Support: 56 657 71 78

Jak zabezpieczyć się przed DDoS?

Bezpieczeństwo IT
bezpieczeństwo
cyberataki
DDoS
Zabezpiecz się przed DDoS

Jak zabezpieczyć się przed DDoS? To najczęściej zadawane pytanie przez działy IT, które doświadczyły poważniejszego ataku wolumetrycznego na swoje łącze internetowe.

Na początek należy mieć świadomość, że atak DDoS nie jest niczym rzadkim w sieci Internet. Praktycznie przez 24h na dobę działa cała gama narzędzi hakerskich, które automatycznie przeszukują zasoby Internetu w poszukiwaniu potencjalnych ofiar.

Przykładowo, internetowy system ZUS, który od samego początku udostępnienia programu Płatnik, doświadcza notorycznie ataków DDoS i na pewno nie jest to Efekt Slashdota. W wypadku systemów ZUS na pewno nie stworzono opracowania, które miało odpowiedzieć na pytanie: „Jak zabezpieczyć się przed DDoS?”. Wiele lat użytkownicy uskarżali się, w niewybrednych słowach, na trudności z „dobiciem się” do platformy narodowego ubezpieczyciela.

Dzisiaj nikt nie ma wątpliwości, że już samo testowanie otwartych portów na danym adresie IP, powinno wywoływać alert w systemach ochronnych sieci LAN i traktować źródło takiego skanowania jako „podejrzane”. Metod testowania i weryfikowania zabezpieczeń sieci LAN jest cała gama. Skupmy się jednak na ataku DDoS, przed którym bardzo trudno jest się ochronić.

Jak zabezpieczyć się przed DDoS?


Co zrobić, aby taki atak nie zdezorganizował pracy firmy czy urzędu? Na początek opracuj własną, firmową lub urzędową

„Strategię działania na wypadek ataku DDoS”.

Strategia nie ma być zlepkiem paru frazesów, ale dokładną analizą zasobów informatycznych przedsiębiorstwa oraz analizą przypadku wpływu każdego z systemów informatycznych na utrzymanie ciągłości działania firmy czy urzędu. Co należy najpierw zrobić?

Krok 1. Zidentyfikuj serwisy i zasoby IT podatne na DDoS

Na początek sprawdź i spisz w jednym dokumencie informacje o tym, jakie serwisy masz zainstalowane w firmowej serwerowni. Wśród nich zapewne znajdą się:

  1. poczta elektroniczna (e-mail),
  2. serwis WWW (strona internetowa firmy),
  3. telefonia VoIP (komunikacja głosowa),
  4. system księgowy (podatki i bieżąca kontrola stanu biznesu),
  5. system kadrowo-płacowy (w tym Płatnik do komunikacji z ZUS),
  6. system magazynowy (wiedza o stanie materiałów/produktów),
  7. system CRM (dane o Klientach),
  8. system obiegu dokumentów (zamówienia wewnętrzne, dokumentacja projektowa, uzgodnienia, faktury, pisma przychodzące, itd.),
  9. intranet (komunikacja wewnątrz firmy, wnioski urlopowe, bazy wiedzy, itd.),
  10. aplikacje internetowe (np. sklep internetowy lub aplikacja do składania zamówień przez partnerów),
  11. aplikacje mobilne (np. centralny system komunikacji z terminalami mobilnymi – składanie zamówień przez własnych sprzedawców),
  12. aplikacje współpracujące z zewnętrznymi systemami (np. monitoring social media),
  13. system alarmowy (np. antywłamaniowy, podgląd wideo).

To tylko podstawowe aplikacje i systemy. Poza wymienionymi powyżej, jest jeszcze cały szereg różnego typu aplikacji, które podłączone do Internetu wspierają dany biznes, a także olbrzymia ilość urządzeń monitorująco-informujących, które dokonują pomiarów, stanu danego parametru i wysyłają te dane do centralnych systemów (i pamiętać trzeba, że na progu mamy już „Internet Rzeczy”).

