Με αφορμή την έκδοση της 10ης Ετήσιας Παγκόσμιας Έκθεσης Ασφαλείας Υποδομών της Arbor Networks ο Ivan Straniero (Territory Manager for Italy and SE Europe)μας παραχώρησε συνέντευξη αναλύοντας τα ποσοτικά και ποιοτικά χαρακτηριστικά των επιθέσεων DDoS, ξεδιαλύνοντας παράλληλα τους μύθους σχετικά με τους τρόπους αντιμετώπισης τους.
Σε ποιους παράγοντες κατά τη γνώμη σας οφείλεται η πολύ μεγάλη αύξηση των επιθέσεων DDoS την προηγούμενη χρονιά, όπως καταγράφεται και από την 10η Ετήσια Παγκόσμια Έκθεση Ασφαλείας Υποδομών της Arbor Networks;
Υπάρχουν αρκετοί λόγοι που οδήγησαν στην αύξηση της συχνότητας των επιθέσεων DDoS. Στη σημερινή εποχή υπάρχει μια μεγάλη γκάμα εργαλείων τα οποία επιτρέπουν στον καθένα να εξαπολύσει μια επίθεση απλοποιώντας ιδιαίτερα τη διαδικασία. Με μια απλή αναζήτηση στο Ιντερνέτ μπορεί κάποιος να κατεβάσει κυριολεκτικά εκατοντάδες εργαλεία που κάνουν την διαδικασία σχετικά απλή. Δεν χρειάζεται πλέον να έχει κάποιος εξειδικευμένες γνώσεις για να ξεκινήσει μια επίθεση DDoS. Επιπλέον, υπάρχουν κακόβουλοι οργανισμοί που διαθέτουν υπηρεσίες για επιθέσεις DDoS και έναντι ενός μικρού τιμήματος μπορούν να εξαπολύσουν μια επίθεση για κάθε ενδιαφερόμενο. Οι συγκεκριμένοι οργανισμοί λειτουργούν όπως και οι νόμιμες διαδικτυακές επιχειρήσεις προσφέροντας επιλογές τιμολόγησης για επιθέσεις με διαφορετικά μεγέθη και διαφορετική διάρκεια, ενώ ορισμένες από αυτές προσφέρουν ακόμα και συμβάσεις παροχής υπηρεσιών.
Το μέγεθος των επιθέσεων DDoS αυξήθηκε σημαντικά κατά τη διάρκεια της προηγούμενης χρονιάς. Το 2014, οι πιο ικανοί εισβολείς ξεκίνησαν να εκμεταλλεύονται τις δυνατότητες reflection/amplification στοιχείων υποδομής όπως domain name servers (DNS) και network time protocol (NTP), προκειμένου να εξαπολύσουν ιδιαίτερα υψηλού όγκου επιθέσεις.
To κύριο χαρακτηριστικό των επιθέσεων DDoS κατά τη διάρκεια του πρώτου εξαμήνου του 2014 ήταν ο όγκος. Για πρώτη φορά, το παγκόσμιο σύστημα πληροφοριών ATLAS ανέφερε περισσότερες από 100 επιθέσεις άνω των 100 GB/sec. Σημειώστε επίσης ότι οι επιθέσεις που κινήθηκαν στην κλίμακα των 20 GB/sec ήταν διπλάσιες σε σχέση με το 2013.
Οι επιθέσεις με τη χρήση τεχνικής NTP reflection κυριάρχησαν κατά την ίδια περίοδο. Όπως όμως συμβαίνει συχνά, οι εισβολείς άλλαξαν τη μεθοδολογία και τις τεχνικές που χρησιμοποιούσαν. Αυτό το στοιχείο εξηγεί γιατί οι επιθέσεις DDoS παραμένουν ένας αποτελεσματικός τύπος επίθεσης για πάρα πολλά χρόνια.
