DDoS útoky a IoT sú nastupujúca realita. Význam automatickej detekcie s pomocou flow dát rastie

Vo februári minulého roku Slovensko zaznamenalo najväčší DDoS útok v jeho histórii. Celková sila útoku bola väčšia než 400 Gbps. Jednou z obetí sa stala sieť slovenského providera. Ten situáciu podľa informácií vyriešil v priebehu desiatok minút, došlo však k výpadku služieb na serveroch ich klientov (a to nie len na tých cielených). Útok v skutočnosti nebol identifikovaný automatizovanými nástrojmi a od začiatku útoku až po vyriešenie situácie a znovu spustenie služieb ubehlo niekoľko hodín.

V tomto prípade boli zdrojom tisícky serverov a rôznych sietí, ktorých súčasťou boli najmä nezabezpečené domáce zariadenia, počítače, tlačiarne alebo domáce zariadenia pripojené k internetu. S príchodom IoE/IoT, nárastom sieťovej priepustnosti liniek a obrovskej digitalizácii, robotizácii a automatizácii sa budeme stretávať stále častejšie s DDoS útokmi s ďalekosiahlejšími dôsledkami. Budú sa na to využívať stále sofistikovanejšie nástroje, dostupnosť profesionálnych útokov na internete za niekoľko desiatok eur je už teraz každodennou realitou. To, že se nejde len o marketing vendrov vyvíjajúcich ochranné nástroje potvrdzujú aj nezávislé autority. Napríklad podľa správy Svetového ekonomického fóra sú z globálneho hľadiska kyberútoky vetším rizikom ako napríkald terorismus (viz přiložený graf). A trh začína na túto skutočnosť reagovať...

The Global Risks Landscape 2016Európska legislatíva prikazuje providerom v prípade identifikácie tohto typu útoku ho okamžite eliminovať, či neutralizovať ten segment infraštruktúry, ktorý je jedným z jeho zdrojov. Ako ho však identifikovať tzv. real-time? Čo všetko sa môže stať za cca niekoľko desiatok minút v prípade útoku na kritickú informačnú infraštruktúru netreba zvlášť vysvetľovať - nemocnice, energetika, internet, voda a podobně, budú v blízkej budúcnosti cieľom rôznych typov kyber útokov. V dnešnej dobe je to len bezvetrie pred búrkou. Aj preto pristupuje európska legislatíva k tvorbe zámeru smernice o kybernetickej bezpečnosti.

Včasná automatizovaná detekcia a mitigácia útoku by mala byť pre providerov v týchto dňoch prvoradá úloha. Mnohí z nich, a to najmä tí väčší, uvažujú využiť služby vlastných a externých scrubbing center, in-line nástrojov, či out-of-path riešení pre komplexný DDoS protection, ktoré sú priamo závislé od včasnej identifikácie týchto typov útokov.

DoS útoky je možné identifikovať na základe behaviorálnej analýzy sietí s podporou automatickej analýzy dátových tokov – flow štatistík v rôznych formátoch, ktoré generujú aktívne prvky sieťovej infraštruktúry. Organizace v súčasnosti začínajú tuto technológiu objavovať a implementovať do svojich bezpečnostných stratégií. Týmto spôsobom elegantne identifikujeme dlhotrvajúce DoS útoky, ktoré využívajú rôzne zraniteľnosti systémov, spoofing, reflektory a amplifikátory a podobne. DDoS útoky majú iný charakter, avšak ich identifikácia je na základe analýzy dátových tokov, elegantne realizovateľná.

Bez zásahu do infraštruktúry v offline móde je tak možné využívať zdroje, ktoré sú vlastne u providerov k dispozícii. Vhodnou formou kombinácie so scrubbing centrom, out-of-path riešením, či podporou protokolov ako PBR, RTBH, BGP Flowspec je možné tieto útoky včas identifikovať a mitigovať. Spoločnosť Flowmon Networks v minulom roku predstavila nový nástroj DDoS Defender, ktorý ako súčasť Flowmonu umožňuje real-time detekciu a mitigáciu volumetrických útokov DDoS práve na základe flow štatistík a dopĺňa tak detekciu DoS útokov v systéme Flowmon ADS. S využitím Flowmon nástrojov sa tak predchádza možným výpadkom služieb, resp. šíreniu týchto typov útokov, ako sa stali v prípade popísanej udalosti na Slovensku.