DDOS ÚTOKY A IOT SA STÁVAJÚ BEŽNOU REALITOU. VÝZNAM AUTOMATICKEJ DETEKCIE S POMOCOU FLOW DÁT NARASTÁ.

Slovensko zaznamenalo najväčší DDoS útok v jeho histórii vo februári minulého roka. Sila útoku bola väčšia ako 400 Gbps. Jednou z obetí bol slovenský provider, ktorý síce danú situáciu vyriešil v priebehu desiatok minút, no narušením siete došlo k výpadku služieb na serveroch u jeho klientov. Útok nebol identifikovaný automatizovanými nástrojmi a od jeho začiatku až po vyriešenie situácie a opätovné spustenie služieb ubehlo niekoľko hodín.

V tomto prípade boli zdrojom tisícky serverov a rôznych sietí, ktorých súčasťou boli najmä nezabezpečené domáce zariadenia, počítače, tlačiarne alebo domáce zariadenia pripojené k internetu. S príchodom IoE/IoT, nárastom sieťovej priepustnosti liniek a obrovskej digitalizácii, robotizácii a automatizácii sa budú čoraz častejšie vyskytovať DDoS útoky s ďalekosiahlejšími následkami. Budú na to využívané stále viac sofistikovanejšie nástroje, dostupnosť profesionálnych útokov na internete za niekoľko desiatok eur je už teraz každodennou realitou. To, že nejde len o marketing vendorov vyvíjajúcich ochranné nástroje potvrdzujú aj nezávislé autority. Napríklad podľa správy Svetového ekonomického fóra sú z globálneho hľadiska kybernetických útokov väčším rizikom ako napríklad terorizmus (viď.obrázok). A trh začína na tieto skutočnosti reagovať...

Európska legislatíva prikazuje providerom v prípade identifikácie tohto typu útoku ho okamžite eliminovať, či neutralizovať ten segment infraštruktúry, ktorý je jedným z jeho zdrojov. Ako ho však identifikovať v reálnom čase? Čo všetko sa môže stať v priebehu niekoľkých minút v prípade útoku na kritickú informačnú infraštruktúru netreba osobitne vysvetľovať – energetika, nemocnice, voda, internet a ďalšie, budú v blízkej dobe terčom rôznych typov kybernetických útokov. V dnešnej dobe je to len tzv. ticho pred búrkou. Aj preto pristupuje európska legislatíva k tvorbe zámeru smernice o kybernetickej bezpečnosti.

Včasná automatizovaná detekcia a mitigácia útoku by mala byť pre providerov v týchto dňoch prvoradá úloha. Mnohí z nich, a to najmä tí väčší, uvažujú využiť služby vlastných a externých scrubbing center, in-line nástrojov, či out-of-path riešení pre komplexný DDoS protection, ktoré sú priamo závislé od včasnej identifikácie týchto útokov.

DoS útoky je možné identifikovať na základe behaviorálnej analýzy sietí s podporou automatickej analýzy dátových tokov – flow štatistík v rôznych formátoch, ktoré generujú aktívne prvky sieťovej infraštruktúry. Organizácie v súčasnosti začínajú tuto technológiu objavovať a implementovať do svojich bezpečnostných stratégií. Týmto spôsobom dokážeme identifikovať dlhotrvajúce DoS útoky, ktoré využívajú rôzne zraniteľnosti systémov, spoofing, reflektory, amplifikátory a iné. DDoS útoky majú iný charakter, avšak ich identifikácia je na základe analýzy dátových tokov, ľahko realizovateľná.

Bez zásahu do infraštruktúry v offline móde je tak možné využívať zdroje, ktoré sú vlastne u providerov k dispozícii. Vhodnou formou kombinácie so scrubbing centrom, out-of-path riešením, či podporou protokolov ako PBR, RTBH, BGP Flowspec je možné tieto útoky včas identifikovať a mitigovať. Spoločnosť Flowmon Networks v minulom roku predstavila nový nástroj DDoS Defender, ktorý ako súčasť Flowmonu umožňuje real-time detekciu a mitigáciu volumetrických útokov DDoS práve na základe flow štatistík a dopĺňa tak detekciu DoS útokov v systéme Flowmon ADS. S využitím Flowmon nástrojov sa tak predchádza možným výpadkom služieb, resp. šíreniu týchto typov útokov, ako sa stali v prípade popísanej udalosti na Slovensku.

Zdroj informácie: Flowmon Networks