Instytucje finansowe, serwisy e-commerce, a ostatnio również… strony NATO – to tylko niektóre z podmiotów, które w ostatnich miesiącach padły ofiarą ataków DDoS. Do niedawna postrzegane jako opanowane zagrożenie, ataki DDoS zmieniły w ostatnim czasie swój charakter – atakowane są nie tylko pojedyncze maszyny, ale cała infrastruktura sieciowa.
Ataki DDoS (ang. Distributed Denial of Service – rozproszona odmowa dostępu) w praktyce mają jeden cel – uniemożliwić firmom i instytucjom funkcjonowanie, a klientom utrudnić dostęp do konta na stronie banku czy sklepu. Jakie są skutki ataków? Łatwo przewidzieć, że brak możliwości działania dla wielu firm oznacza przede wszystkim straty finansowe – klienci nie mogą zalogować się do serwisu, sfinalizować zakupu czy sprawdzić informacji. Jednak oznacza to również, że klienci przestają ufać takim serwisom i coraz rzadziej z nich korzystają, obawiając się o swoje dane i bezpieczeństwo transakcji. To właśnie utrata budowanej latami reputacji jest dziś największym zagrożeniem dla biznesu.
Kim są cyberprzestępcy?
Nie jest łatwo odpowiedzieć na to pytanie, ponieważ usługę ataku DDoS można dziś kupić w internecie za kilkadziesiąt dolarów – wystarczy karta kredytowa. Firmy dostarczające tego typu serwis chwalą się swoją skutecznością w sieci, przed zakupem oferują kilkuminutowy atak gratis, a na popularnym serwisie video umieszczają swoje reklamy. Oznacza to, że za atakiem może stać zorganizowana grupa hakerów, konkurencyjna firma, ale też szukający rozgłosu nastolatek.
Specjaliści od zabezpieczeń wskazują na trzy rodzaje ataków: wolumetryczne, aplikacyjne i mieszane. Ataki wolumetryczne dotyczą głównie warstwy infrastruktury sieciowej i polegają na zajęciu całego dostępnego łącza przez sztucznie generowany ruch, natomiast celem ataków aplikacyjnych jest wyczerpanie innych zasobów, np. czasu procesora.
Według danych Arbor Networks przygotowanych dla Exatel, o zwiększającym się zagrożeniu płynącym ze strony ataków DDoS świadczą liczby:
- w 2014 roku miało w Polsce miejsce ponad 8300 ataków
- największy atak wynosił 51 Gb/s,
- najdłuższy trwał 7 dni 23 godziny i 51 minut.
- średnia długość ataku w tym okresie wynosiła 27 minut,
- średni wolumen 1,7 Gbs.
Rosnące liczby i siły incydentów rodzą pytanie – dlaczego tradycyjna ochrona zawodzi? Dlaczego firewalle i IPSy nie chronią przed atakami tego typu? Po pierwsze – statyczne rozwiązania podłączone in-line sprawiają, że one same podatne są na DDoS. Po drugie są zbudowane w taki sposób, by chronić przed znanym, a nie rozwijającym się w czasie zagrożeniem, a ponadto poszukują zagrożeń w ramach jednej sesji, a nie w kontekście wszystkich sesji.
Problem stanowi również fakt, że chronią one jedynie przed konkretnymi atakami, są wdrożone w nieodpowiednich miejscach (np. blisko centrów przetwarzania danych), nie są kompatybilne z mechanizmami poza siecią (np. nie współpracują z systemami ochrony w chmurze). Dodatkowo wymagają dużego doświadczenia – obsługi doświadczonych inżynierów czy znajomości szczegółów ataku zanim nastąpi. Ta więc przed atakami wolumetrycznymi ochronić może tylko operator telekomunikacyjny.
Narastająca liczba, wolumen oraz złożoność ataków DDoS, jak również przeciążenie infrastruktury lokalnej sprawia, że firmy coraz częściej myślą o wyspecjalizowanych rozwiązaniach antyDDoS oraz wsparciu ze strony firm, które posiadają doświadczenie w analizie struktury ataków oraz posiadają narzędzia do ich przeciwdziałaniu. Kompleksowa ochrona przed różnego rodzajami atakami o dużym wolumenie, możliwość skorzystaniaz całodobowego wsparcia specjalistów czy dostęp do raportów i statystyk on-line sprawiają, że firma może skuteczniej bronić się przed atakami DDoS.