Οι υπηρεσίες προστασίας In-cloud που παρέχονται ως ‘managed services’ είναι μια αποτελεσματική στρατηγική αντιμετώπισης των ογκομετρικών επιθέσεων DDoS, καθώς το πρόβλημα κορεσμού των διαθέσιμων πόρων εμφανίζεται στην upstream κατεύθυνση, γεγονός που έχει ως αποτέλεσμα να μπορούν να αντιμετωπιστούν μόνο στο cloud του παρόχου.
Παρόλα αυτά, αν στηριχτείτε αποκλειστικά σε τέτοιες cloud-based υπηρεσίες για την αποτροπή επιθέσεων DDoS, τότε αφήνετε το δίκτυό σας εκτεθειμένο σε ένα μεγάλο αριθμό σύγχρονων επιθέσεων, οι οποίες χρησιμοποιούν μικρό εύρος ζώνης, στοχεύουν απευθείας στο επίπεδο των εφαρμογών (application layer) και μπορούν εύκολα να αποφύγουν να γίνουν αντιληπτές από τις cloud-based υπηρεσίες προστασίας.
Γιατί οι μηχανισμοί firewalls και IDS αποτυγχάνουν να αποτρέψουν μια επίθεση DDoS;
Οι συσκευές Firewalls και IPS αποτελούν σημαντικά συστατικά μιας πολύ-επίπεδης στρατηγικής ασφαλείας, παρόλα αυτά έχουν σχεδιαστεί για να προστατεύουν από εντελώς διαφορετικά προβλήματα και όχι για να εντοπίζουν και να αποτρέπουν επιθέσεις DDoS. Για παράδειγμα, ένα firewall λειτουργεί ως μηχανισμός που εμποδίζει τη μη εξουσιοδοτημένη πρόσβαση σε δεδομένα. Την ίδια στιγμή, οι συσκευές IPS εμποδίζουν κάθε απόπειρα παραβίασης που μπορεί να οδηγήσει σε απώλεια δεδομένων. Στις περισσότερες επιθέσεις DDoS που στοχεύουν το επίπεδο των εφαρμογών (application layer) τα πακέτα δεδομένων που μεταδίδονται από τα bots δεν εμποδίζονται από συσκευές όπως firewalls και IDS καθώς η δομή και τα περιεχόμενά τους ακολουθούν τα απαραίτητα standards. Πραγματοποιώντας τέτοιες επιθέσεις από πολλές διαφορετικές πηγές, οι hackers επιτυγχάνουν την εξάντληση κρίσιμων πόρων του συστήματος, όπως η χωρητικότητα ενός link, η δυνατότητα εξυπηρέτησης ενός session ή μιας εφαρμογής (π.χ. HTTP και DNS), ή η υπερφόρτωση μιας βάσης δεδομένων.
Επειδή ακριβώς η κίνηση αυτή είναι εξουσιοδοτημένη και δεν περιέχει την υπογραφή κάποιου γνωστού malware (κακόβουλου κώδικα), δεν μπορεί να σταματήσει από firewalls και μηχανισμούς IPS. Αυτό έχει ως αποτέλεσμα, μια τέτοια προσέγγιση προστασίας να μην μπορεί να διασφαλίσει το πλέον βασικό σε μια επίθεση DDoS — τη διαθεσιμότητα του δικτύου. Και κάτι ακόμη. Καθώς τα firewalls, οι συσκευές IPS και τα υπόλοιπα inline εργαλεία για την παρακολούθηση της κατάστασης των διαθέσιμων δικτυακών πόρων (stateful inspection tools) είναι ευάλωτα σε επιθέσεις DDoS, συχνά γίνονται τα ίδια ο στόχος των επιθέσεων.
Οι Cloud-Based υπηρεσίες προστασίας από DDoS μπορούν να παρέχουν προστασία έναντι επιθέσεων που βασίζονται στην αποστολή τεράστιου όγκου νομότυπων πακέτων (Volumetric ή Flood attacks). Ακριβώς επειδή οι επιθέσεις αυτού του τύπου συμβαίνουν στην upstream κατεύθυνση των συνδέσεων, το καλύτερο σημείο άμυνας βρίσκεται στο cloud του παρόχου.
Τέτοιες υπηρεσίες, όμως, δεν μπορούν να εντοπίσουν και να αποτρέψουν επιθέσεις στο Application-Layer. Οι επιθέσεις αυτού του τύπου μπορεί να είναι πολύ αποτελεσματικές ακόμη και αν ξεκινούν από έναν μόλις υπολογιστή που χρησιμοποιεί συνδέσεις μικρής ταχύτητας. Το χαρακτηριστικό αυτό καθιστά τον εντοπισμό και την προληπτική αντιμετώπισή τους πολύ δύσκολη υπόθεση, αν δεν υπάρχουν εξειδικευμένα εργαλεία στο εσωτερικό του δικτύου μας (on-premise).