Mając ewidencję wszystkich serwisów, które są podatne na atak DDoS, można przejść do drugiego kroku.

Krok 2. Rozproszenie serwisów, aby lepiej chronić się przed DDoS

To bardzo ważny krok, który ma na celu odpowiedzieć na pytanie „Jak zabezpieczyć się przed DDoS?”. Odpowiedzi na niżej postawiony problem wykażą jak dużo trzeba zmienić, aby przygotować się na efekty ataku DDoS. A jest nad czym się zastanawiać.

Jeszcze niedawno modny był model centralizacji wszystkich aplikacji. Zgodnie z tym trendem przedsiębiorstwa i urzędy wciąż intensywnie inwestują we własną infrastrukturę informatyczną. Rozbudowują własne serwerownie, systemy monitorowania serwisów i aplikacji IT, budują procesy reagowania na awarie, systemy backup itd.

Wszystko w jednym miejscu, jak najbliżej działu IT, aby mieć serwery i sprzęt „pod ręką”, szybko go rozbudować, sprawdzić czy naprawić.

Ten sposób budowania serwisów informatycznych na pewno jest wygodny, ale czy bezpieczny? Jak zabezpieczyć przed DDoS taką serwerownię? Jak uchronić się przed atakiem wolumetrycznym, który wysyci możliwości techniczne łącza internetowego, do którego dowiązane są te wszystkie systemy IT?

Chociażby z uwagi na trudność ochrony przed atakiem DDoS, warto zmienić strategię myślenia o bezpieczeństwie. Już nie wystarczy tylko posiadać kopię wszystkich ważnych danych, ważne jest też jak zabezpieczyć się przed DDoS oraz przed atakami hakerów.

Czas przemyśleć jak sprawnie i skutecznie rozproszyć wrażliwe dla firmy czy urzędu systemy, a tym samym stać się dużo mniej podatnym na atak DDoS. Alternatywą jest zastanowienie się w jaki sposób ochronić łącze internetowe, które doprowadzone jest do takiej centralnej serwerowni (patrz Jak wybrać ochronę DDoS?).

Problem można rozszerzyć o odporność na ataki hakerskie, których celem będą firmowe dane lub chęć destabilizacji działalności przedsiębiorstwa. Jak to zrobić? Odpowiedź jest bardzo prosta – wybierz dowolny system ze swojego zestawienia z kroku 1. i zastanów się jak będzie działać firma czy urząd, gdy dany serwis przestanie funkcjonować przez wiele godzin, a nawet dni.

Tak … dni. Obecnie wszystkie statystyki firm zajmujących się ochroną przed DDoS’em potwierdzają, że z roku na roku wydłuża się czas ataku DDoS. Praktycznie na porządku dziennym są ataki trwające 48h, 72h, a zdarzają się i takie które liczone są w tygodniach. Warto jest więc wiedzieć jak zabezpieczyć się przed DDoS, który trwa wiele dni. Dlatego przyjmij, że każdy z firmowych, czy urzędowych serwisów przestanie działać.

Taki jest efekt zatkania łącza internetowego firmy lub instytucji, niechcianymi danymi – wysyłanymi przez różnego rodzaju systemy informatyczne wykorzystane w ataku DDoS. Przykładowo, przyglądnijmy się funkcjonowaniu firmy i urzędu w przypadku „wyłączenia” z użycia strony internetowej firmy.


Atak DDoS na stronę WWW


Jeżeli firma utrzymuje się z bezpośredniego kontaktu w terenie ze swoim klientami, to „wyłączenie” strony WWW nie powinno zachwiać jej biznesem, czy znacząco wpłynąć na wynik finansowy.

Inaczej jest już w przypadku urzędu. Tutaj strona internetowa jest kluczowa, ponieważ mieszkańcy czy interesanci bardzo często sprawdzają informacje na stronie internetowej urzędu – chociażby po to, aby sprawdzić numer telefonu i zadzwonić w swojej sprawie, zamiast iść i tracić czas.

