• Množství DDoS útoků se zvyšuje a narůstá i jejich intenzita

    comsource logoProvozovatelé informačních systémů zpravidla věnují maximální pozornost zabezpečení perimetrické obrany, spočívající především v zabránění přístupu neoprávněných osob k uloženým údajům. Často však podceňují ohrožení útoky typu DDoS.

    V roce 2021 se počet uživatelů internetu zvýší ze současných 3,3 miliardy na 4,6 miliardy, přičemž k internetu bude připojeno přibližně 58 procent lidstva. Zároveň s tím bude také k internetu připojeno více než 27 miliard různých zařízení, z čehož polovinu budou představovat zařízení typu loT. Podle odhadů společnosti Cisco v roce 2021 na každého člověka připadne měsíčně 35,5 GB přenesených dat a průměrná rychlost připojení se zvýší ze současných 27,5 Mb/s na 53 Mb/s. Globální IP provoz by měl v roce 2021 dosáhnout 3,3 zettabytu. Pro srovnání, v roce 2016 činil globální IP provoz jen necelých 1,2 zettabytu. Zároveň se zvyšujícím se počtem uživatelů a připojených zařízení, se zvýší i počet DDoS útoků.

    V současné době představuje síla průměrného DDoS útoku přibližně 1,2 Gb/s, což je datový tok, který dokáže vyřadit z provozu sítovou infrastrukturu většiny organizací. Maximální síla DDoS útoků se každoročně zvyšuje, a to o více než polovinu. Z odhadovaného počtu kolem 5 milionů útoků, by v roce 2021 mělo nejméně 3,1 miliónů z nich dosahovat takové intenzity, aby vyřadilo síťovou infrastrukturu napadeného subjektu z provozu.

    K zvyšujícímu se počtu DDoS útoků přispívají svojí nezodpovědností i výrobci některých síťových zařízení. Např. používání bezpečnostních kamer čínského výrobce Foscam, prodávaných pod řadou různých značek, představuje poměrně vysoké bezpečnostní riziko, a to nejen pro jejich uživatele. Mezi nalezené zranitelnosti těchto kamer patří např. pevně zakódovaná či jednoduchá výchozí hesla, což umožňuje útočníkovi velmi snadno získat přístup k jejich ovládání. Další zranitelností je pak možnost vkládání příkazů útočníkem na dálku. Nezabezpečené soubory a adresáře s právem zápisu pak umožňují získání administrátorských práv s tím, že útočníkovi otevírají možnost prakticky libovolně měnit kód. Integrovaný firewall u těchto zařízení se navíc nechová jako firewall a odkrývá informace o platnosti přístupových údajů. Zmíněné zranitelnosti pak lze zneužít nejen k získání obrazu z těchto kamer, ale také k vytváření botnetů. Ty pak mohou sloužit jako zdroj DDoS útoků, nebo jako platforma pro těžbu bitcoinů.

    V případě DDoS útoků se často jedná o náhodné útoky bez konkrétního cíle, jejichž záměrem je vyřadit z provozu co nejvíce on-line služeb, ale výjimkou nejsou ani cílené útoky na konkrétní subjekty, přičemž tyto útoky mohou probíhat i na základě objednávky třetí osoby. Nejlevnější útok, trvajíc í několik desítek minut, je možné pořídit již za necelých sto korun. Celodenní útok pak začíná od 1300 korun výše. V řadě případů je oběť vystavena i několika různým útokům současně, a to po dobu několika dnů až týdnů.

    Jaroslav Cihelka maly„Spoléhat se na to, že problematiku ochrany před DDoS útoky řeší dodavatel konektivity, nebo poskytovatel hostingu, je přinejmenším nezodpovědné,“ říká obchodní ředitel společnosti ComSource Jaroslav Cihelka. „Z vlastní zkušenosti víme, že většina ISP i hostingových firem tento problém zaznamená až v okamžiku, kdy útok má vliv i na jejich vlastní provoz.“ Jen za uplynulých 12 měsíců zachytila globální služba FlowGuard provozovaná společností ComSource více než 4,5 milionů DDoS útoků různé intenzity. Mezi nejčastější cíle patřil především sektor e-commerce, ale stranou nezůstaly ani bankovní instituce a média.

    S DDoS útoky se potýkají malé i velké společnosti

    O tom, že riziko DDoS útoku se nevyplatí podceňovat se koncem června přesvědčila např. společnost Microsoft. Masivní volumetrický útok narušil provoz serverů služby Skype, což znemožnilo využívání této služby řadě uživatelů. Mnozí z nich zaznamenali problémy již při přihlašování. Pokud se jim však přeci jen podařilo přihlásit, nezobrazovali se jim kontakty ani zprávy. Službu se sice nakonec podařilo v relativně krátkém čase opět zprovoznit, ale některé problémy přetrvávaly a bylo nutné je i nadále řešit.