Δεν μπορούν να προστατεύσουν τις υπάρχουσες υποδομές. Μηχανισμοί προστασίας, όπως τα firewalls και οι συσκευές IPS, γίνονται συχνά στόχοι επιθέσεων DDoS, καθώς οι χάκερς προσπαθούν να εξαντλήσουν όλες τις δυνατότητες διασύνδεσης με αυτές τις συσκευές. Ακόμη και μηχανήματα high-capacity, με δυνατότητα εκατομμυρίων συνδέσεων, μπορούν να καταστούν μη διαθέσιμα ως αποτέλεσμα μιας τέτοιας επίθεσης.
Δεν μπορούν να ανταπεξέλθουν σε συνδυαστικές multi-vector επιθέσεις. Επιπλέον όλο και περισσότεροι χάκερς στρέφονται σε συνδυαστικές επιθέσεις multi-vector, οι οποίες βασίζονται σε συνδυασμούς ογκομετρικών, state-exhaustion και application-layer επιθέσεων για να πλήξουν ένα συγκεκριμένο οργανισμό.
Τι χρειαζόμαστε λοιπόν;
Η ενδεδειγμένη λύση θα ήταν μια συσκευή που έχει σχεδιαστεί ειδικά για να παρέχει on-premise προστασία της διαθεσιμότητας των δικτυακών πόρων από μια συνεχώς επεκτεινόμενη γκάμα απειλών σε επίπεδο εφαρμογής (application-level), διασφαλίζοντας έτσι την αξιόπιστη πρόσβαση σε δικτυακές υπηρεσίες ζωτικής σημασίας και την επιχειρησιακή συνέχεια του οργανισμού. Θα πρέπει να παρέχει την πιο ευρέως διαδεδομένη τεχνολογία εντοπισμού και αποτροπής επιθέσεων DDoS, η οποία θα ενσωματώνεται σε μια εύχρηστη συσκευή που έχει σχεδιαστεί με στόχο την αυτόματη εξουδετέρωση επιθέσεων πριν αυτές επηρεάσουν κρίσιμες υπηρεσίες και κλιμακωθούν σε βλάβες δαπανηρές και καταστρεπτικές για την εικόνα του οργανισμού. Η συσκευή αυτή θα πρέπει να διαθέτει την κατάλληλη stateless τεχνολογία ανίχνευσης και φιλτραρίσματος, η οποία θα της επιτρέψει να παραμείνει σε λειτουργία κατά την διάρκεια εκδήλωσης low volume, οι οποίες έχουν σχεδιαστεί με στόχο να θέτουν εκτός λειτουργίας μηχανισμούς όπως τα firewalls και τα IPS.
Συνδυασμός On-Premise και Cloud-Based προστασίας από επιθέσεις DDoS
Η ολοκληρωμένη προστασία η οποία βασίζεται στον συνδυασμό on-premise μηχανισμών προστασίας της διαθεσιμότητας των δικτυακών υποδομών, με cloud-based υπηρεσίες DDoS protection που παρέχουν πολλές κορυφαίες εταιρείες ασφαλείας, εξασφαλίζουν το πληρέστερο επίπεδο προστασίας που μπορεί να αποκτήσει σήμερα ένας οργανισμός έναντι επιθέσεων DDoS .
Ο ρόλος των λύσεων On-Premise στην προστασία από επιθέσεις DDoS
Με μια γρήγορη έρευνα στο διαδίκτυο μπορεί κανείς να εντοπίσει μια σειρά οργανισμούς online banking και e-commerce που έχουν πέσει θύματα επιθέσεων DDoS, οι οποίες θα μπορούσαν να έχουν αποτραπεί εάν υπήρχε η κατάλληλη συσκευή on-premise. Στη συνέχεια, παρουσιάζουμε ορισμένα πρόσφατα παραδείγματα.
Παράδειγμα 1: Επιθέσεις σε βάρος της διαθεσιμότητας της Mt. Gox
Η Mt. Gox, στο Τόκυο, είναι το μεγαλύτερο χρηματιστήριο bitcoin στον κόσμο. Μέσα από την πλατφόρμα της εκτελείται το 80% των πράξεων bitcoin σε δολάρια ΗΠΑ και το 70 % στα υπόλοιπα νομίσματα.
