Jak przygotować firmę na wypadek ataku DDoS cz.2

Część 2: Plan działania, czyli jak reagować na atak?

Opracowanie kompleksowej strategii ochrony przed DDoS pozwala firmom podjąć odpowiednie działania w celu ograniczenia strat finansowych i wizerunkowych, jeśli zagrożenie faktycznie wystąpi.

W przypadku ataków wolumetrycznych (skierowanych na warstwę sieciową i transportową) pierwszą linię obrony stanowi efektywna współpraca z dostawcą usług internetowych. Operator – dzięki zainstalowanym w jego infrastrukturze mechanizmom – po wykryciu nadmiernego obciążenia łącza może wprowadzić blackholing i zablokować ruch związany z atakiem na konkretne adresy IP. Warto też wspomnieć o usłudze nazywanej scrubbing center, która pozwala na odfiltrowanie pakietów z niepewnych źródeł i skierowanie pożądanego ruchu ponownie do firmowej sieci, dzięki czemu atakowane zasoby pozostają dostępne dla użytkowników. Należy tylko upewnić się, czy sposób rozliczeń za transfer podczas ataku nie okaże się dla firmy zbyt kosztowny.

Kluczowe znaczenie ma również modyfikowanie zabezpieczeń „w locie”, ponieważ w ramach jednej operacji atakujący mogą niejednokrotnie zmieniać taktykę. Przypomnijmy choćby atak na organizację Spamhaus, która zajmuje się zwalczaniem spamu w internecie. Doszło do niego w marcu 2013 r. i był to największy z zaobserwowanych w tamtym okresie atak DDoS. Zaczęło się w miarę standardowo od zaatakowania serwerów organizacji zapytaniami wysyłanymi z przepustowością 75 Gb/s. Spamhaus poprosił o pomoc zewnętrzną firmę, która „ukryła” atakowane usługi w swojej infrastrukturze. Cyberprzestępcy szybko zorientowali się w sytuacji i zaczęli sukcesywnie zwiększać natężenie ataku, w szczytowym momencie osiągając 300 Gb/s. Firmie udało się poradzić z obsługą tak dużego ruchu, ponieważ opracowała kilka alternatywnych planów działania i potrafiła je zastosować w zależności od rozwoju sytuacji. Warto wziąć z niej przykład.

Można także rozważyć skorzystanie z outsourcingu czynności minimalizujących skutki ataków DDoS, w szczególności, gdy firma działa w sektorze bankowości lub e-commerce i musi zapewnić nieprzerwane świadczenie swoich usług. Takie rozwiązanie zasługuje na uwagę nie tylko ze względu na możliwość automatycznego odfiltrowania podejrzanych pakietów na urządzeniach pośredniczących. Dodatkowo ruch kierowany do aplikacji internetowej będzie przepływał przez firewall aplikacyjny (Web Application Firewall), co pozwoli na wykrycie zagrożeń typu SQL Injection, XSS itd.

Firmowa strategia obrony przez DDoS powinna określać, jak reagować w przypadku ataku, krok po kroku, w miarę jego eskalacji, a także kogo należy o zaistniałej sytuacji zawiadomić. Chodzi nie tylko o dostawcę usług internetowych i firmy zewnętrzne wyspecjalizowane w odpieraniu ataków. Równie istotne jest poinformowanie o incydencie klientów, o czym przedsiębiorcy często zapominają. Można do tego celu wykorzystać przygotowaną zawczasu, minimalistyczną wersję serwisu, która będzie zawierać wszystkie niezbędne informacje – pozwoli to na ograniczenie strat wizerunkowych, które są częstym skutkiem ataków DDoS.

Brak komentarzy :

Prześlij komentarz