Za sprawą konfliktu Rosji z Ukrainą ponownie na nagłówki mediów trafiła informacja o przeprowadzonych atakach DDoS na serwisy webowe wielu firm oraz instytucji rządowych w Ukrainie. Ich skutkiem był paraliż zarówno stron www jak i e-usług.
DDoS to skrót od Distributed Denial of Service, co można rozumieć jako rozproszoną odmowę dostępu do usług. Czym właściwie jest atak DDoS? To atakowanie danego serwisu z wielu miejsc jednocześnie w tym samym czasie. Atak polega na wysłaniu ogromnej ilości żądań do usług i oznacza duży ruch sieciowy, co skutkuje brakiem możliwości obsłużenia zapytań/żądań do usług pochodzących od „prawdziwych” użytkowników. Konsekwencją ataku jest utylizacja zasobów serwerów, zablokowanie dostępności do łączy, aplikacji, usług czy serwisów internetowych.
DDoS można porównać do sytuacji, kiedy np. próbowaliśmy kupić bilet na koncert sławnego wykonawcy albo skorzystać z serwisu rządowego przy składaniu zeznań rocznych do KRS tuż przed ostatecznym terminem. Zdarzało się nie raz, że serwery „nie wytrzymywały” obciążenia. Przy czym opisana sytuacja dotyczy niecelowego działania wielu użytkowników, w przeciwieństwie do ataku hackerskiego, gdzie zazwyczaj ma to większą skalę i celem przestępców jest paraliż działania serwerów.
Skutki ataku DDoS mogą być tragiczne dla firmy – można wyobrazić sobie atak na serwer systemu ERP, witrynę e-commerce czy inny system w firmie, który ją całkowicie paraliżuje, uniemożliwiając funkcjonowanie. Przerwa w działalności oznacza wymierne straty z jednej strony skutkują przestojem działalności, bezpośrednio utratą przychodów, niewywiązywaniem się z terminów, nierzadko karami, z drugiej utratą wiarygodności firmy i odchodzeniem klientów. Atak na serwery administracji rządowej uniemożliwia działanie serwisów dla obywateli czy nawet zaprzestaniem działania usług kluczowych.
Przykładów takich ataków jest wiele. Przykładem ataku DDoS były ataki wirusa Mydoom w 2004 na serwery firmy SCO i Microsoftu. Dwukrotnie celem ataku były najważniejsze serwery DNS (w 2002 roku powodując blokadę 9 z 12 i w 2007, kiedy zablokowano 2 z 6 atakowanych serwerów). W związku z planowanym podpisaniem przez polski rząd porozumienia ACTA w 2012 roku miał miejsce atak na strony polskich instytucji rządowych i Sejmu, do których przyznała się grupa Anonymous. Nierzadko celem ataku (jak np. w latach 2015 i 2016) były serwery gier online – np. serwis Stardoll, z której korzystało prawie 400 mln użytkowników. Prawda jest jednak taka, że o większości ataków DDoS (podobnie jak ataków innego rodzaju) nie dowiadujemy się – bo są skrzętnie ukrywane przez ofiary ( w szczególności biznesowe) – w końcu zawsze jest to pokazanie braku przygotowania do incydentów cyberbezpieczeństwa.
Zapobiegać czy leczyć?
Osoby odpowiedzialne za IT powinna zastanowić się jak zminimalizować ryzyko ataku i zabezpieczyć infrastrukturę. Przede wszystkim wiedzieć, które z serwerów mogą paść ofiarą ataku, jakie skutki dla funkcjonowania może mieć atak, co powoduje, przestój jakich serwisów, po to, żeby móc odpowiednio priorytetyzować działania i przeznaczyć odpowiednie zasoby (czy to ludzkie czy finansowe) na te usługi, które są niezbędne do funkcjonowania organizacji.
Rozwiązania Anty-DDoS funkcjonują w oparciu o elementy sprzętowe i aplikacje. W systemie ochrony definiuje się zestaw adresów IP, które są pod obserwacją systemu bezpieczeństwa. Po przekroczeniu określonego progu ruchu generowany jest alarm i uruchomione filtrowanie, przez co ruch na atakowany serwer zostaje przekierowany na inne urządzenia. Urządzenia owe mogą znajdować się w infrastrukturze lokalnej, jak i będącej własnością dostawcy usługi anty-DDoS.
