Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Petra Javornická
18. 04. 2024
„Rozšiřování datových dálnic nutí útočníky hledat nové cesty, jak efektivně škodit,“ říká ředitel bezpečnosti O2 Radek Šichtanc. Čtvrtina DDoS útoků už dnes podle něj cílí na aplikační vrstvu a toto číslo bude zřejmě dál růst. Na nedávné konferenci CIO Agenda mluvil i o tom, jak tomu přizpůsobit obranu.
Na konferenci CIO Agenda jste popisoval, jaké jsou trendy u DDoS útoků. Co byste z toho vypíchl?
Zaprvé je jich stále víc a víc. Jedna statistika mluví až o 30 tisících útoků denně. Ale také rostou co do objemu: před několika roky jsme ještě byli v řádech desítek gigabytů za sekundu, dneska jsou to už stovky.
Zároveň se zvýšila jejich dostupnost. Na darknetu si lze celkem snadno objednat DDoS útok jako službu za relativně malé peníze. A v neposlední řadě je s těmito útoky čím dál častěji spojené i vydírání. Na vaši firmu proběhne menší útok, který jakž takž zvládnete, a zároveň vám do mailu přijde zpráva, že tohle byla jenom ochutnávka, a pokud nezaplatíte výkupné, zítra proběhne útok znovu, ale s mnohonásobně větší intenzitou.
A do toho se opravdu mění jejich charakteristika. Přibývá těch sofistikovaných, které probíhají na aplikační vrstvě. Už je jich čtvrtina z celkového počtu. Což mění i způsoby, jakými je nutné se bránit.
V čem jsou aplikační útoky jiné než klasické volumetrické?
Cíl je pokaždé stejný, zajistit nedostupnost klíčové služby. Přičemž volumetrické útoky jsou pořád nejčastější. Zjednodušeně můžeme říct, že jsou to ty, které útočí na „trubku s internetem“. Pomocí výrazného zesílení síťového provozu se pokouší vaši internetovou linku zahltit, přetížit ji nad rámec její kapacity.
Dneska už je ale normální, že mají firmy své servery s okolním světem propojené linkou o kapacitě 100 Gb/s a víc a zároveň k tomu mají i nějaké anti-DDoS řešení. A ucpat takhle velkou „trubku“ není zrovna snadné. My svým klientům běžně poskytujeme konektivitu s propustností 400 Gb/s. A právě rozšiřování datových dálnic nutí útočníky hledat nové cesty, jak efektivně škodit.
Jaké cesty hackeři využívají?
Jednou z možností jsou protokolové útoky, které cílí na uzly a zdroje dat v síti a snaží se je zahltit požadavky na TCP/IP spojení. Tady rozšiřování kapacity linky moc nepomůže, útočník si vystačí třeba jen s desítkami gigabytů za sekundu. Je záhodno mít ve firmě systém, který dokáže odfiltrovat škodlivé pakety a dál pustí jen ty legitimní. V O2 na to využíváme řešení typu TMS (Threat Mitigation System), které dokáže odfiltrovat až desítky milionů škodlivých paketů za sekundu.
Žádný filtr ale není nikdy stoprocentní. Takže i cílová infrastruktura musí mít sama o sobě dostatečný výkon, aby aspoň část škodlivého provozu zvládla.
No a třetí druh útoků jsou právě již zmiňované aplikační. Jejich účelem je zahlcení konkrétní aplikace na straně oběti. Typicky cílí na nejslabší komponentu webové služby: databázi nebo aplikaci s nějakou známou, ale dosud neošetřenou zranitelností. Cílem je opět razantně zvýšit režii na straně oběti velkým množstvím požadavků. Aplikační útoky se velmi špatně detekují, protože na síťové vrstvě jsou „neviditelné“, z pohledu sítě se jedná o legitimní provoz.
Obrana tady není vůbec snadná a vyžaduje důkladnou analýzu paketů síťového provozu a také systém na detekci abnormálních stavů na aplikační vrstvě.
Kdy počet útoků na aplikace tolik narostl?
Zásadní přelom vidíme mezi lety 2022 a 2023. V roce 2022 rekordně dominovaly volumetrické útoky: jak co do četnosti, tak co do objemu.