Κατά το τρίτο τρίμηνο του 2014 οι εισβολείς άλλαξαν τακτική και άρχισαν να αξιοποιούν το Simple Service Discovery Protocol (SSDP) για να ενισχύσουν το μέγεθος των επιθέσεων. Το στοιχείο που παρουσιάζει ενδιαφέρον είναι ότι κατά τη διάρκεια του δευτέρου τριμήνου του 2014 δεν υπήρξε ουσιαστικά καμία επίθεση που να εκμεταλλεύεται το SSDP port (port 1900). Αντιθέτως, κατά τη διάρκεια του τρίτου τριμήνου του 2014, το ATLAS κατέγραψε σχεδόν 30.000 επιθέσεις τέτοιου τύπου.
Ποια είναι τα ποιοτικά χαρακτηριστικά των επιθέσεων DDoS σήμερα; Τι μεθοδολογίες χρησιμοποιούνται στις επιθέσεις, που στοχεύουν κυρίως και ποια τα κίνητρα τους;
Όταν εμφανίστηκαν οι επιθέσεις DDoS στις αρχές του 2000, είχαν τη μορφή μιας επίθεσης βασικού τύπου που προσπαθούσε να κατακλύσει συνδέσεις στο Internet με κίνηση. Σήμερα όμως περιλαμβάνουν μια σειρά επιθέσεων οι οποίες στοχεύουν όχι μόνο στο bandwidth της σύνδεσης, αλλά σε πολλαπλές συσκευές οι οποίες απαρτίζουν τις υποδομές ασφαλείας μιας επιχείρησης όπως τα Firewall/IPS, καθώς και μια σειρά από εφαρμογές στις οποίες βασίζεται η επιχείρηση όπως οι HTTP, HTTPS, VoIP, DNS και SMTP.
Οι επιθέσεις DDoS ποικίλουν, ενώ υπάρχουν χιλιάδες διαφορετικοί τρόποι με τους οποίους μπορούν να πραγματοποιηθούν. Μιλώντας γενικότερα όμως, μια επίθεση DDoS θα εμπίπτει σε μια από τις παρακάτω γενικές κατηγορίες:
Ογκομετρικές Επιθέσεις: Οι συγκεκριμένες επιθέσεις προσπαθούν να καταναλώσουν το bandwidth είτε εντός του δικτύου στόχου/υπηρεσίας είτε μεταξύ του δικτύου στόχου/υπηρεσίας και του Διαδικτύου. Στόχος τους είναι να προκαλέσουν απλά συμφόρηση στο στόχο.
Επιθέσεις TCP State-Exhaustion: Αυτού του τύπου οι επιθέσεις προσπαθούν να καταναλώσουν τα connection state tables τα οποία βρίσκονται σε υποδομές όπως στους load-balancers, στα firewalls και στους διακομιστές εφαρμογών (application servers). Αυτές οι επιθέσεις μπορούν να θέσουν εκτός λειτουργίας ακόμα και συσκευές υψηλής χωρητικότητας (capacity) οι οποίες μπορούν να διαχειριστούν εκατομμύρια συνδέσεων.
Επιθέσεις στο επίπεδο της εφαρμογής: Οι συγκεκριμένες επιθέσεις έχουν ως στόχο κάποια από τα στοιχεία της εφαρμογής ή υπηρεσίας στο Layer-7. Αποτελούν τον πιο καταστροφικό τύπο επιθέσεων καθώς μπορούν να αποβούν άκρως αποτελεσματικές χρησιμοποιώντας ακόμα και μια μόνο επιτιθέμενη συσκευή η οποία δημιουργεί κίνηση σε χαμηλούς ρυθμούς (αυτό το στοιχείο κάνει την προληπτική ανίχνευση και αντιμετώπιση αυτού του τύπου των επιθέσεων πολύ δύσκολη). Οι επιθέσεις αυτές έχουν επικρατήσει τα τελευταία 3 – 4 χρόνια και αποτελούν μια από τις πιο κοινές μορφές επίθεσης DDoS που αντιμετωπίζουμε σήμερα.