Co warto zrobić?
Jedną z czynności jest wykonanie testów obciążenia serwerów, tak abyśmy mogli przygotować naszą infrastrukturę do określonego ruchu sieciowego. Stress testy nie służą tylko i wyłącznie przygotowaniu się przed atakiem DDoS, ale przygotowaniem serwisów do pracy z określoną liczbą użytkowników w określonym przedziale czasu – co pozwala na zapewnienie ciągłości działania usług np. systemu e-commerce w czasie przedświątecznym. Test obciążeniowy wykaże jakich zasobów brakuje (pamięć RAM, dyski, procesory, łącze itp.) przy większym obciążeniu.
Hardening to zwiększenie odporności danego systemu na włamania poprzez jego prawidłową i odpowiednią rekonfigurację. Utwardzać (usztywniać?) należy urządzenia sieciowe, serwery z usługami, bazy danych. Na czym powinien się skupić dział IT? Zacząć od „wzmocnienia” sieci i ograniczeniu oferowanych usług do poziomu, który wynika za potrzeb, zamknięciu niepotrzebnych portów w interfejsach sieciowych, zapewnić odpowiedni poziom uwierzytelniania, kontrolować dostęp oraz zoptymalizować sposób używania pamięci i mocy obliczeniowej serwerów oraz wszystkiego, co generuje dodatkowy ruch.
Kolejnym elementem zwiększającym bezpieczeństwo organizacji jest load balancing, czyli „równoważenie obciążenia”, polegająca na dzieleniu obciążenia pomiędzy wiele serwerów, pamięci masowych i połączeń sieciowych. System „zbalansowany” zapewnia optymalną pracę serwisu znajdujących się na bliźniaczych serwerach, dzięki czemu jesteśmy w stanie zapewnić ciągłość działania przy wystąpieniu awarii czy ataku hackerskiego.
Warto też rozłożyć ruch z jednego serwera DNS na kilka, tak aby jeden serwer nie odpowiadał za ruch w naszej całej sieci. Można stosować też zewnętrzne serwery DNS, dzięki czemu unikniemy obciążenia własnych serwerów DNS.
Kolejną, wartą rozważenia sprawą, jest optymalizacja serwisu polegającego na ograniczenia do niezbędnego minimum generowanych zapytań do bazy danych, pobieranych plików, skryptów, podzielenia działań aplikacji na etapy. Warto rozłożyć wykonywane przez serwis czynności na kilka niezależnych serwerów świadczących pojedyncze usługi.
Stosowanie (dokładniej umiejętna analiza informacji z nich pochodzących) firewalli (czyli zapór sieciowych), pozwala na wykrycie dodatkowego, podejrzanego ruchu sieciowego z określonych adresów. Na podstawie analizy dzienników zdarzeń można określić numery IP, z których atakowana jest nasza infrastruktura i ich blokowanie. Czynności te dotyczą to zarówno firewalli sprzętowych jak i aplikacyjnych. Warto też stosować inne narzędzia pozwalające na wykrywanie innych anomalii w funkcjonowaniu sieci: wszelkie istotne zmiany w krótkich okresach często oznaczają atak – czy to zwiększenie liczby użytkowników czy generowane zapytania do strony www pochodzące z jakiegoś jednego regionu.
W przypadku prewencji przed atakami DDoS warto rozważyć przeniesienie swoich serwisów do zewnętrznego Data Center czy korzystać w swoich rozwiązaniach z chmury publicznej, ponieważ usługi oferowane przez zewnętrznych dostawców zazwyczaj będą dla nas tańsze (jeśli spojrzymy na TCO), bardziej zaawansowane z odpowiednim poziomem usług. Wszystko ma swoje zalety, jak i wady – ale trzeba je umieć zdefiniować i wybrać odpowiednią opcję.
Musimy mieć świadomość, że nie ma zestawu czynności i narzędzi chroniących w 100% przed atakiem. Osoby odpowiedzialne za bezpieczeństwo IT i zapewnienie ciągłości działania powinno podjąć zestaw czynności i zaprząc do tego szereg systemów monitorujących i filtrujących ruch sieciowy czy niwelujących ataki. Nadchodzące miesiące przypuszczalnie przyniosą nam wzrost różnego rodzaju incydentów, dlatego powinniśmy zabezpieczyć się przed wszelkimi zagrożeniami.