Atacurile distribuite de refuzul serviciilor (DDoS) reprezintă unul dintre cele mai perturbatoare și mai costisitoare cyberattack-uri cu care se confruntă organizațiile în mod regulat. Infractorii cibernetici folosesc atacuri DDoS pentru a face site-urile web și alte servicii online indisponibile pentru utilizare legitimă.
Acestea fac acest lucru prin coordonarea unei inundații de trafic rău intenționat pentru a copleși infrastructura IT a victimei, consumând lățimea de bandă, declanșând procesele de protocol și consumând resurse de server pentru a provoca defecțiuni. Atacatorii nu folosesc doar DDoS ca o modalitate de a elimina de care depind sistemele vitale, dar și ca o diversiune pentru a ascunde alte fraude sau furt de date.
Unii experți în securitate și analiști raportează că:
- Ciberneticii execută peste 8,4 milioane de încercări de atac DDoS în fiecare an
- DDoS costă organizații americane cu 10 miliarde de dolari în fiecare an
- Timpul de oprire mediu de la DDoS este de 30 de minute, dar unele atacuri pot dura zile la rând
Impactul atacurilor DDoS
Întreruperea atacurilor DDoS poate amenința rezistența în afaceri pe mai multe fronturi:
Experiența clienților: Clienții nu se pot conecta cu resursele companiei online prin intermediul site-ului web, al aplicației mobile sau prin e-mail
Fluxurile de venituri: Timpul de oprire pe site-uri sau aplicații de vânzare cu amănuntul împiedică achizițiile
Productivitatea angajaților: angajații nu pot accesa e-mailul, VoIP-ul sau resursele online pentru a-și duce la bun sfârșit munca
Reputația mărcii: incapacitatea de a absorbi sau respinge atacurile DDoS poate aduce presă proastă și face lumea să se gândească mai puțin la afacerile dvs.
Vulnerabilități cheie pentru atacurile DDoS
Atacul tipic DDoS tinde să piardă punctele slabe ale modului în care sistemele sunt concepute pentru a comunica mai degrabă decât vulnerabilitățile directe ale codului software.
De exemplu, majoritatea atacurilor DDoS volumetrice trimit un flux de trafic din întreaga lume către o țintă specifică, cu scopul de a satura complet lățimea de bandă disponibilă în rețeaua sistemului respectiv. În acest caz, vulnerabilitatea exploatată este o lipsă de rezistență a infrastructurii pentru a absorbi inundațiile de trafic.
Atac de inundații SYN
În alte cazuri, atacatorii DDoS caută deficiențe în modul în care funcționează protocoalele sau modul în care sunt configurate pentru a solicita terminarea și blocarea sistemului. Exemplul clasic de aici este atacul de inundație SYN, care copleșește serverele cu conexiuni de protocol TCP pe jumătate deschise. Atacatorul face acest lucru prin inițierea unui întreg ansamblu de solicitări de conexiune fără a completa strângerea de mână cu trei căi TCP, completând astfel resursele sistemului cu conexiuni pe jumătate deschise, astfel încât nu există loc să deschizi complet conexiunile TCP legitime. Vulnerabilitatea exploatată în acest caz este modul în care serverul a fost configurat pentru a gestiona cererile de conectare pe jumătate deschise.
Cybercriminalii pot profita, de asemenea, de crizele din armura de comunicare de la nivelul aplicației pentru a efectua atacuri DDoS. De exemplu, cu atacurile de inundații HTTP, infractorii profită de încrederea inerentă pe care un server web o poate avea la fiecare solicitare venită de la un browser client. Fără un anumit mijloc de detectare a traficului este rău intenționat, un server web se epuizează prin încercarea de a îndeplini solicitări concentrate și voluminoase pentru apeluri la baze de date sau informații aleatorii care provin din botnetele atacatorilor.
Explorarea opțiunilor dvs. de apărare DDoS
Ca în cazul oricărui alt tip de apărare cibersecuritate, apărarea DDoS necesită o abordare stratificată. O strategie solidă de atenuare a DDoS include arhitecturi solide, monitorizare atentă, controale de securitate țintite și răspuns bine planificat la incident.
Unele dintre opțiunile cheie pentru combaterea încercărilor DDoS includ:
Rezistență și redundanță
Fundația oricărei apărări DDoS este o arhitectură robustă proiectată pentru rezistență și redundanță. Aceasta înseamnă îmbunătățirea capacităților de lățime de bandă, segmentarea rețelelor și a centrelor de date, configurarea aplicațiilor și protocoalelor pentru o reziliență mai mare și stabilirea oglindirii pentru reîncărcare atunci când lucrurile nu merg bine.
Monitorizarea și analiza traficului
Apărarea proactivă împotriva DDoS necesită organizațiilor să-și păstreze paza cu monitorizarea 24/7 pentru a urmări toate activitățile botului din rețea, identifica roboți necunoscuți și localiza rapid atacuri potențiale din timp pentru a răspunde înainte ca traficul DDoS să copleșească resursele.
Spălare și filtrare
Chiar și cea mai rezistentă infrastructură nu este potrivită pentru a absorbi cele mai intense atacuri DDoS din ziua de azi, fără adăugarea unor straturi de atenuare a DDoS, pentru a ajuta la devierea și devierea traficului rău intenționat. Mecanismele de atenuare a DDoS ar trebui să poată să se deplaseze rapid pe baza monitorizării și a analizei traficului pentru a efectua spălarea pachetelor și pentru a elimina nocivitatea împotriva sistemelor vizate cu impact.
Planificarea și testarea stresului
Organizațiile ar trebui să aibă pregătit un plan de răspuns DDoS, cu cărți de joc dezvoltate pentru numeroase scenarii de atac DDoS pentru a accelera răspunsul și a reduce impactul. De asemenea, organizațiile ar trebui să ia în considerare testarea periodică a stresului pentru a asigura eficacitatea apărărilor DDoS.
Soluții de protecție Cloud și On-Premise
Soluțiile locale pentru combaterea atacurilor DDoS tind să se bazeze pe o combinație de dispozitive hardware DDoS de atenuare, firewall-uri și aparate de gestionare a amenințărilor unificate. În timp ce unele organizații sunt atrase de percepția controlului intern oferit de menținerea acestor dispozitive la fața locului, acestea renunță la avantajul receptivității, accesibilității și scalabilității în schimb.
Apărările DDoS locale necesită echipe interne să creeze o mulțime de modificări pentru ca firewallul să refuze regulile și reglarea aparatului. Mai mult, dispozitivele de atenuare DDoS echipate cu filtrare avansată a traficului sunt costisitoare și, în plus, dispozitivele locale sunt delimitate de conectivitatea rețelei locale în ceea ce privește cantitatea de trafic pe care o pot devia sau absorbi.
Soluțiile Cloud DDoS, pe de altă parte, sunt capabile să neutralizeze chiar și cele mai intense inundații de trafic DDoS înainte de a trece prin sisteme locale, filtrând pachetele rău intenționate din cloud. Aceste soluții accesibile pot fi gestionate sau declanșate complet ca un serviciu reactiv de gardă care este declanșat prin intervenție automată sau manuală.