Статьи

Сучасні DDoS-атаки і захист від них за допомогою Radware Attack Mitigation System

  1. Вступ
  2. Сучасні тенденції в організації DDoS-атак
  3. Можливості програмно-апаратного комплексу Radware Attack Mitigation System
  4. Висновок

У статті розповідається про сучасні тенденції в організації розподілених атак типу «відмова в обслуговуванні» (DDoS-атак), а також розглянуті можливості програмно-апаратного комплексу Radware Attack Mitigation System (AMS) щодо захисту від них. Стаття написана на основі матеріалів компанії Radware.

1. Введення

2. Сучасні тенденції в організації DDoS-атак

3. Можливості програмно-апаратного комплексу Radware Attack Mitigation System

4. Висновок

Вступ

DoS- і DDoS-атаки в світі інтернет-безпеки займають особливе місце. По-перше, вони не використовують уразливості в програмному забезпеченні, які можна виправити; по-друге, кожен пакет, з яких складається атака, виглядає легітимним - тільки поєднання безлічі пакетів може привести до деструктивних наслідків; по-третє, останнім часом такі атаки тривають протягом годин або днів, а не секунд або хвилин.

Протягом багатьох років DoS- і DDoS-атаки не залучали значної уваги, так як ставилися до розряду нішевих атак. Ця ситуація суттєво змінилася в 2011 році, коли група хакерів Anonymous вибрала DoS- і DDoS-атаки в якості основного методу досягнення своїх цілей. Вражаючі результати атак Anonymous перетворили подібні атаки в основний метод зловмисників, зробивши їх добре відомими і широко доступними не тільки для спільноти фахівців в області інформаційної безпеки, але і для великого кола користувачів.

Незважаючи на те, що активність цієї групи в 2012 році знизилася, вони створили прецедент. Безліч груп зловмисників до теперішнього часу взяли DoS / DDoS-атаки на озброєння - можливості таких атак привернули увагу хакерів - політичних активістів, фінансово зацікавлених злочинних організацій і навіть урядів. На жаль, це означає, що DoS / DDoS-атаки залишаться помітною і постійною загрозою в 2013 році.

Повний огляд тактик, які застосовувались зловмисниками в 2012 році, разом з докладною статистикою, в популярному вигляді зроблений фахівцями команди екстреного реагування компанії Radware і представлений на сайтах компанії, в тому числі і російською мовою.

Наприклад, спостерігалася нова тенденція в області кібервійни - стійкий і рівномірне зростання складних і тривалих кампаній із застосуванням DoS / DDoS-атак. Ці кампанії відрізнялися множинністю векторів атаки, великою тривалістю і високою складністю. В наші дні звичайними є атаки з чотирма, п'ятьма або навіть десятьма векторами, що тривають три дні, тиждень чи навіть місяць. Ця нова тенденція ускладнених і тривалих погроз створює для непідготовленого до цього організацій великі труднощі.

Більшість підприємств в даний час недостатньо озброєні для кібервійни: вони не розуміють істинної природи битви і не можуть правильно підготуватися. Вони вкладають кошти в підготовку на етапі, що передує атаці, і чудово діють після атаки. Проте, у них є істотний недолік - немає можливості щось зробити під час активної фази атаки і ресурсів, щоб протистояти тривалої, складної послідовності атак. Зловмисники ж, зі свого боку, знають про це прогалині і використовують його в якості власного переваги. Результатом є перебої в доступності послуг через атаки, навіть серед найбільш шанованих веб-сервісів.

Щоб зупинити сучасні атаки, підприємствам необхідно змінити свій підхід до методів захисту. Раніше методи захисту включали підготовку до атаки - розгортання захисних систем і установку рішень, що знижують наслідки при інцидентах безпеки і.т.д. Після атаки проводилися розслідування, робилися висновки і вносилися поліпшень для протидії наступній атаці. Цього було досить, поки атаки були нетривалими за часом.

Тепер, коли послідовність атак триває протягом днів або тижнів, підприємствам необхідно мати стратегію активного поведінки під час атаки. Найбільш важливий компонент для її здійснення - виділена команда експертів, які зможуть не тільки динамічно реагувати під час атаки, але також вживати контрзаходи для того, щоб зупинити атаку і потім винести уроки на майбутнє з зібраної інформації.

Зазвичай підприємства не можуть містити необхідну кількість фахівців необхідного класу для такої команди, з огляду на те, що атак може бути всього кілька на рік. Тому вони змушені шукати компетентних фахівців поза підприємства - експертів в області інформаційної безпеки в інших компаніях і в урядових служб. При цьому не завжди підприємство може знайти на ринку відповідає вимогам сервіс або команду фахівців для посилення своєї інформаційної безпеки.

