Γράφει ο Ivan Straniero, Territory Manager, SEE Europe, Arbor Networks
Η προστασία των δικτύων οργανισμών και επιχειρήσεων από επιθέσεις DDoS αποτελούσε ανέκαθεν μια τρομακτική πρόκληση, πλέον όμως οι εγκληματίες του κυβερνοχώρου την κάνουν να φαντάζει ακόμη πιο τρομακτική. Τα πρωτοσέλιδα εφημερίδων και περιοδικών στις μέρες μας βρίθουν από ειδήσεις επιθέσεων DDoS, παραβίασης δεδομένων ή άλλων περιστατικών παραβίασης ασφάλειας. Εν τούτοις, και παρά το δυναμικό τοπίο απειλών του σήμερα, πολλοί οργανισμοί πιστεύουν ακόμη ότι οι μέθοδοι προστασίας από επιθέσεις DDoS που υιοθέτησαν πριν μερικά χρόνια συνεχίζουν να είναι το ίδιο αποτελεσματικές όπως τότε. Σε αυτές τις περιπτώσεις, οι οργανισμοί εκθέτουν τα δίκτυά τους σε πολύ μεγάλο κίνδυνο. Είναι καιρός πλέον να απομυθοποιήσουμε ορισμένες ξεπερασμένες και λανθασμένες αντιλήψεις σχετικά με τις απειλές DDoS.
Εσφαλμένη αντίληψη #1: Τα firewall, τα IPS ή τα δίκτυα παροχής περιεχομένου είναι η απάντηση
Η εξέλιξη των υποδομών πληροφορικής και η εξάρτηση από τα περιβάλλοντα cloud τρίτων έχουν δημιουργήσει ένα πολυσύνθετο σκηνικό το οποίο δεν χαρακτηρίζεται από σαφή περιμετρικά όρια. Οι παραδοσιακές λύσεις “περιμετρικής” ασφάλειας, όπως τα firewall και τα IDS/IPS παραμένουν ζωτικής σημασίας για μια ολοκληρωμένη δομή ασφάλειας ενός οργανισμού. Ωστόσο, επειδή οι συγκεκριμένες συσκευές διενεργούν έλεγχο στην κατάσταση των δικτυακών συνδέσεων, είναι ευάλωτες σε κάποιες επιθέσεις DDoS.
Πολλοί οργανισμοί θεωρούν εσφαλμένα ότι τα Δίκτυα Παροχής Περιεχομένου (Content Delivery Networks, CDN) αποτελούν μια λύση για την αντιμετώπιση των επιθέσεων DDoS. Η αλήθεια είναι ότι ένα CDN απλά αντιμετωπίζει τα συμπτώματα μιας επίθεσης. Απορροφώντας τους τεράστιους όγκους δεδομένων, ένα CDN στην πραγματικότητα επιτρέπει την είσοδο και τη διέλευση δια μέσου του δικτύου όλων των πληροφοριών, μέσω μιας προσέγγισης του τύπου «όλα είναι ευπρόσδεκτα». Επιπλέον, οι περισσότερες λύσεις προστασίας έναντι επιθέσεων DDoS που βασίζονται στα CDN επικεντρώνονται στην απορρόφηση των επιθέσεων DDoS στα HTTP/HTTPS μόνο, παραβλέποντας όλα τα υπόλοιπα, όπως οι επιθέσεις ενίσχυσης NTP/DNS, οι οποίες είναι ιδιαίτερα διαδεδομένες.
Εσφαλμένη αντίληψη #2: Ένα μόνο επίπεδο προστασίας έναντι των απειλών DDoS αρκεί
Επειδή οι σύγχρονες επιθέσεις DDoS εκμεταλλεύονται ένα δυναμικό συνδυασμό ογκομετρικών επιθέσεων, επιθέσεων TCP state exhaustion αλλά και επιθέσεων που συμβαίνουν στο επίπεδο της εφαρμογής, οι βέλτιστες πρακτικές του κλάδου συνιστούν την υιοθέτηση από τους οργανισμούς μιας πολυ-επίπεδης προσέγγισης στο θέμα της προστασίας.