Σε αυτές τις τρείς κατηγορίες, οι φορείς που επιλέγονται για να εξαπολυθεί η επίθεση εξελίσσονται διαρκώς. Έχει παρατηρηθεί μια δραματική αύξηση χρήσης καινοτόμων τεχνικών από την πλευρά των εισβολέων. Στις μέρες μας, η πιο δημοφιλής τάση αφορά τις επιθέσεις που συμβαίνουν ταυτόχρονα από πολλαπλούς φορείς. Αυτές συνδυάζουν στοιχεία από ογκομετρικές επιθέσεις, επιθέσεις TCP state-exhaustion και επιθέσεις στο επίπεδο της εφαρμογής σε μια ενιαία, διαρκής επίθεση. Αυτές οι επιθέσεις είναι δημοφιλείς σήμερα γιατί είναι δύσκολο να αντιμετωπιστούν ενώ είναι και άκρως αποτελεσματικές.
Θα μπορούσατε να μας περιγράψετε το προφίλ των εισβολέων σήμερα; Λειτουργούν μόνοι τους ή σε ομάδες; Πως ανταλλάσουν πληροφορίες και τι εργαλεία χρησιμοποιούν ;
Όπως αναφέρθηκε και προηγουμένως, ακόμα και αρχάριοι μπορούν να ξεκινήσουν μια επίθεση DDoS, χρησιμοποιώντας άμεσα διαθέσιμα εργαλεία. Τα εργαλεία αυτά αξιοποιούνται επίσης από ιδιαίτερα ικανούς εισβολείς προκειμένου να εξαπολύσουν μια συντονισμένη επίθεση από πολλαπλούς φορείς, χρησιμοποιώντας διαφορετικές τεχνικές και στόχους κατά τη διάρκεια μιας ενιαίας επίθεσης. Επιπλέον, οι επιθέσεις DDoS που υλοποιούνται για λόγους αντιπερισπασμού κατά τη διάρκεια στοχευμένων κακόβουλων ενεργειών έχουν αυξηθεί, αφού χρησιμοποιούνται για να αποσπάσουν την προσοχή των ομάδων ασφαλείας, ενώ οι εισβολείς εισχωρούν στο δίκτυο από άλλο σημείο.
Η επικοινωνία μπορεί να εμπλέκεται σε όλα τα επίπεδα. Οι συζητήσεις που κάνουν οι gamers σε chat rooms για να παραγκωνίσουν άλλους gamers είναι ένα χαρακτηριστικό παράδειγμα χαμηλού επιπέδου. Παράδειγμα υψηλού επιπέδου αποτελεί η ανταλλαγή πληροφοριών ανάμεσα σε cyber criminals σχετικά με πιθανούς στόχους, τεχνικές και τακτικές επίθεσης. Η επικοινωνία και η ανταλλαγή πληροφοριών είναι κάποιοι από τους λόγους για τους οποίους οι επιθέσεις είναι τόσο επιτυχημένες. Είναι ένα στοιχείο που πρέπει να σημειωθεί από τη μεριά των επιχειρήσεων. Ο διαμοιρασμός πληροφοριών είναι ένα πολύ σημαντικό κομμάτι της ασφάλειας των δικτύων. Υπάρχουν κλάδοι οι οποίοι ακολουθούν καλύτερη τακτική από άλλους, με τους κυβερνητικούς και τους χρηματοπιστωτικούς οργανισμούς να βρίσκονται στην κορυφή της πυραμίδας αφού δείχνουν μεγαλύτερη προθυμία να μοιραστούν πληροφορίες. Η περισσότερο συχνή και με μεγαλύτερη συνέπεια ανταλλαγή πληροφοριών βοηθά σημαντικά όλες τις επιχειρήσεις.