Складні тривалі DoS / DDoS-атаки, безсумнівно, небезпечні, але вони пропонують деякі дуже важливі можливості. Протягом атаки експерти з інформаційної безпеки можуть зібрати в реальному часі характерну інформацію про зловмисника - хто це і які використовує інструменти. Це дає підприємствам можливість захищатися під час атак, розгортати контрзаходи проти зловмисників і повністю їх зупинити.

Сучасні тенденції в організації DDoS-атак

Атака DDoS перетворилася в споживчий продукт. Вона ще не може продаватися в інтернет-магазинах, але на підпільних сайтах ви знайдете безліч можливостей - набори для здійснення DDoS, прайс-листи і навіть сервіси DDoS напрокат. Будь-, від приватного користувача до організацій, що беруть участь в кіберзлочинності, може з легкістю розгорнути бот-мережу і запустити атаку.

Чи не вимагають навичок в програмуванні і знань в області хакерства, набори для DDoS дозволяють зловмисникам-новачкам з легкістю запустити бот-мережу. Набір для DDoS включає в себе два компоненти - конструктор ботів, а також сервер управління.

Конструктор ботів - утиліта з графічним інтерфейсом для покрокового створення ботів, що дозволяє зловмисникові створити виконуваний файл (бот) для поширення по потенційних цілей. Створений бот забезпечений адресою сервера управління (C & C), з яким він підтримує зв'язок.

C & C - веб-сторінка адміністратора, яка використовується зловмисником для відстеження ботів і відправки їм команд на виконання.

Коли C & C встановлений і виконуваний файл бота готовий, зловмисник може впроваджувати бот доступному кількості жертв, використовуючи звичайні методи, такі як соціальна інженерія та атаки типу drive-by, коли будь-який браузер, неважливо, Internet Explorer або Chrome, використовується для того, щоб обманним шляхом завантажити і встановити шкідливий код. Коли армія ботів стає досить великою, атаку можна запускати.

Як і професійні розробники програмного забезпечення, розробники наборів для DDoS вдосконалюють свої продукти і створюють нові версії, які публікуються і продаються. У підпільному світі найбільш поширені набори з ботами, розробленими іншими людьми, але при цьому виконувані файли і / або вихідні коди витекли в вільний доступ, а потім були перероблені, після чого був проведений ребрендинг. Група наборів, заснованих на єдиному джерелі, зазвичай називається сімейством.

Широке поширення наборів для DDoS також сприяє появі сервісів DDoS напрокат. Кіберкрімінальние угруповання використовують перевагу простоти використання наборів для створення швидких пропозицій по організації атак на безлічі підпільних форумів (DDoS напрокат, оренда ботів).

Типовий «бізнес-сценарій» DDoS напрокат може включати в себе пропозицію «завалити веб-сайт конкурента» або, навпаки, вимагання в формі «заплатите нам, щоб ваш сайт не впав».

Набори для DDoS перетворили DDoS-атаки в споживчий продукт, легко доступний для кожного. Без сумніву, набори для DDoS будуть продовжувати розвиватися і пропонувати нові можливості, змушуючи захищати сторону, підприємства-жертви, пристосовувати до них свої стратегії захисту.

Компанії не повинні дивуватися тому, що число атак продовжує зростати з кожним роком. Використовувані засоби і база атак для зловмисників, що використовують DDoS, розвиваються і удосконалюються. Для підприємств, які є метою DDoS, це означає тільки одне: більш витончені і важкі для протидії атаки.

На зорі використання DoS-атак в якості основної інфраструктури для запуску атак використовувалася примітивна інфраструктура серверів. Однак за останнє десятиліття сервери повністю пішли з DoS-сцени, і на перше місце вийшли DDoS-атаки, засновані на бот-мережах з сотень і тисяч персональних комп'ютерів.

