytování služeb, personalizaci a anláze návštěvnosti soubory Cookie. Více informací
Cookie je krátký textový soubor, který navštívená webová stránka odešle do prohlížeče. Umožňuje webu zaznamenat informace o vaší návštěvě, například preferovaný jazyk a další nastavení. Příští návštěva stránek tak může být snazší a produktivnější. Soubory cookie jsou důležité. Bez nich by procházení webu bylo mnohem složitější. Soubory cookie slouží k celé řadě účelů. Používáme je například k ukládání vašich nastavení bezpečného vyhledávání, k výběru relevantních reklam, ke sledování počtu návštěvníků na stránce, k usnadnění registrace nových služeb a k ochraně vašich dat.
No comments yet, be first!