Loni ale přišla zprvu nenápadná změna. Možná si vybavíte, že vám na přelomu srpna a září nějakou dobu nefungovalo online bankovnictví. Za výpadkem stály velké DDoS útoky na české banky, finanční instituce a média. A už tam bylo zásadní zastoupení útoků na aplikační vrstvě. A zdá se, že tenhle trend bude zřejmě dál sílit.
Mohl byste letní útoky na banky přiblížit?
Útoky trvaly v řádu hodin a zajímavé na nich bylo, že z hlediska počtu paketů ani datového objemu nešlo v některých případech o nějak dramatický výkyv oproti běžnému provozu. Kdyby to byly jen volumetrické útoky, pravděpodobně by samy o sobě neuspěly. Útočníci byli úspěšní právě proto, že zároveň cílili na aplikační vrstvu.
Jak se takovým komplexním útokům bránit?
Jako jsou dnes DDoS útoky kombinací různých technik, je nutné mít i kombinovanou obranu. Jedna část jsou opatření na straně infrastruktury poskytovatele internetových služeb, například právě u nás v O2. A druhou část tvoří kombinace řešení, která jsou blíž na straně klientů.
Už v naší síti se pokoušíme útoky detekovat. Analyzujeme datové toky a shromažďujeme vzorky provozu, které dále zkoumáme. Sledujeme, zda nedochází ke zneužití síťových protokolů, porovnáváme signatury s různými databázemi dřívějších DDoS útoků a podobně.
Pokud se objeví něco podezřelého, předá se podnět automatizovaně do systému dohledu. Bezpečnostní experti následně provedou další hloubkovou analýzu, a když je potřeba, tak i mitigaci.
Na jaké metody ověřování identity vsází šéf bezpečnosti O2 Radek Šichtanc?
Zobrazit článek
Naši klienti to tak mají jednodušší, spoustu práce odvedeme za ně už na naší straně. Zároveň řadu možných scénářů s nimi předem odlaďujeme na míru jejich podnikání, systémů, služeb, aplikací.
Co byste tedy manažerům nebo šéfům IT ve firmách poradil, pokud jde o DDoS útoky?
První krok je samozřejmě vybrat nějaké řešení, respektive kombinaci různých řešení, protože neexistuje jedno, které by fungovalo vždy stoprocentně. Musí to sednout na míru zrovna vašim potřebám a vaší definici chráněných cílů. V závislosti na tom se nastaví příslušné mitigační politiky.
Důležitým krokem je také si nastavit, kdo je za co ve firmě zodpovědný a co se bude dít v případě takového útoku.
Obojí je samozřejmě nutné neustále aktualizovat, aby pak nedošlo k nežádoucímu zdržení v krizové situaci. Na to firmy často zapomínají a pak zjistíme, že uvedená zodpovědná osoba už v ní dávno nepracuje.
V extrémním případě rozsáhlého útoku může být jedním ze scénářů i celou tu tzv. trubku „urvat“, například vypnout na straně firmy zahraniční provoz. A tehdy je potřeba, aby tam seděl člověk, který má pravomoce a dokáže o tom rychle rozhodnout. Jde o čas, takže není dobré čekat, až se sejde třeba firemní vedení.
Co je důležité vědět o DDoS útocích
- DDoS útoky, postavené na zahlcení firemní sítě požadavky, neustále rostou jak co do počtu, tak co do objemu.
- Mění se ale jejich charakteristika, často dnes kombinují klasický volumetrický útok s útokem na aplikační vrstvu.
- Účelem toho druhého je zahlcení konkrétní aplikace na straně oběti požadavky. Typicky cílí na databázi či aplikaci s nějakou známou, ale dosud neošetřenou zranitelností.
- Aplikační útoky se velmi špatně detekují, na síťové vrstvě jsou „neviditelné“, často jde o šifrovaný provoz.
- Obrana vyžaduje důkladnou analýzu paketů síťového provozu a systém na detekci abnormálních stavů na aplikační vrstvě.
Petra Javornická
Marketingový specialista pro B2B
Byl pro vás článek užitečný?