В останні місяці фахівці Radware спостерігають те, що може бути новим серйозним зміною в ландшафті DDoS - поява бот-мереж на основі серверів. На відміну від раніше існуючих атак на основі єдиного сервера, нові DDoS-атаки беруть на озброєння безліч серверів, розосереджених географічно і об'єднаних в потужну бот-мережу. Новий тип архітектури DDoS, заснованої на використанні серверів, може представляти набагато більшу загрозу, ніж атаки, засновані на звичайних ботнетах, і тому є кілька причин:

  • Потужність - у серверів набагато ширші канали для посилки даних, що вимагає меншої кількості комп'ютерів для створення такого ж впливу, як і при використанні бот-мереж з безлічі клієнтів. З огляду на, що середній домашній комп'ютер підключений по каналу в 600 Кбіт / с, а типовий сервер може надсилати дані зі швидкістю від 1 до 100 Мбіт / с, потужність впливу при використанні серверів зростає до 150 разів;
  • Надійність - сервера надають набагато більшу надійність роботи в порівнянні з домашніми ПК. Домашні ПК часто вимикаються або йдуть в оффлайн, так що зловмисники змушені захоплювати більшу кількість комп'ютерів, ніж насправді потрібно для атаки. Сервери, з іншого боку, завжди знаходяться в онлайні і доступні для участі в атаці.
  • Керованість - контроль невеликого числа високодоступних серверів виключає безліч складнощів, пов'язаних з обслуговуванням тисяч ненадійних комп'ютерів бот-мережі.

Але, не дивлячись на те, що інфраструктура бот-мережі з серверів дуже ефективна, вона призводить до деяких складнощів для зловмисників в порівнянні з використанням домашніх комп'ютерів:

  • Відстеження. Набагато простіше відстежити та ідентифікувати групу або особу тих, хто стоїть за атаками на основі серверів, ніж особистості власників домашніх комп'ютерів, так як сервера надають кращу і більш доступну звітність. Також системам придушення атак простіше блокувати DoS, що йде з невеликого відслідковується списку зловмисників, в порівнянні з широко-розподіленої бот-мережею.
  • Моніторинг продуктивності. Через те, що продуктивність серверів постійно відстежується, і власники зазвичай платять за трафік, який вони генерують, визначити сервер набагато простіше, якщо він відправляє значний трафік, виступаючи як частина атаки.
  • Захищена середу. Сервера зазвичай розташовані в контрольованій і захищеною ІТ-середовищі, в так званих «серверних господарствах». Таке середовище з високою ймовірністю містить програмну захист (таку, як антивіруси) і системи захисту мережі (такі, як фаєрволи або IPS), які з більшою ймовірністю виявляють і блокують атаку.
  • Високі початкові вимоги. Використання бот-армії, що базується на серверах, вимагає великого досвіду в атаках. Наприклад, бот-мережі, що складаються з домашніх комп'ютерів, можна легко купити на чорному ринку, або ж вони можуть бути зламані з використанням добре відомих методів атаки. Сервера ж зажадають більш досконалої, спеціально підготовленої атаки. В цілому атаки, що йдуть з бот-мережі, заснованої на серверах, можуть являти собою більш серйозного ворога.

Деякі питання щодо використання бот-мереж з серверів все ще залишаються відкритими. Наприклад, зловмисники платять сервісів онлайн-хостингу для використання їх серверів або ж вони використовують «розумні» атаки для злому серверів? Якщо сервера насправді зламуються, то які методи атаки використовуються? Які методи використовуються для координації атак? І, нарешті, найцікавіше питання - хто вони, зловмисники, які використовують серверні бот-мережі? Хакери-активісти, атакуючі з політичних міркувань? Кримінальні структури з фінансовими мотивами? Або, можливо, це навіть уряду, які ініціюють кібервійни?

Можливості програмно-апаратного комплексу Radware Attack Mitigation System

Захист інфраструктури додатків вимагає розгортання безлічі попереджувальних засобів. Radware Attack Mitigation System (AMS) - рішення для відображення мережевих атак і атак на додатки в режимі реального часу, яке захищає інфраструктуру додатків і мережі від експлуатації вразливостей, поширення шкідливих програм, крадіжки інформації, атак на веб-сервіси та deface / спотворення веб- сайтів.

Radware Attack Mitigation System включає три рівні:

  • Рівень захисту - Набір модулів, що включає в себе: захист від DoS-атак, NBA, IPS, репутаційний механізм і WAF для повноцінного захисту мереж, серверів і додатків від відомих і нових загроз мережевої безпеки;
  • Управління ризиками безпеки - вбудований механізм SEIM збирає і аналізує події від всіх модулів для надання огляду ситуації на рівні підприємства;
  • Служба швидкого реагування (ERT) - складається з професійних фахівців-експертів, які надають цілодобове термінове обслуговування замовників з протидії DoS-атак для відновлення мережі і роботи послуг.

Малюнок 1. Модулі захисту Radware Attack Mitigation System

Модулі захисту Radware Attack Mitigation System

У порівнянні з автономними рішеннями, поєднання безлічі модулів захисту в єдиній системі з повним звітом дозволяє більш ефективно протидіяти зловмисникам.