W obu powyższych przypadkach pojawiają się różne wnioski w zakresie wrażliwości na atak DDoS. O ile firma jakoś sobie poradzi z niedziałającą stroną WWW, o tyle urząd będzie miał duże problemy z niezadowolonymi interesantami – a jeżeli dołożymy do tego okres wyborów samorządowych, to taki atak DDoS może okazać się kluczowy w dyskredytacji obecnych władz urzędu.


Co należy zrobić? Jak zabezpieczyć się przed DDoS na stronę WWW?


W przypadku firmy można uznać, że robienie kopii zapasowej witryny WWW zniweluje skutki ataku DDoS czy konsekwencje włamania hakerów. Mając kopię można stworzyć duplikat strony internetowej na dowolnym hostingu, zmienić adres DNS – wskazując nowe miejsce witryny WWW i po sprawie.

Urząd ma 2 wyjścia:

1. Zainstalować stronę internetową urzędu w zewnętrznym data center z usługą ochrony przed atakiem DDoS oraz robić kopię zapasową, na wypadek włamania się hakerów.

2. Wykupić usługę ochrony przed atakiem DDoS w firmie posiadającej Scrubbing Center – usługa będzie chroniła witrynę WWW zainstalowaną w serwerowni urzędu.

Atak DDoS na VoIP

Co w przypadku, gdy atak DDoS zablokuje możliwość korzystania z łączności telekomunikacyjnej z wykorzystaniem VoIP?

W przypadku firmy, której biznes polega na sprzedaży przez telefon swoich produktów czy usług, każdy przestój systemu telekomunikacyjnego oznacza realne straty finansowe. Każda godzina, bez kontaktu z potencjalnymi klientami, to realna strata w przychodzie przedsiębiorstwa i totalne rozluźnienie w dziale sprzedaży.

To samo dotyczy urzędu. Brak kontaktu telekomunikacyjnego instytucji, wprowadza niesamowite zaburzenie w pracy urzędu. Zarówno interesanci irytują się, nie mogąc dodzwonić się do urzędu. A urzędnicy nie są w stanie obsługiwać prowadzonych spraw.

Zablokowanie takiego systemu telekomunikacyjnego przynosi opłakane skutki zarówno w firmie jak i w urzędzie. Jakie jest rozwiązanie dla obu?

Jak zabezpieczyć się przed atakiem DDoS skierowanym na system VoIP?

Są 3 wyjścia:

1. zrezygnować z usług VoIP i korzystać wyłącznie z usług operatora komórkowego lub stacjonarnego.

2. korzystać z systemu VoIP zewnętrznego operatora, który dba o jakość swoich usług (posiada ochronę przed atakiem DDoS) – jednak należy przygotować scenariusz działania na wypadek ataku DDoS na łącze internetowe firmy lub urzędu oraz braku kontaktu z Internetem.

3. skorzystać z usługi ochrony przed atakiem DDoS jaką gwarantuje Scrubbing Center – to najprostsze i najszybsze rozwiązanie.

Bazując na dwóch powyższych przykładach, należy dokonać analizy wrażliwości pracy firmy czy urzędu na wypadek ataku DDoS, na każdy z serwisów informatycznych. Warto również rozpatrzyć scenariusz, gdzie atak DDoS nie będzie „celowany” w konkretny adres IP, ale skutkował będzie wysyceniem możliwości łącza internetowego.

Strategia powinna przewidywać wszelkie prawdopodobne scenariusze problemów, przedstawiać skutki takiego ataku DDoS oraz wpływ tych skutków na bieżące działania firmy czy urzędu.

Efektem końcowym prac nad Strategią powinna być odpowiedź na pytanie „Jak zabezpieczyć się przed DDoS?”, co należy zrobić, aby zniwelować ryzyko lub rozpisać scenariusz działania na wypadek ataku DDoS. W ramach takiego scenariusza powinny być przygotowane kroki postępowania dla danego przypadku. Wszystko po to, aby dział IT skupił się na przywróceniu krytycznych systemów informatycznych do działania, a nie zastanawiał się, od czego ma zacząć.