Με άλλα λόγια, το καλύτερο σημείο αναχαίτισης των επιθέσεων flooding μεγάλης κλίμακας βρίσκεται στο cloud ενός παρόχου υπηρεσιών, πριν κατακλύσουν την τοπική συνδεσιμότητα στο Διαδίκτυο ή τα συστήματα προστασίας από επιθέσεις DDoS που βρίσκονται στις εταιρικές εγκαταστάσεις. Επιπλέον, το καλύτερο σημείο αναχαίτισης των κρυφών επιθέσεων που συμβαίνουν σε επίπεδο εφαρμογής βρίσκεται στις εταιρικές εγκαταστάσεις του πελάτη, πλησιέστερα στο σημείο όπου βρίσκονται εγκατεστημένες οι βασικές εφαρμογές ή υπηρεσίες. Εξίσου σημαντικό είναι να υπάρχει μια ευφυής μορφή επικοινωνίας μεταξύ αυτών των δύο επιπέδων, η οποία θα υποστηρίζεται από τις πλέον πρόσφατες και σύγχρονες πληροφορίες ασφάλειας για απειλές, ώστε να αναχαιτίζονται οι επιθέσεις DDoS που συμβαίνουν από πολλαπλούς φορείς.
Δυστυχώς, πολλοί οργανισμοί επιλέγουν προστασία ενός μόνο επιπέδου με αποτέλεσμα μια μη ολοκληρωμένη λύση προστασίας από εισερχόμενες απειλές DDoS.
Εσφαλμένη αντίληψη #3: Πιθανότατα δεν θα αποτελέσουμε στόχο, οπότε αξίζει να διακινδυνεύσουμε
Η δραματική αύξηση του αριθμού επιθέσεων DDoS οφείλεται σε δύο κύριους παράγοντες: Η ευκολία με την οποία μπορεί κάποιος να εξαπολύσει μια επίθεση και τα πολλαπλά κίνητρα πίσω από αυτές.Η εξαπόλυση μιας επίθεσης DDoS είναι πιο εύκολη από ποτέ. Οποιοσδήποτε μπορεί απλά να «κατεβάσει» ένα DIY εργαλείο επίθεσης DDoS δωρεάν ή να πληρώσει μια μικρή αμοιβή σε τρίτους για να εξαπολύσουν μια επίθεση DDoS ως παρεχόμενη υπηρεσία. Επιπλέον, ενώ η τιμή για την εξαπόλυση μιας επίθεσης ανέρχεται σε μερικές δεκάδες δολάρια, οι απώλειες των οργανισμών που υφίστανται την επίθεση είναι δυνατόν να ανέλθουν σε δεκάδες εκατομμύρια δολάρια. Τα κίνητρα που κρύβονται πίσω από τις επιθέσεις DDoS είναι πολυάριθμα. Πλέον, τα κίνητρα πίσω από τις επιθέσεις DDoS δεν είναι οικονομικά, ούτε οι επιθέσεις διενεργούνται από οργανισμούς με την οικονομική υποστήριξη κάποιου κράτους.
Σήμερα, αρκεί μια διαφωνία κάποιου μαζί σας, είτε αυτή αφορά τη γνώμη σας, την προσχώρησή σας σε κάποιο πολιτικό κόμμα ή τη στάση σας σε ένα θέμα, για να ξεκινήσει μια επίθεση DDoS χρησιμοποιώντας την πληθώρα εργαλείων και υπηρεσιών που έχει στη διάθεσή του. Η κατάσταση επιδεινώνεται εάν οι υπηρεσίες σας στεγάζονται σε κάποιο κοινόχρηστο περιβάλλον cloud, αφού θα αισθανθείτε τον αντίκτυπο μιας πιθανής επίθεσης ακόμα και αν δεν είστε εσείς ο στόχος αυτής.