Παρά το ότι η διαθεσιμότητα των συστημάτων είναι ζωτικής σημασίας για τη δυνατότητα της εταιρείας να λειτουργεί, η Mt. Gox προχώρησε στην επιλογή ενός εξωτερικού παρόχου για την παροχή υπηρεσιών προστασίας από επιθέσεις DDoS.
Τον Απρίλιο του 2013, η Mt. Gox έγινε το θύμα μιας επίθεσης DDoS “πρωτοφανούς έντασης,” σύμφωνα με τα λεγόμενα της εταιρείας. Η επίθεση, η οποία είχε στόχο να χειραγωγήσει την αξία του bitcoin, προκάλεσε τεράστια μεταβλητότητα στην τιμή του εικονικού νομίσματος και καθυστερήσεις στην εκτέλεση των συναλλαγών. Σύμφωνα με τη Mt. Gox, οι χάκερς στόχευαν σε κέρδη από την πώληση των bitcoins που είχαν στη διάθεση τους σε υψηλή τιμή, και στη συνέχεια να αποσταθεροποιήσουν το χρηματιστήριο μέσω επιθέσεων DDoS. Όταν η τιμή του bitcoin θα έπεφτε ως αποτέλεσμα των πωλήσεων πανικού, θα σταματούσαν την επίθεση, θα αγόραζαν τα bitcoins σε χαμηλότερη τιμή και θα επιτίθονταν ξανά, μόλις η τιμή ανέβαινε και πάλι.
Παρόλο που η Mt. Gox χρησιμοποιούσε τις υπηρεσίες μιας πολύ γνωστής εταιρείας παροχής cloud-based υπηρεσιών προστασίας από επιθέσεις DDoS, η πλατφόρμα της έγινε το θύμα μιας ογκομετρικής επίθεσης, ο καλύτερος τρόπος απόκρουσης της οποίας είναι στο cloud.
Με την επιλογή να στηρίζεται αποκλειστικά στις υπηρεσίες του εξωτερικού παρόχου, η Mt. Gox κατέστη ευάλωτη επειδή ο πάροχος, σύμφωνα με τη Mt. Gox, “άργησε περισσότερο από το να καταλάβει τι είχε συμβεί και να αντιδράσει.”
Αν υπήρχε τοπική προστασία από επιθέσεις DDoS, η Mt. Gox θα είχε τη δυνατότητα να αποτρέψει επιθέσεις της τάξης των 10Gbps χωρίς να χρειαστεί τη βοήθεια του εξωτερικού παρόχου, διατηρώντας τον έλεγχο του πιο πολύτιμου περιουσιακού της στοιχείου, που δεν είναι άλλο από τη διαθεσιμότητα των συστημάτων της.
Παράδειγμα 2: Συνδυαστική επίθεση σε ιστότοπους τραπεζών
Σε διάστημα έξι εβδομάδων μέσα στο 2013, οι ιστότοποι μεγάλων αμερικανικών τραπεζών παρέμειναν offline συνολικά 249 ώρες, γεγονός που αποτελεί ίσως τη σαφέστερη ένδειξη ότι οι αμερικανικές εταιρείες αποτελούν το βασικό στόχο ενός ανηλεούς πολέμου που διεξάγεται στον παγκόσμιο κυβερνοχώρο. Οι συνεχείς αυτές επιθέσεις σε βάρος αμερικανικών χρηματοπιστωτικών οργανισμών αποτελούν παραδείγματα ενός οικονομικού ακτιβισμού μέσω χτυπημάτων στον κυβερνοχώρο (“funded hacktivism”) και υπογραμμίζουν τη σημασία που έχει η εφαρμογή των βέλτιστων πρακτικών για τη διασφάλιση της διαθεσιμότητας των υποδομών του οργανισμού σας, όπως ακριβώς και στις εταιρείες του χρηματοπιστωτικού κλάδου.
Οι επιθέσεις αυτές ήταν σύνθετες (multi-vector), συνδυάζοντας – πολλές φορές ταυτόχρονα —ογκομετρικές επιθέσεις μεγάλης κλίμακας, επιθέσεις στους διαθέσιμους πόρους της υπάρχουσας υποδομής (π.χ. firewall/συσκευές IPS) και επιθέσεις εναντίον συγκεκριμένων εφαρμογών. Η τακτική που ακολούθησαν οι χάκερς ήταν ένας συνδυασμός επιθέσεων σε επίπεδο HTTP, HTTPS και DNS, με παράλληλες ογκομετρικές επιθέσεις σε TCP, UDP, ICMP και άλλα πρωτόκολλα IP. Η Arbor Networks μέσω του Pravail APS, παρέχει on-premise, always-on προστασία έναντι επιθέσεων που εκδηλώνονται με στόχο την διαθεσιμότητα των δικτυακών πόρων αλλά και επιθέσεων που στόχο έχουν να εξαντλήσουν τα παραδοσιακά συστήματα περιμετρικής όπως οι firewalls και τα IPS.