Przygotowanie Strategii na pewno obnaży słabości organizacyjno-techniczne każdego urzędu czy przedsiębiorstwa, a to pozwoli na przygotowanie scenariuszy postępowania na wypadek ataku DDoS.

To nie koniec działań jakie należy podjąć, aby zabezpieczyć się przed atakiem DDoS. O ile sama identyfikacja systemów wrażliwych na atak DDoS jest łatwa, o tyle przygotowanie scenariuszy działania na wypadek przepięcia się na system zapasowy, już taka banalna nie jest. Szczególnie, gdy samodzielnie postawiliśmy i zarządzamy wszystkim, ponieważ wtedy bardzo istotne stają …


Zasoby ludzkie


Wielu informatyków wychodzi z założenia, że im więcej systemów IT samodzielnie zainstaluje i posadowi w swojej serwerowni, tym większy wpływ mają oni na ich poprawne działanie.

Na taki sposób myślenia ma wpływ przede wszystkim podświadome przeświadczenie szefów IT, że im więcej zadań realizuje dział IT w firmie, tym jest ważniejszy, a tym samym zarząd dużo bardziej łaskawym okiem patrzy na budżet takiej jednostki w strukturze firmy.

Zapominają, że wraz ze zwiększoną ilością systemów IT, wzrasta odpowiedzialność szefa IT za wyszkolenie swojej ekipy, przestrzeganie procedur (, które najpierw trzeba stworzyć), dodatkowo problem jest w utrzymaniu składu zespołu, który coraz częściej uszczuplany jest przez firmy zajmujące się rekrutacją specjalistów.

Na koniec dochodzi potrzeba utrzymania zespołu IT w ciągłej gotowości, ponieważ awaria, czy też atak hakerski (a szczególnie atak DDoS), może nastąpić o dowolnej porze doby czy w czasie dni wolnych od pracy. Co wtedy? Czasami za instalowaniem systemów IT w ramach własnej serwerowni ma przemawiać kwestia finansowa. Często spotykam się z argumentacją, że zakup licencji i posadowienie systemu IT na własnych serwerach jest zdecydowanie korzystniejsze finansowo dla spółki. To nie zawsze jest prawdziwe stwierdzenie.

Szefowie działów IT, najczęściej pokazują tylko część kosztów. Zestawienia, porównania, analizy techniczne obejmują wyłącznie koszty związane z licencjami, implementacją i ewentualnie szkoleniem pracowników działu IT. Najczęściej okazuje się, że posadowienie systemu IT we własnej serwerowni jest korzystniejsze. Problem w tym, że bardzo często pokazuje się wyłącznie koszty bezpośrednie, a nie analizuje się kosztów pośrednich.

Przykładowo zakup aplikacji wymaga zakupu dodatkowego serwera – ale nikt już nie liczy, że do tego serwera w następnym roku trzeba dokupić usługę supportu, aby mieć gwarancję producenta i być pewnym jego poprawnego działania – zwłaszcza krótkiego czasu wymiany uszkodzonego elementu serwera.

Serwer wymaga przyzwoitej serwerowni, a koszt utrzymania takiego miejsca ma również swoją cenę. Problem jednak pojawia się w przypadku konfiguracji i utrzymania w ciągłym działaniu usługi IT lub aplikacji IT. W tym wypadku najbardziej newralgicznym zasobem zawsze są ludzie. Żaden szef IT nie dostanie zgody na pełne przeszkolenie swojego zespołu z zakresu wszystkich systemów i aplikacji, jakie ma w swojej serwerowni.

