Hogyan készüljünk fel egy DDoS-támadásra?

A sok forrásból indított (distributed) szolgáltatás meghiúsítást célzó (denial of service, DoS, egyben DDoS) támadások enyhítésére érdemes komplex lépésekkel felkészülni. Ez a cikk tanácsokkal szolgál a megfelelő védelem kialakításához.

Egy DDoS-támadás valószínűsége körülbelül annyira biztos, mint az adófizetés vagy – morbid hasonlattal élve – a halál eljövetelének valószínűsége: előbb-utóbb bekövetkezik. Éppen ezért érdemes előre felkészülni arra a helyzetre, hogy valaki(k), valamikor, véletlenül vagy szándékosan, de támadni fog(nak) minket ezzel a módszerrel. Mindegy, hogy online aktivista-e (hacktivista) az illető, aki épp akciózik, vagy bűnözői körök, akik egy adatlopást akarnak álcázni egy DDoS-támadás keltette „füsttel”, de akár a szélén, akár a célpont közepén állunk, ha nem vagyunk kellően felkészülve, komoly gondjaink lehetnek. Érdemes tehát végigmenni a következő lépéseken, hogy kevésbe érjen minket váratlanul, ha bekövetkezik az elkerülhetetlen!

Mérd fel magad, ismerd meg a kitettségeidet!

A védekezés első lépése, hogy készítsünk egy listát az összes, kifelé is látszó rendszerünkről. Fizikai helyszínek, irodák, adatközpontok, szerverek, alkalmazások, IP-címek és alhálózatok, subdomainek és domainek, mind potenciális támadási célpontok. Ezeknek az elemeknek a térképe szépen megmutatja a teljes támadási felületünket. De használhatunk erre a célra fejlesztett céleszközt is, ami segít a támadási felületünk felmérésében, és akár a menedzsmentjében is, mint pédául a Palo Alto Networks remek Xpanse megoldása. 

Mérd fel a DDoS-támadásból származó lehetséges károkat!

Ennél a pontnál nem szabad elfelejteni, hogy nem kizárólag direkt károkról beszélhetünk, hanem bizonyos kitettségeink másodlagos veszteségeket is okozhatnak, például amikor a munkatársaink produktivitása egy rendszer kiesése miatt nullára csökken. A populáris példa itt egy e-kereskedelmi weboldal lenne, ahol konkrétan meg tudjuk mondani, hogy egy napi, órányi percnyi szolgáltatás-kiesés mekkora bevételkiesést is okoz valójában. Sokkal nehezebb, de nem lehetetlen meghatározni egy önkormányzat, szervezet vagy a támadás miatt éppen nem termelő vállalat potenciális kárát, veszteségét. Persze ez sem lehetetlen, elég ha a dolgozói állomány kiesésre vetített költségeivel számolunk alaphangon. A lehetséges károk között ne felejtsük el megemlíteni és beleszámolni az ügyfélvesztést, a vállalat imázsában, brandjében bekövetkező károkat vagy a kiesésből fakadó esetleges szerződésszegésekből fakadó veszteségeket sem. Ezeket a számításokat célszerű az első pont szerint feltérképezett kitettségeinkhez kapcsolni, hogy később meg tudjuk határozni a védekezés prioritásait.

Határozd meg a felelősségi köröket!

Ha megvan az érintett rendszerek, vagyontárgyak és értékek térképe, valamint a hozzájuk rendelt, feltételezett károk nagysága is, akkor érdemes az egyes elemekért felelős kollégákat is kinevezni, bevonni a védekezés megtervezésébe. Hálózatüzemeltetés, alkalmazásgazda, létesítmény vezetők, biztonsági és adatvédelmi felelősök mind-mind érintettek lehetnek. Nem célszerű kihagyni senkit, legyintve, hogy „nem az ő asztala” vagy „úgysem érdekli”, mert pont az ilyen lefedetlen résekből adódhatnak később a legnagyobb problémák.

A támadást észlelni is kell!

Ha megvan, hogy kiket érinthet a védekezés, milyen elemeket, mekkora kárral érinthet a támadás, a következő lépésünk a támadás észlelésének és jelzésének a megtervezése. Fel kell állítanunk különböző megfigyelési pontokat, ahol észleljük a bajt, és riasztást, jelzést kaphatunk, ha támadnak minket bármilyen fronton. Senki sem szeretné, ha az ügyfelektől – pláne nem a felső vezetéstől vagy a tulajdonosi körtől – kapná az első jelzést arról, hogy valami nem működik rendesen. Ezeket a pontokat meghatározhatjuk hálózati és alkalmazás szintjén is, a leghatékonyabb pedig az, ha minden réteget figyelünk az oda leginkább megfelelő metódusokkal.

Alakítsuk ki a DDoS-védelmet!

Az elosztott szolgáltatásmegtagadásos támadások elleni védekezés nem működik konfekció alapokon, nincs ideális „méret” mindenkinek. Testre szabott megoldásra van szükség, ami az előző pontok alapján meghatározható, kockázatarányos védelmet biztosít. Itt külön kitérnék a védelem és az enyhítés szavak jelentése közötti különbségre. Teljes cégre, szervezetre kiterjedő, minden ellen (is) jó, teljes körű védelem nem létezik, ezért szeretjük a szakmailag sokkal helytállóbb és pontosabb enyhítés (mitigáció) kifejezést használni, ha DDoS-ról beszélünk.

A leghatékonyabb, ha úgynevezett hibrid rendszerben gondolkozunk: elkerülendő a bejövő sávszélességünk telítődését, szaturációját esetleg egy szolgáltatói (a mi nézőpontunkból felhős) megoldást egy helyben telepített rendszerrel egészítünk ki. A Radware AMS (attack mitigiation system) nemcsak védelmi, hanem a riasztásokat megfelelő pontossággal generáló alkalmazástűzfal és DDoS mitigáló eszköz komponenseket is tartalmazhatja, de választhatunk csak támadás esetén aktivizálódó (on-demand) felhős tisztító rendszert is kiegészítésképpen, vagy esetleg olyat, ami állandóan bekapcsolt üzemmódú, always-on típusú szolgáltatás. Ha netán a szolgáltatónk (vagy a megfelelő állami ernyőszervezet) rendelkezik saját tisztítóközponttal (scrubbing center), akkor jó megoldás lehet kiegészítésként helyben telepített, appliance alapú megoldásban gondolkodni, akár szolgáltatás formájában igénybe véve, mert így az elengedhetetlen észlelés, jelzés, riasztás funkciók sokkal inkább testre szabhatók és felgyorsíthatók, ami a manapság szokásos rövid, akár 30-40 másodperces vagy még rövidebb támadási hullámok esetén kulcsfontosságú tényező.

A fentiek nem fognak minket megmenteni attól, hogy szándékos vagy véletlen támadás áldozati legyünk, de lelkiismeretesen, lépésről lépésre követve a leírtakat, észszerű szintre lehet enyhíteni a hatásokat, és felkészülni a helyzetre, amikor bekövetkezik az elkerülhetetlen.

A cikk szerzője Csinos Tamás,

A Clico Hungary country managere

A blogbejegyzés az IT Business 2019. október 7-i cikkének átdolgozott változata