Модулі захисту AMS

AMS включає в себе п'ять модулів захисту, всі вони оптимізовані для онлайн-бізнесу і дата-центрів, розроблені для інтеграції в існуючі системи. Також AMS може з легкістю вписуватися в сервісну структуру операторів з надання послуг безпеки (MSSP - Managed Security Services Providers).

Захист від DoS - протидія всім типам мережевих DDoS-атак, включаючи:

  • UDP-флуд-атаки;
  • SYN-флуд-атаки;
  • TCP-флуд-атаки;
  • ICMP-флуд-атаки;
  • IGMP-флуд-атаки;
  • нестандартні флуд-атаки.

NBA - модуль аналізу мережевого поведінки запобігає нецільове використання ресурсів додатків і раптове поширення шкідливих програм. Захищає від наступних атак:

  • флуд-атака на HTTP-сторінки;
  • DNS-флуд-атаки;
  • SIP-флуд-атаки;
  • брутфорс-атаки;
  • сканування мережі та портів;
  • поширення шкідливих програм.

IPS - цей модуль захищає від:

  • вразливостей додатків і експлойтів;
  • вразливостей і експлойтів операційної системи;
  • вразливостей мережевої інфраструктури;
  • шкідливих програм, таких як хробаки, боти, троянів, шпигунів;
  • анонімайзерів;
  • IPv6-атак;
  • аномалій протоколів;
  • повільних атак.

Репутаційний механізм - захищає від фінансового шахрайства, троянів і фішингових атак. Ця функціональність заснована на сторонніх сервісах аналізу репутаційних даних IP-адрес.

WAF - захисний екран для веб-додатків, що протидіє всім типам атак на веб-сервери, таким як:

  • XSS;
  • впровадження SQL-коду;
  • уразливості веб-додатків;
  • CSRF;
  • підміна cookies, впровадження в сесії, прямий злом;
  • та інші

Сучасні технології безпеки

Radware AMS використовує безліч технологій для надання комплексного захисту від атак для онлайн-бізнесу, дата-центрів і мереж:

  • модуль захисту від DoS-атак Заснований на декількох технологіях: розпізнавання сигнатур, дінамічні сигнатури, засновані на поведінці в реальному часі, Механізм для SYN- cookies, Який відхіляє Нові нелегітімні Предложения на встановлення новой Сесії з серверами;
  • NBA-модуль вікорістовує запатентований технологію сигнатур, Заснований на аналізі поведінкі в реальному часі. ВІН створює Критерії нормальної поведінкі мережі, Додатків и Дій Користувачів. Коли віявляється аномальна поведінка, воно візначається як атака, NBA-модуль створює в реальному часі сигнатуру, яка вікорістовує характеристики атаки и начинает Негайно блокуваті атаку. У разі мережевих DDoS-атак ВІН передает сигнатуру реального часу в спеціалізоване апаратно забезпечення, звільняючі НАВАНТАЖЕННЯ НА ОСНОВНІ процесор и прібіраючі небажаним трафік;
  • IPS-модуль Заснований на технології розпізнавання Вже відоміх сигнатур, з періодічнім оновлення сигнатур и критично оновлення в разі Виявлення Нових відів атак з підвіщенім ризики! Застосування;
  • Репутаційній Механізм предлагает сервіс в режімі реального часу, что протідіє троянам и фішінгу та націленій на боротьбу з фінансовим Шахрайство, крадіжкою информации, а такоже Поширення шкідливих програм;
  • WAF предлагает запатентований технологію создания и ПІДТРИМКИ політик безпеки для найбільш широкого покриття об'єктів безпеки з найбільш низьких рівнем помилковості спрацьовувань и необхідності втручань. Модуль автоматичного створення політик WAF аналізує безпеку щодо атрибутів захищається веб-додатки і обчислює потенційні загрози в додатку. Веб-додаток розбирається на карту зон додатки, кожна з яких має свої часті потенційні загрози. Потім генерує правила гранульованої захисту для кожної зони і, коли процес оптимізації завершується, встановлює режим політики блокування, що зводить до мінімуму кількість помилкових спрацьовувань при забезпеченні найкращої безпеки.

