Ataki typu Denial-of- Service (DoS) w ostatnim czasie ewoluowały w bardziej złożone oraz przytłaczające wyzwania dla małych i dużych organizacji. W poprzednim roku wiele firm zajmujących się cyberbezpieczeństwem poinformowało o zwiększeniu częstotliwości tego typu ataków. Choć ataki DoS nie są najnowszym zjawiskiem, metody i środki dostępne do ich przeprowadzenia oraz zamaskowania rozwinęły się bardzo gwałtownie. Skutkiem tego zagrożenia są znaczne utraty w przychodach i niszczone relacje z klientami. Ze względu na fakt, iż ataki rosną pod kątem skali, czasu trwania, stopnia złożoności i częstotliwość, konieczne jest wdrożenie narzędzi umożliwiających sprawną ochronę.
Bardzo często atak DdoS jest zasłoną dymną służącą do rozproszenia uwagi osób odpowiedzialnych za bezpieczeństwo w orgranizacji i ukrycia znacznie większego zagrożenia. Należy zastanowić się dlaczego ataki DDOS stały się wiernym kompanem dla zagrożeń Advanced Persistent Threat (APT). Bardzo często atak DoS i DdoS jest wstępem, dlatego krytycznym jest minimalizacja czasu reakcji i wykrycia. Ważne jest zrozumienie, że klasyczny DoS, który ma posłużyć do wyłączenia usługi, jest bardzo rzadko stosowany jako pojedynczy atak. Celem ataku jest wyrządzenie szkód finansowych albo wymuszenie np. zapłacenia okupu. Wyłączenie usługi na kilka dni, rzadko kiedy skutkuje jednym z powyższych, ponieważ tak krótki okres przerwy jest niewystarczający, wyjątek stanowią bardzo popularne sklepy internetowe i usługodawcy. Dodatkowo spowodowanie trwałego wyłączenia usługi w dużej organizacji będzie kosztować atakujących więcej niż przychód z ataku: duże organizacje mają bardzo dobrze zabezpieczoną infrastrukturę przez wiele mechanizmów anty-DdoS, przez co konieczne jest użycie bardzo kosztownych i potężnych botnetów. Idąc dalej, po sparaliżowaniu działania większej organizacji, organy ścigania oraz firmy zajmujące się cyberbezpieczeństwem często łączą siły w celu wyśledzenia oraz wyłączenia botnetów użytych do ataku, zmniejszając ich wartość w dużym stopniu. Podobnie działają ataki przy użyciu Ransomware (RansomWeb Attack), które powodują zaszyfrowanie zasobów niezbędnych do prawidłowego działania strony. Różnicą jest fakt, iż mogą one trwać dłużej i nie potrzebują dodatkowych nakładów finansowych ze strony atakującego w celu ich utrzymania. Ułatwienie dla atkującego stanowi również fakt, iż bardzo duża część stron posiada publicznie i od dawna znane podatności (nie wliczając podatności 0-day), doświadczone grupy hakerów najpierw uzyskają dostęp do zasobów, a następnie wykorzystają Ransomware. Z tego powodu profesjonalni hakerzy używają w większości przypadków DdoS nie jako główny wektor ataku, ale raczej jako zasłona służąca do ukrycia bardziej poważnego wycieku danych.
Ponadto, hakerzy mają wiedzę na temat funkcjonowania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacji oraz sposobu reagowania na incydenty. Zazwyczaj, jeżeli infrastruktura organizacji jest zaatakowana przez DdoS, wszyscy pracownicy uwzględniając kierowników i menadżerów jest tego świadoma. Zespół specjalistów cyberbezpieczeństwa oraz dział IT w organizacji pochłonie ochrona przed atakiem, niwelowanie szkód, rozmowy z dostawcami internetu oraz właścicielami usług anty-DDoS… W trakcie trwania tego chaosu, kto będzie zajmować się alertami o incydentach?
Prawdopodobnie nikt…
Większość organizacji na świecie skupia się na obniżaniu kosztów operacyjnych, przez co członkowie działu IT zajmują się wszystkim związanym z bezpieczeństwem: od przepustek przez procedury po ochronę przed cyberatakami. Tego typu struktura sprzyja atakującym, którzy preferują, aby ich ofiara nie była świadoma ataku i nie wykonywała żadnych działań związanych z pociągnięciem winnych do odpowiedzialności. Systemy SIEM bardzo często powodują bardzo dużą ilość alertów false-positive, które zalewają dział IT. Kto zajmie się jednym lub dwoma alertami związanymi z bezpieczeństwem strony, skoro równolegle krytyczny system przestał działać w związku z atakiem DDOS przez co orgranizacja boryka się z falą wściekłych użytkowników? I kto po dwóch, trzech dniach walki z DdoSem skusi się o przejrzenie zaległych zgłoszeń?
Często zdarza się, że serwer logów jest skonfigurowany w taki sposób, aby logi były przetrzymywane przez 6 miesięcy w celu zaoszczędzenia miejsca na dyskach. Zazwyczaj są to informacje o prawidłowym ruchu na stronie generowanym przez użytkowników, które nie wpływają na bezpieczeństwo organizacji. Bardzo duży atak DdoS może zapełnić tą przestrzeń w ciągu kilku dni, usuwając wszystkie wcześniejsze zapisy. Tak, prawdopodobnie nikt nie będzie chciał zająć się odzyskaniem i przejrzeniem historii logów, sprawdzając czy w w czasie lub przed atakiem nie nastąpił wyciek danych.
Kluczowym elementem jest zrozumienie działania ataków DdoS oraz mechanizmów obrony. Ważne jest również poznanie motywu kryjącego się za atakiem oraz przewidzenie prawdziwych zamiarów atakujących. W przeciwnym wypadku, haker może po cichu zrobić więcej, kryjąc się za głośnym Ddos-em.