    Podobný problém zaznamenala i služba Steam, což je platforma společnosti Valve Corporation, určená k digitální distribuci her a softwaru. Přibližně hodinu po zahájení jejího tradičního výprodeje servery Steamu zkolabovaly a služba se stala nedostupnou. Tento útok byl dopředu avizován kyberteroristickou skupinou CyberTeam, která se specializuje právě na DDoS útoky a která se mimo jiné přihlásila i k výše uvedenému útoku na komunikační platformu Skype.

    Útočníci si ale nevybírají jen takto velké cíle. Zajímavá jsou pro ně i z globálního pohledu malá lokální média. Přibližně ve stejném období, kdy byl podniknut útok na Skype, byl zaznamenán také DDoS útok na web slovenského deníku Sme. V tomto případě se jednalo o poměrně malý a nepříliš intenzivní útok v řádu několika desítek minut, který způsobil přibližně půlhodinový výpadek. Ten však přišel v době, kdy toto médium přinášelo svým čtenářům živé zpravodajství z průběhu stávky v slovenském závodě automobilky Volkswagen. S problémy se potýkal také web deníku Trend a problém zaznamenaly i stránky slovenské veřejnoprávní mediální společnosti RTVS. Zde se však nepodařilo prokázat, zda se skutečně jednalo o DDoS útok.

    -LiM

  • Služba FlowGuard nově řeší nejen DDoS útoky, ale také GDPR

    comsource logoSpolečnost ComSource je přední český dodavatel komplexních řešení v oblasti síťové infrastruktury a kybernetické bezpečnosti. Kromě toho se úspěšně věnuje i vlastnímu vývoji, a to především v oblasti ochrany síťové infrastruktury proti útokům typu DDoS (Distributed Denial of Service).

    „Útoky typu DDoS představují jedny z nejčastějších kyberteroristických útoků na on-line služby a síťovou infrastrukturu. Vzhledem ke škodám, které způsobují, je lze přirovnat ke zbraním hromadného ničení. Kromě přímých finančních ztrát způsobují i ztrátu reputace a zvyšují riziko odchodu zákazníků ke konkurenci,“ říká Aleš Lednej, technický ředitel společnosti ComSource. „Služba FlowGuard představuje technologicky vyspělé řešení, které poskytuje komplexní ochranu před DDoS útoky.“

    Aleš Lednej (ComSource) nám také upřesnil některé údaje, týkající se DDoS útoků a vazbu na GDPR.

    Jak vlastně služba FlowGuard funguje?

    Jednotlivé útoky nejsou zcela identické a liší se způsobem provedení i intenzitou. Každý typ útoku proto vyžaduje speciální přístup a zvláštní opatření. Konkrétně lze ochranu proti DDoS útokům rozdělit na dvě části. Na detekci a na mitigaci datového toku. FlowGuard využívá unikátní samoučící se mechanismy, díky kterým spolehlivě identifikuje nebezpečná data. Služba může pracovat ve dvou základních režimech, a to v cloudovém, nebo hybridním. V případě cloudového řešení je veškerý provoz trvale přesměrován do FlowGuard cloudu, který automaticky čistí provoz a odráží útoky. V případě hybridní varianty nasazení služby FlowGuard je u chráněného subjektu umístěno hardwarové zařízení, které slouží k detekci těchto útoků. FlowGuard lze integrovat s libovolným CPE zařízením, které umožňuje export informací o datových tocích. Mezi dodavatele ověřených zařízení patří významní výrobci, jako např. Flowmon, Radware, Arbor, CheckPoint nebo Cisco.

    Pokud služba FlowGuard identifikuje DDoS útok, dochází k aktivaci obranného mechanismu a datový tok je přesměrován do masivní infrastruktury tzv. scrubbing centra. Zde jsou infikovaná data očištěna od nebezpečného obsahu a do síťové infrastruktury chráněné on-line služby odchází jen legitimní datové toky. Díky tomu zůstává i v případě rozsáhlého útoku chráněná služba stále dostupná. V běžném režimu FlowGuard neustále vyhodnocuje datové toky tak, aby v případě zachycení varovných signálů byla připravena na odražení útoku.

