Interjú: középpontban a szolgáltatásmegtagadási támadások

Az elosztott szolgáltatásmegtagadási támadások komoly károkhoz vezethetnek: vállalatokat, szervezeteket béníthatnak meg. A védekezés nem könnyű feladat, és alapos átgondoltságot igényel.
 

Az idei Hacktivity konferencián Jochanan Sommerfeld, a Comsec igazgatója az elosztott szolgáltatásmegtagadási támadásokról tartott előadást, és azt ecsetelte, hogy alapvető védelmi hiányosságok kihasználásával jelentős hatással bíró incidensek következhetnek be. A szakembert az esemény apropóján arról kérdeztük, hogy e támadások milyen módon veszélyeztethetik a rendszereket, szolgáltatásokat, és miként lehet fellépni ellenük.

Biztonságportál: A biztonsági statisztikák szerint az elosztott szolgáltatásmegtagadási támadások száma és intenzitása folyamatosan emelkedik. Ön milyen trendeket lát ennek kapcsán?
Jochanan Sommerfeld: A DDoS-támadások mennyisége csakugyan folyamatosan növekszik, de az elmúlt egy év során e támadások átlagos intenzitása csökkent. Azt látjuk, hogy ezen incidensek egyre hosszabb ideig tartanak, és mind szofisztikáltabbá, dinamikusabbá válnak. Amennyiben pedig az elkövetők korszerű védelmi megoldásokkal találják szembe magukat, akkor bevetik a saját protokolljaikat, és alkalmazás szintű támadásokat hajtanak végre annak érdekében, hogy meg tudják kerülni a kockázatcsökkentő technológiákat.


Biztonságportál: Mely szolgáltatások (alkalmazások, protokollok) vannak leginkább kitéve az e fajta támadásoknak? 
J. S.: A célkeresztbe állított szervezetekhez hasonlóan maguk a támadók is gazdaságossági elvek alapján dolgoznak. Az infrastruktúrákat veszélyeztető támadásaik jóval kevesebb beruházást és előkészületet igényelnek, ezért továbbra is ezek az incidensek adják a DDoS fő csapásirányát. Napjainkban különösen a SYN&SSDP (Simple Service Discovery Protocol) típusú károkozások hódítanak, amelyekbe akár otthoni eszközök is bevonhatók. Korábban inkább az NTP és a DNS alapú támadások domináltak, azonban ezek ma már némileg ritkábban ütik fel a fejüket, köszönhetően e szolgáltatások tudatosabb konfigurálásának.

Biztonságportál: A hálózat- vagy az alkalmazásszintű DDoS jelent nagyobb kihívást?
J. S.: Ahogy azt  említettem, az alkalmazásszintű támadások nagyobb beruházást igényelnek az elkövetői oldalon, ugyanakkor ezek ellen nehezebb védekezni. A legtöbb kockázatcsökkentő technika erőteljesen küzd azért, hogy ezeket az incidenseket képes legyen felismerni, illetve megkülönböztetni a normál hálózati adatforgalomtól.  E támadások az esetek többségében hagyományos "HTTP GET" kérésekkel valósulnak meg, és emésztik fel a rendelkezésre álló erőforrásokat.
 
Biztonságportál: Mely szektorokat érinti leginkább az elosztott szolgáltatásmegtagadási támadások kockázata?
J. S.: Az online játékipar már évek óta a legjelentősebb célpont. A leggyakrabban célkeresztbe állított szervezetek sorában a szoftverfejlesztő vállalatok, a felhős szolgáltatók, valamint a pénzügyi intézmények következnek.

Biztonságportál: Általában kik vagy milyen csoportok állnak a DDoS-támadások mögött?
J. S.: A legtöbb DDoS támadás forrása Kína, az Egyesül Államok, Nagy-Britannia és Németország. Eközben az USA-ban működő szervezeteket sújtja a legtöbb ilyen jellegű incidens. Léteznek olyan alvilági DDoS-szolgáltatások, amelyek robothadseregek bevetésével azonnali és viszonylag olcsó támadási megoldást jelentenek az elkövetők számára.

Biztonságportál: Milyen intézkedésekkel, eszközökkel lehet védekezni a DDoS ellen?
J. S.: A DDoS támadások kockázatainak csökkentésére alkalmas eszközök használata önmagában nem elégséges. Arra biztatjuk a szervezeteket, hogy aktív megközelítést alkalmazzanak azért, hogy fel tudjanak készülni a támadásokra. A legtöbb vállalat rendelkezik olyan eljárásokkal, amik definiálják, hogy egy incidenst miként kell kezelni. Ennek ellenére, amikor egy támadás bekövetkezik, akkor csődöt mondanak az időben történő detektálás tekintetében, és amikor felismerik, illetve kategorizálják az incidenst, akkor nem annak megfelelően cselekszenek.

Hasonlóan sok más területhez, ez esetben is a felkészülés az első lépés. Az egyik legfontosabb az oktatás. A képzések során szerzett tudás pedig felhasználható a megfelelő hálózati architektúra kialakításához, a hálózati eszközök konfigurálásához, és a szolgáltatókkal kötendő SLA szerződések összeállításához is. A Comsec mindehhez egy olyan DDoS-szimulációs szolgáltatást nyújt, amely e célok elérését segíti elő.

Biztonságportál: Mit lehet tanulni a DDoS szimulációkból?
J. S.: A legtöbb szervezet a védelem oldalát ismeri, és csak kevesen vannak, akik a támadók szemszögéből is képesek szemlélni a világot. Először is azt kell megtanulni, hogy a DDoS kockázatainak csökkentésére szolgáló eszközöket nem elég csak csatlakoztatni és telepíteni, hanem azokat üzemeltetni is kell. Számos ügyfelünk biztos abban, hogy a weboldala folyamatosan tud működni, de a valóságban egyre több weblap áll le. Volt olyan pénzintézet, amelyet mindössze tíz bot meg tudott bénítani. Amikor az ügyfeleinknél végzünk felülvizsgálatokat, akkor sokszor az derül ki, hogy egy sor védelmi rendszerrel rendelkeznek, mégis számos gyenge pont veszélyezteti őket. 

Vannak, akik a DDoS-szimulációs szolgáltatásokat már három éve használják, és negyedévente újabb vizsgálatokat végeznek különféle módszerekkel, különböző alkalmazásokon. Jó látni, hogy e szervezetek miként fejlődnek: míg kezdetben a legegyszerűbb SYN-flood is gondot okozott számukra, addig mára már komplex, alkalmazásszintű támadásokkal is megbirkóznak.

Biztonságportál: Mit javasol a biztonsági vezetők számára?
J. S.: Miközben a legtöbb támadás kockázata csökkenthető, aközben a napjainkban elérhető technológiák megkövetelik, hogy az üzemeltetők pontosan értsék azok működését, illetve alaposan ismerjék a hálózataikat, alkalmazásaikat. Egy keretrendszer nélkül még egy jól kiforrott technológia sem képes kellő mértékben helytállni. A biztonsági vezetőknek életciklus alapú megközelítést kellene alkalmazniuk, és nagy hangsúlyt kellene helyezniük a tesztelésekre, valamint a szimulációkra.