Εσφαλμένη αντίληψη #4: Οι επιπτώσεις μιας επίθεσης DDoS δεν δικαιολογούν το κόστος προστασίας
Ο αντίκτυπος μιας επίθεσης DDoS είναι άμεσος και ιδιαίτερα σοβαρός. Είναι γεγονός ότι πολλοί οργανισμοί δεν διενεργούν την κατάλληλη ανάλυση ρίσκου και λήψης αντιμέτρων για να δικαιολογήσουν την αγορά μιας συνολικής λύσης προστασίας από επιθέσεις DDoS. Σίγουρα, ο υπολογισμός του κόστους λόγω μη λειτουργίας των υποδομών για μια υπηρεσία παραγωγής εσόδων δεν είναι δύσκολη υπόθεση, αλλά έχετε συνυπολογίσει όλες τις υπόλοιπες δαπάνες που σχετίζονται με μια επίθεση DDoS;
Υπάρχουν πολλά άλλα έμμεσα κόστη που παραβλέπονται μονίμως, όπως πιστώσεις SLA, αμοιβές νομικών συμβούλων / κανονιστικές δαπάνες, δαπάνες PR λόγω ανάγκης για την αποκατάσταση της εμπορικής επωνυμίας, της απώλειας πελατών, κ.λπ. Υπάρχουν ακόμη και τεκμηριωμένες περιπτώσεις όπου έχουν απολυθεί εκτελεστικά μέλη ή μέλη του ΔΣ λόγω του ότι δεν φρόντισαν οι οργανισμοί στους οποίους ανήκαν να είναι επαρκώς προετοιμασμένοι για την αναχαίτιση επιθέσεων DDoS και άλλων απειλών.
Εσφαλμένη αντίληψη #5 – Οι επιθέσεις DDoS δεν αποτελούν εξελιγμένες απειλές
Ναι, από τεχνολογικής πλευράς οι επιθέσεις DDoS ενδέχεται να μην είναι και τόσο εξελιγμένες. Ωστόσο, πρόσφατες έρευνες σχετικά με τα botnets και τις επιθέσεις DDoS έχουν δείξει ότι στην πραγματικότητα σχετίζονται πολύ στενά με τις επιθέσεις εξελιγμένων απειλών που χρησιμοποιούν κακόβουλα λογισμικά, RATs, κ.λπ.
Για παράδειγμα, υπάρχουν τεκμηριωμένες περιπτώσεις όπου επιθέσεις DDoS χρησιμοποιήθηκαν:
- Ως αρχικό στάδιο αναγνώρισης για να δοκιμαστεί η ικανότητα ενός οργανισμού να ανταποκρίνεται σε συγκεκριμένες απειλές.
- Κατά το στάδιο προσαρμογής εμφύτευσης κακόβουλου λογισμικού, όπου χρησιμοποιήθηκαν για τη συμπλήρωση αρχείων δεδομένων και καταγραφής προϊόντων εγκληματολογικής έρευνας για την ασφάλεια, τα οποία καθιστούν την έρευνα για το κακόβουλο λογισμικό ακόμη μεγαλύτερη πρόκληση.
- Κατά το στάδιο εξαγωγής δεδομένων όπου οι επιθέσεις χρησιμοποιήθηκαν ως τακτική αντιπερισπασμού.
Το ερώτημα λοιπόν τίθεται ως εξής… «Η τελευταία επίθεση DDoS ήταν ένα μεμονωμένο γεγονός ή αποτελούσε τμήμα μιας εκστρατείας εξελιγμένων απειλών κατά του οργανισμού μου;». Για να μειώσετε τον αντίκτυπο της επιλογής σας συνιστάται έντονα η χρήση ενός παγκόσμιου συστήματος συλλογής πληροφοριών ασφαλείας για απειλές προκειμένου να αναγνωρίζετε τυχόν ενδείξεις παραβίασης της ασφάλειας πριν ένα τέτοιο γεγονός αποβεί μοιραίο για τον οργανισμό σας.
Ήρθε η στιγμή για μια ευφυή, πολυ-επίπεδη προσέγγιση του θέματος της προστασίας από επιθέσεις DDoS
Η χρήση παραδοσιακού τύπου λύσεων για την ασφάλεια, όπως τα firewall ή τα IPS —ή το στοίχημα εναντίον των εγκληματιών του κυβερνοχώρου και των ακτιβιστών-χάκερ χωρίς να πράττουμε τίποτα — αποτελεί τεράστιο κίνδυνο. Θα μπορούσατε να επιβιώσετε χωρίς να είναι διαθέσιμες οι κρίσιμες εφαρμογές σας; Μπορείτε να ανακάμψετε από τις δαπάνες που σχετίζονται με κάποια παραβίαση ασφάλειας η οποία εκθέτει σε κίνδυνο τα απόρρητα δεδομένα εκατομμυρίων πελατών; Η πραγματικότητα είναι ότι, ανά πάσα στιγμή, απαιτείται προστασία του οργανισμού σας εφαρμόζοντας μια ολοκληρωμένη, πολυ-επίπεδη προσέγγιση στο θέμα της άμυνας έναντι των επιθέσεων DDoS.