Tym samym wiedza i umiejętności zespołu IT są bardzo zróżnicowane, co oznacza że ubytek ważnego specjalisty mocno dezorganizuje strukturę IT firmy. Czasami odejście 2-3 osób w tym samym momencie, rozkłada na łopatki, cały dział IT i praktycznie budowanie sprawnego zespołu zaczyna się od początku. To są koszty, których nikt nie liczy i nie analizuje w trakcie wyboru technicznego sposobu realizacji danej usługi IT.

W przypadku ataków DDoS, takie budowanie kompetencji w przypadku polityki bezpieczeństwa, bardzo szybko się mści.


DNS


Serwery DNS to bardzo ważny element infrastruktury internetowej. Wielu informatyków uważa, że posadowienie własnego serwera DNS mocno ułatwi i usprawni ich pracę. Mają wpływ na konfigurację tego elementu komunikacji internetowej. Tutaj czyha na nich sporo niebezpieczeństw.

Po pierwsze – posadowienie serwera DNS we własnej serwerowni,  być może i jest rodzajem ułatwienia, jednak w przypadku ataków DDoS skutkuje całkowitym odcięciem serwera DNS od świata. W wyniku tego, jakiekolwiek próby przekierowania ruchu z domeny, np. do Scrubbing Center, jest niemożliwe ponieważ serwer DNS będzie miał zerwaną komunikację z innymi serwerami DNS.

Po drugie – serwera DNS należy bardzo uważnie pilnować, zarówno pod względem poprawnej konfiguracji, ale także przed próbami włamania. Serwery DNS to ulubione narzędzie do wzmacniania ataków DDoS. Przejęcie kontroli nad serwerem DNS wcale nie musi oznaczać jego wyłącznie, wręcz przeciwnie – serwer DNS będzie działał bardzo sprawnie. Problem w tym, że w rękach hakera serwer DNS zamienia się w źródło bardzo sporego ataku DDoS. Serwer DNS jest w stanie wzmocnić atak DDoS blisko 100-krotnie (czytaj: DDoS. Jak bardzo można wzmocnić taki atak?). A to nie jedyny system, jakim większość działów IT usilnie chce zarządzać.


Firewall


Systemy firewall to podstawowe narzędzie ochrony sieci komputerowych czy aplikacji internetowych. Czasami zapomina się o tym, że technologia to wyłącznie składowa systemu obrony. Tak jak wszędzie, kluczem do sukcesu są procedury i ludzie. Brak ciągłego i profesjonalnego nadzoru nad konfiguracją firewalla jest równoznaczne z faktem, że ochrona jest dziurowa lub praktycznie jest jej brak.

Jeżeli nikt regularnie nie weryfikuje, czy system firewall jest aktualny, działa poprawnie, wykrywa jakieś incydenty, to w rzeczywistości można byłoby sobie darować zakup tego typu drogich systemów IT.

Ponadto wiele firm wyznacza pracownika IT do sprawowania nadzoru nad konfiguracją firewalla, jednak w praktyce sprowadza się to często do zaglądania w ustawienia tego systemu, w przypadku uruchamiania nowej usługi IT lub systemu, który wymaga otwarcia jakiegoś portu. W przypadku tego elementu bezpieczeństwa najsłabszym elementem często jest człowiek.

Niepodnoszenie kwalifikacji członka zespołu IT w zakresie bezpieczeństwa, brak procedur wykrywania i reagowania na incydenty, brak aktualizacji systemów firewall sprawia, że zabezpieczenia przed hakerami stają się jedynie pozycją w systemie księgowym.

Dane z naszego Scrubbing Center nie pozostawiają złudzeń. Praktycznie codziennie rejestrujemy próby włamania do aplikacji internetowych naszych klientów – moduł IDS/IPS notorycznie rejestruje próby ataków na zasoby IT naszych klientów – o anomaliach i „dziwnych” zachowaniach użytkowników nie wspominając.

Notowane są również ataki na systemy firewall, których przejęcie gwarantuje możliwość skonfigurowania „back door” do sieci LAN czy serwerów firmy. Po takim ataku grupa hakerów dowolnie może dysponować mocą obliczeniową serwerów, kopiować dane, czy modyfikować zawartość baz danych lub po prostu zaszyfrować wszystkie dane i zażądać okupu.