Управління ризиками безпеки

Вбудована SIEM-система надає картину безпеки на рівні підприємства і доступний для оцінки статус з єдиної консолі. Дані, що надходять з багатьох джерел, збираються і оцінюються, відбиваючись на екрані і в звітах. Ця картина має всебічним охопленням при простоті її відображення у вигляді дерева, що дозволяє користувачам отримати швидкий доступ до інформації для ідентифікації відбуваються інцидентів, пропонує аналіз причин, що покращує взаємодію між командами NOC і SOC, а також прискорює рішення інцидентів, пов'язаних з безпекою.

Малюнок 2. Управління ризиками безпеки в Radware Attack Mitigation System

Управління ризиками безпеки в Radware Attack Mitigation System

Повна відповідність вимогам підприємств і інструкцій

SIEM надає перевірку повної відповідності стандартам підприємства, інструкціями та бізнес-процесів, здійснюючи професійний аудит і повноцінне відображення ситуації по всьому підприємству. Система гарантує необхідне розмежування службових обов'язків, збір інформації, конфігурація і аудит операцій, відповідних бізнес-процесів, інструкцій і стандартів інформаційної безпеки (PCI DSS, SOX, HIPAA і т.д.).

Управління всім життєвим циклом попереджень

SIEM пропонує IT-менеджерам багатий набір інструментів для управління попередженнями (доступність, продуктивність, безпеку і так далі) в їх інфраструктурі. Попередження управляються з моменту їх виникнення (стадія ідентифікації), під час розгляду, аналізу, рішення і перевірки, - до тих пір, поки проблема не вирішиться, і не будуть підведені підсумки.

Малюнок 3. Звітність в Radware Attack Mitigation System

Звітність в Radware Attack Mitigation System

Служба швидкого реагування (ERT)

Radware AMS надає одне з кращих в галузі засобів захисту від різних видів атак для онлайн-бізнесу і дата-центрів. При цьому більшість переваг продукту проявляється вже при настройках за умовчанням, що задаються виробником.

Через те, що зловмисники з кожним днем ​​стають більш витонченими, існує шанс, що вони запустять нову форму або тип атаки, на яку AMS при настройках за умовчанням не спрацює. Для таких випадків, які відбуваються не так часто, користувачеві буде потрібно провести аналіз трафіку атаки і налаштувати правила захисту вручну.

Проте, не всі користувачі мають знання та досвід, які дозволяють налаштувати правила безпеки в реальному часі, коли відбувається атака. Служба швидкого реагування Radware (ERT) створена для надання замовникам цілодобового сервісу експертизи безпеки, практичної допомоги у відбитті атаки, успішного захисту мережі від кібератак.

Устаткування, на якому базується функціонал AMS

Radware AMS заснована на наступних рішеннях:

  • DefensePro - з модулями захисту анти-DoS, NBA, IPS і репутаційних механізмом;
  • AppWall - Radware Web Application Firewall (WAF);
  • APSolute Vision - рішення Radware для управління, яке включає в себе розширений варіант SIEM для звітів з безпеки, визначення, попередження, а також менеджмент відповідності.

Малюнок 4. Програмно-апаратні комплекси Radware, що підтримують функціонал Radware Attack Mitigation System

Програмно-апаратні комплекси Radware, що підтримують функціонал Radware Attack Mitigation System

Висновок

Кіберактівісти і фінансово мотивовані зловмисники стають більш витонченими. Вони вводять в дію атаки, пов'язані з множинними слабкими місцями в мережі, які роблять їх відображення практично неможливим. Жоден інструмент або рішення не ефективні проти всього спектра атак, які націлені на кожен шар ІТ-інфраструктури - шар мережі, шар серверів і шар додатків.

При використанні Radware Attack Mitigation System онлайн-бізнес, дата-центри і сервіс-провайдери можуть забезпечити безперервність бізнес-процесів і продуктивність завдяки наступним перевагам рішення:

  • Рішення, яке дійсно захищає від раптових кібератак, націлених на всі верстви ІТ-інфраструктури;
  • Служба швидкого реагування (ERT) надає швидку допомогу клієнтам при атаках;
  • AMS вимагає невисоких операційних і капітальних витрат.

Отримати Глобальний звіт Radware з безпеки мереж і додатків за 2012 р

Наприклад, зловмисники платять сервісів онлайн-хостингу для використання їх серверів або ж вони використовують «розумні» атаки для злому серверів?
Якщо сервера насправді зламуються, то які методи атаки використовуються?
Які методи використовуються для координації атак?
І, нарешті, найцікавіше питання - хто вони, зловмисники, які використовують серверні бот-мережі?
Хакери-активісти, атакуючі з політичних міркувань?
Кримінальні структури з фінансовими мотивами?
Або, можливо, це навіть уряду, які ініціюють кібервійни?

Новости