Anty-DDoS

Atak DDoS (Distributed Denial of Service) to rodzaj ataku cybernetycznego, którego celem jest zablokowanie dostępu do określonej usługi lub strony internetowej poprzez zalewanie jej nadmiernym ruchem sieciowym pochodzącym z wielu różnych źródeł. Ataki DDoS są przeprowadzane przez grupy hakerów, którzy wykorzystują zainfekowane komputery (nazywane botami) do generowania złośliwego ruchu sieciowego, skierowanego na celowany adres lub adresy IP.

Atak DDoS można rozpoznać, dzięki zgłoszeniom o czasowych niedostępnościach lub błędach w firmowych systemach IT w Internecie. Symptomów wskazujących na atak DDoS może być więcej i jest to m.in. spadek wydajności sieci i serwerów, niestabilność środowiska czy zwiększona liczba błędów sieciowych. Jednoznaczną diagnozę o przeprowadzonym ataku DDoS można postawić monitorując i sprawdzając logi usług i ruchu sieciowego oraz (opcjonalnie) weryfikując dane z podwykonawcami systemów i dostawcami Internetu.

Atak DDoS to jedno z najczęstszych zagrożeń dla organizacji w Internecie. Z roku rok rośnie liczba ataków. Globalnie mówi się o ponad milionie ataków DDoS miesięcznie, czyli kilkudziesięciu tysiącach incydentów na dobę. Ze względu na położenie geopolityczne, polskie firmy i instytucje są w czołówce celów ataków z kilkoma tysiącami ataków dziennie. To, czy organizacja padnie bezpośrednio lub pośrednio ofiarą takiego ataku jest kwestią indywidualną i nieprzewidywalną.

Ochronę przed atakami DDoS powinna rozważyć każda organizacja, która posiada usługi lub strony internetowe, dostępne dla użytkowników online w trybie ciągłym. Ataki DDoS mogą mieć poważne konsekwencje dla ciągłości biznesu, takie jak utrata przychodów, zniszczenie reputacji czy też utrudnienie dostępu do usług. Ponadto, atak DDoS często wykorzystywany jest jako zasłona dymna dla innych cyberataków, których celem jest np. szpiegostwo przemysłowe czy wyłudzenie okupu (atak typu ransomware).

Na ataki DDoS szczególności narażone są organizacje działające w branży:

• e-commerce,
• gamingowej,
• finansowej,
• sektora publicznego,
• edukacji,
• medycznej.

Warto pamiętać, że nawet małe i średnie firmy mogą być celem ataków DDoS, dlatego każda organizacja powinna rozważyć zabezpieczenie swojej infrastruktury sieciowej przed tego typu atakami.

Skutki udanego ataku DDoS mogą być różne i zależą od skali oraz zaawansowania ataku, a także stopnia zabezpieczenia infrastruktury IT. Przykładowymi skutkami ataków DDoS są:

• brak dostępu do usług lub stron internetowych,
• utrata przychodów,
• utrata zaufania ze strony klientów, co skutkuje zniszczeniem reputacji firmy,
• utrata danych, szczególnie jeśli atak jest połączony z innymi rodzajami ataków.

Firewall, czyli system zabezpieczający sieć przed nieautoryzowanym dostępem, może chronić przed atakiem DDoS tylko w przypadku tzw. małych ataków DDoS (takich, które nie przeciążą urządzeń i łącz na drodze do firewall’a lub jego samego). Web Application Firewall (WAF) pod tym względem jest urządzeniem bardziej skutecznym, ale nieodpornym na ataki wolumetryczne w warstwie 3-4 modelu OSI. Żaden firewall sam nie jest w stanie skutecznie zabezpieczyć przed tego typu zagrożeniem.

Firewall filtruje ruch sieciowy kontrolując, które pakiety danych mogą przejść przez sieć, jednak nie jest w stanie skutecznie zablokować ruchu generowanego przez wiele tysięcy botów, jak ma to miejsce podczas ataku DDoS. Ponadto, przy atakach blokujących całkowicie łącze internetowe system firewall będzie nieskuteczny, bo ochrona anty-DDoS musi być realizowana przed urządzeniem w infrastrukturze atakowanej organizacji.

Kluczową cechą ataku jest jego wielkość, która z zasady przewyższa możliwości atakowanej infrastruktury, a często także możliwości ochrony dostawcy internetowego. Dlatego, aby ochrona DDoS była skuteczna, musi być zapewniona z zewnątrz (bliżej źródeł ataku) i w rozproszonej infrastrukturze chmurowej. Takie rozwiązanie oferuje usługa anty-DDoS w Beyond.pl. To, na co też należy zwrócić uwagę to czas odpowiedzi na atak (Time-To-Mitigate), która w przypadku ochrony opartej o rozproszone środowisko chmurowe jest dużo szybsza i celniejsza, niż reakcja podjęta w oparciu o własny monitoring sieci.

Uruchomienie ochrony anty-DDoS w Beyond.pl może nastąpić nawet w kilka godzin. Należy jednak pamiętać, że dla jej skuteczności usługa musi mieć czas na naukę specyfiki wykorzystania łącza, aby odróżniać zwyczajny ruch (pożądany) od ataku. Proces ten zajmuje około kilka tygodni. Ważne jest, aby dokładnie przeanalizować potrzeby swojej sieci i wybrać odpowiednie rozwiązanie, które będzie skuteczne i jednocześnie łatwe do uruchomienia. Zespół Beyond.pl pomaga w wyborze optymalnego rozwiązania, które będzie odpowiadać potrzebom biznesowym firmy.

Specyfika ataków DDoS powoduje, że nikt nie jest w stanie zapewnić 100% ochrony. W Beyond.pl stosujemy zabezpieczenia, które są akutalizowane na bieżąco w celu wykrywania i filtrowania wszystkich nowych typów i sposobów ataków. Ponadto działanie systemu jest monitorowane 24×7 przez zespół specjalistów SOC (Security Operation Center), tak aby zareagować na nietypowy atak, nawet jeśli system go samodzielnie nie wykryje. Tym samym ryzyko skutecznego ataku jest zminimalizowane.

Tak, usługa anty-DDoS oferowana przez Beyond.pl zapewnia wsparcie ekspertów SOC. Pracują oni w trybie 24×7 monitorując i reagując na incydenty bezpieczeństwa, takie jak ataki DDoS. To szczególnie istotne w przypadku nowych, niesklasyfikowanych typów ataków, wymykających się charakterystyce, na którą czułe są mechanizmy automatyczne.