Coraz częściej ataki DDoS są jedynie 'zasłoną dymną’, której zadaniem jest zaangażowanie zasobów IT w celu przywrócenia sprawności istotnych systemów i usług IT. W czasie gdy informatycy zajęci są walką ze skutkami ataku DDoS, hakerzy przenikają do sieci, gdzie instalują malware.

Oprogramowanie malware pozwala im później przenikać przez zabezpieczenia IT, np. przy wykorzystaniu tunelu SSL, którego zawartości żaden firewall nie analizuje, bez posiadania specjalnego klucza. Metod i sposobów wejścia niepostrzeżenie do sieci LAN jest dziesiątki.


Wnioski


Jeżeli Twój dział IT to grupa informatyków, których zadaniem jest utrzymywanie całej gamy aplikacji i systemów IT, to zastanów się:

  • ilu z nich zajmuje się wyłącznie bezpieczeństwem informatycznym?
  • jak często się szkolą z zakresu bezpieczeństwa informatycznego?
  • jak często weryfikują konfigurację systemów bezpieczeństwa?
  • czy posiadają procedury postępowania na wypadek incydentów ataków DDoS, ataków hakerskich, wypływu danych, itd.?
  • czy posiadają skuteczne i sprawdzone narzędzia do wykrywania ataków DDoS (np. aplikacyjnych) czy też prób włamania do sieci LAN?
  • czy przez 24 godziny na dobę którykolwiek z nich weryfikuje, czy nie nastąpił skuteczny atak na zasoby informatyczne firmy?
  • czy wdrożono systemy monitorujące co dzieje się w sieci LAN (zwłaszcza w zakresie komunikacji z Internetem)?
  • czy istnieje procedura w firmie, która weryfikuje działanie każdej z procedur bezpieczeństwa systemów informatycznych?

Udziel sobie odpowiedzi na powyższe pytania. Potem podsumuj realne koszty, jakie stoją za realizacją powyższych odpowiedzi w firmowym zespole IT.

Założę się, że zdecydowanie taniej będzie przekazanie tych kompetencji wyspecjalizowanej firmie, która posiada wyszkoloną kadrę oficerów bezpieczeństwa, wykorzystuje zaawansowane narzędzia identyfikacji prób włamania, potrafi zareagować na takie próby włamania, odeprze atak DDoS, no i co najważniejsze … czuwa 24h na dobę, nawet w dni wolne od pracy.

W 99% przypadków bilans analizy kosztów będzie jednoznaczny, lepiej zlecić bezpieczeństwa informatyczne firmie specjalistycznej i skupić się na rozwoju wyłącznie swoich aplikacji i systemów IT, niż udawać przed zarządem, że jest się gotowym na starcie z grupami hakerów.

Zapraszam do weryfikacji możliwości naszego Scrubbing Center, przy pomocy którego skutecznie chronimy każdą aplikację internetową.

To nie koniec działań związanych z zabezpieczeniem się przed atakami DDoS. W kolejnym wpisie omówię poszczególne warstwy obrony, które pozwolą zidentyfikować atak DDoS, uniknąć przykrych konsekwencji i szybko przywrócić sprawność systemów informatycznych przedsiębiorstwa. Przedstawię zalety i wady wielu stosowanych metod ochrony przed atakami DDoS.

Data Space kontakt@dataspace.pl Naszą misją jest być najlepszym wyborem dla firm, które muszą być online bez względu na wszystko, przez 24 godziny, 7 dni w tygodniu, 365 dni w roku. Dostarczamy im platformę składającą się z najbardziej zaawansowanych rozwiązań z zakresu infrastruktury IT.
Bezpieczeństwo IT
Z DDoS w pokera nie pograsz
Bezpieczeństwo IT
Atak DDoS na ProtonMail - co wiemy?