Ένα άλλο εμφανές και ασυνήθιστο στοιχείο των επιθέσεων αυτών ήταν η ταυτόχρονη αποστολή μεγάλου όγκου αιτημάτων σε πολλές εταιρείες που χρησιμοποιούν τον ίδιο πάροχο για την προστασία τους. Στόχος να μειωθεί αποτρεπτική δυνατότητα του συγκεκριμένου παρόχου, γεγονός που υπογραμμίζει τον κίνδυνο που διατρέχει κάποιος οργανισμός σε περίπτωση που επιλέξει να στηριχτεί αποκλειστικά σε cloud-based managed υπηρεσίες.
Παράδειγμα 3: Επιθέσεις εξάντλησης πόρων (State-Exhausting Attacks)
Η μεγαλύτερη επίθεση DDoS στα χρονικά (μετρήθηκε στα 300Gbps) έγινε το Μάρτιο του 2013 σε βάρος της Spamhaus, μιας υπηρεσίας IP blacklisting. Τα 300Gbps είναι ένας εντυπωσιακά μεγάλος όγκος διαδικτυακής κίνησης, ο οποίος θεωρείται έξω από τα συνηθισμένα– τουλάχιστον για την ώρα. Το 2012, ο μέσος όρος των επιθέσεων DDoS κυμάνθηκε στα 1.67Gbps. Βέβαια, σε σχέση με τα 300Gbps αυτός είναι ένας σχετικά μικρός όγκος κακόβουλης κίνησης, ο οποίος όμως μπορεί να έχει σοβαρά ή καταστροφικά αποτελέσματα σε οργανισμούς που χρησιμοποιούν firewalls και συσκευές IPS για την on-premise ασφάλεια των συστημάτων τους.
Οι μηχανισμοί αυτοί δεν έχουν σχεδιαστεί με σκοπό να αντιμετωπίσουν επιθέσεις DDoS. Αυτό που συμβαίνει στην πράξη είναι ότι, επειδή οι inline συσκευές προστασίας (IPS, firewalls και άλλα αντίστοιχα εργαλεία) παραμένουν ευάλωτες σε επιθέσεις DDoS, συχνά γίνονται αυτές οι στόχοι της επίθεσης. Χρησιμοποιώντας συσκευές οι οποίες αξιοποιούν stateless τεχνολογία εντοπισμού και φιλτραρίσματος , μπορείτε να διασφαλίσετε την απρόσκοπτη λειτουργία του δικτύου σας κατά τη διάρκεια επιθέσεων low-volume που στοχεύουν firewalls και IPS.
Συμπέρασμα
Σήμερα, οι επιθέσεις DDoS attacks τείνουν να ομαδοποιηθούν σε τρείς ευρύτερες κατηγορίες: επιθέσεις με αποστολή μεγάλου όγκου αιτημάτων (volumetric), επιθέσεις σε επίπεδο εφαρμογής (application-layer), και επιθέσεις με στόχο την εξάντληση των διαθέσιμων πόρων (state-exhaustion).
Το πλέον κατάλληλο σημείο αποτροπής volumetric επιθέσεων DDoS βρίσκεται στις υποδομές cloud του ISP, επειδή η συμφόρηση δημιουργείται στην upstream ροή προς το δίκτυο και μπορεί να αντιμετωπιστεί μόνο μέσα στο cloud του παρόχου. Παρόλα αυτά, το να στηρίζεστε αποκλειστικά στην αποτροπή DDoS επιθέσεων μέσω κάποιου cloud-based managed service παρόχου αφήνει το δίκτυο σας εκτεθειμένο σε επιθέσεις που στοχεύουν είτε στο application-layer, είτε στην εξάντληση των διαθέσιμων πόρων των υποδομών σας (state exhaustion). Ο καλύτερος τρόπος για να αποτρέψετε τέτοιες επιθέσεις DDoS και να διασφαλίσετε τη διαθεσιμότητα των συστημάτων σας, είναι να χρησιμοποιήσετε on-premise λύσεις στην περίμετρο του εταιρικού σας δικτύου, καθώς επιθέσεις αυτού του τύπου μπορούν να ανιχνευθούν και να εξουδετερωθούν μόνο τοπικά.
Ivan Staniero, Territory Manager, Italy & SE Europe at Arbor Networks