Πως θα μπορούσαν λοιπόν σήμερα οι οργανισμοί να προστατεύσουν τα δίκτυα τους από τις εξελιγμένες επιθέσεις DDoS; Μας καλύπτουν τα παραδοσιακά μέτρα ή απαιτείται κάτι καινούργιο για την άμυνα των δικτύων ενός οργανισμού; Είναι μόνο θέμα τεχνολογίας ή παίζει σημαντικό ρόλο και ο ανθρώπινος παράγοντας και με ποιο τρόπο
Υπάρχουν αρκετοί «μύθοι» σχετικά με την αντιμετώπιση των επιθέσεων DDoS οι οποίοι βοηθούν τους εισβολείς. Ο πρώτος «μύθος» είναι ότι με τη χρήση της ήδη υπάρχουσας υποδομής άμυνας μπορούν οι επιχειρήσεις να προστατευθούν από επιθέσεις DDoS. Αυτή είναι μια λανθασμένη και επικίνδυνη εκτίμηση διότι μπορεί οι συσκευές IPS, τα firewall καθώς και άλλα προϊόντα ασφαλείας να αποτελούν μέρη μιας πολυεπίπεδης στρατηγικής άμυνας, έχουν όμως σχεδιαστεί για να αντιμετωπίζουν προβλήματα ασφαλείας τα οποία είναι τελείως διαφορετικά από εκείνα που επιλύουν τα προϊόντα που αναγνωρίζουν και αντιμετωπίζουν επιθέσεις DDoS. Οι συσκευές IPS για παράδειγμα αποτρέπουν τις προσπάθειες διάρρηξης οι οποίες έχουν σαν αποτέλεσμα την κλοπή δεδομένων. Εν τω μεταξύ, τα firewalls λειτουργούν με τέτοιο τρόπο έτσι ώστε να εμποδίζουν την μη εξουσιοδοτημένη πρόσβαση σε δεδομένα. Παρόλο που τα συγκεκριμένα προϊόντα ασφαλείας αντιμετωπίζουν αποτελεσματικά τα θέματα της «ακεραιότητας και εμπιστευτικότητας των δικτύων», αποτυγχάνουν να αντιμετωπίσουν ένα βασικό πρόβλημα το οποίο συνδέεται με τις επιθέσεις DDoS, αυτό της «διαθεσιμότητας των δικτύων». Επιπλέον, οι συσκευές IPS και τα firewalls αποτελούν «τοίχους προστασίας» και ευθύγραμμες λύσεις που σημαίνει ότι είναι ευάλωτες σε επιθέσεις DDoS ενώ συχνά γίνονται και οι ίδιες στόχοι επιθέσεων.
Ο δεύτερος «μύθος» σχετικά με την άμυνα από επιθέσεις DDoS αφορά την αντίληψη ότι εφόσον μια επιχείρηση είναι εγγεγραμμένη σε μια cloud-based υπηρεσία αντιμετώπισης επιθέσεων DDoS, είναι προστατευμένη από αυτές τις επιθέσεις. Αυτό όμως είναι η μισή αλήθεια. Η επιχείρηση θα προστατευθεί όντως από τις ογκομετρικές επιθέσεις. Ωστόσο δε θα είναι προστατευμένη από τις επιθέσεις που συμβαίνουν σε επίπεδο εφαρμογής και οι οποίες εμφανίζονται παντού στις μέρες μας. Για την ακρίβεια, το 90% των συμμετεχόντων στην πρόσφατη Παγκόσμια Έρευνα για την Ασφάλεια Υποδομών της Arbor, ανέφεραν επιθέσεις του συγκεκριμένου τύπου. Οι συγκεκριμένες επιθέσεις μπορούν να αντιμετωπιστούν στις εγκαταστάσεις τις επιχείρησης από purpose built συστήματα αντιμετώπισης επιθέσεων DDoS. Όπως αναφέρθηκε και παραπάνω, οι υπάρχουσες συσκευές όπως τα firewalls και IPS δεν είναι σχεδιασμένες για επιθέσεις DDoS και συχνά γίνονται οι ίδιες στόχος.
Ο καλύτερος τρόπoς άμυνας είναι η υιοθέτηση πολυεπίπεδων λύσεων οι οποίες συνδυάζουν προστασία βασισμένη στο cloud για της ογκομετρικές επιθέσεις με προστασία on premises για επιθέσεις που συμβαίνουν στο επίπεδο της εφαρμογής.
Συνέντευξη με τον Ivan Straniero
Territory Manager for Italy and SE Europe, Arbor Networks