    Bezpečnostní systém služby FlowGuard je založen na síti vzájemně nezávislých bezpečnostních center. Tato centra vzhledem ke své distribuované architektuře zajišťují nejen vyšší odolnost vůči útokům na chráněné cíle, ale také ochranu služby FlowGuard před zahlcením sama sebe. V krajním případě, kdy by došlo k zahlcení řídícího centra a ztrátě spojení s jednotlivými bezpečnostními centry, přebírají automaticky rozhodnutí o přesměrování a filtrování datového toku tato nezávislá bezpečnostní centra, přičemž pracují v zcela autonomním režimu. Jakmile je vzájemné spojení obnoveno, dojde k aktualizaci centrální znalostní databáze a informace získané analýzou proběhlého útoku jsou následně distribuovány do lokálních databází jednotlivých bezpečnostních center, kde jsou využity při obraně proti budoucím útokům.

    Výhodou pro české a slovenské uživatele našich služeb je skutečnost, že vývoj služby FlowGuard probíhá v České republice, je zde umístěno minimálně jedno z bezpečnostních center a zároveň zde sídlí i centrum technické podpory.

    Věnujete se kromě vývoje služby FlowGuard i vývoji dalších bezpečnostních produktů?

    V rámci služby FlowGuard vyvíjíme řadu doplňkových modulů, které výrazně rozšiřují její funkcionalitu a řeší tak další oprávněné potřeby našich klientů. Jedním z těchto modulů je FlowGuard DLP (Data Leak Protection), což je výkonný nástroj pro řešení problematiky úniku osobních dat z internetových serverů. S využitím tohoto nástroje jsme schopni našim klientům pomoci naplňovat požadavky vyplývající z obecného nařízení o ochraně osobních údajů, tj. dnes tak často skloňované směrnice GDPR. Mezi základní funkce tohoto modulu samozřejmě patří automatická pseudonymizace osobních údajů a propracovaný systém informování oprávněných osob na potenciální bezpečnostní incidenty.Dalším z nabízených modulů je FlowGuard WAF (Web Application Firewall),který slouží k ochraně webových aplikací a eliminuje útoky popsané v OWASP TOP10.

    Jaká je vaše zkušenost s přístupem managementu českých firem k problematice ochrany před kybernetickými útoky?

    Často se setkáváme s podceňováním reálného rizika a přístupem typu „nám se to přeci nemůže stát, protože, kdo by na nás útočil“. Naše odpověď je jednoduchá. Říkáme, že „kdokoliv“. Cílem DDoS útoků jsou on-line systémy napříč celým spektrem. Od neziskových organizací, přes komerční subjekty, až po úřady státní správy a poskytovatele služeb strategického významu, jakými jsou např. dodavatelé energií a dopravní společnosti. Ačkoliv se v řadě případů může jednat o náhodné útoky bez konkrétního cíle, kdy útočník vyhledává zranitelné systémy, které následně napadne, výjimkou nejsou ani cílené útoky na konkrétní subjekty. Ty pak mohou probíhat i na základě objednávky třetí osoby. Útok proti libovolnému cíli si může objednat prakticky kdokoliv, a to ať již se jedná o konkurenci či nespokojeného zákazníka.

    DDoS útok si lze objednat?

    Samozřejmě, že ano. A není to vůbec složité. Na internetu je možné najít poměrně širokou nabídku těchto služeb. Prakticky jen stačí označit cíl, zaplatit a čekat. Nejlevnější útok, trvající několik desítek minut, je možné pořídit již za necelých sto korun. Částka, kterou objednavatel zaplatí za celodenní útok, začíná od 1300 korun výše. V řadě případů je oběť vystavena i několika různým útokům současně, a to po dobu několika dnů až týdnů. Útoky tohoto typu dnes představují docela velký byznys.

    Vývoj systémů eliminující podobný typ hrozeb musí být velmi náročný…

    Kromě poměrně vysokých finančních nákladů na vývoj a udržování služby, je nutné disponovat také dostatečnou kapacitou lidských zdrojů, zejména špičkových programátorů a analytiků.

    Na trhu pracovních sil se v současné době projevuje nedostatek odborníků v oblasti ICT, a to v řadě specializací. Pociťujete i vy tento problém? A jak se s ním vyrovnáváte?

    S nedostatkem kvalifikovaných pracovních sil v oblasti ICT se aktuálně potýká řada firem a institucí. Ani my nejsme výjimkou. V rámci České republiky sice máme většinu klíčových pozic obsazenu, ale v souvislosti s uvažovanou expanzí do některých dalších zemí budeme před tento problém postaveni i my. A to se týká jak specializovaných technických pozic, tak i posílení obchodního oddělení. Pokud hovoříme o technických specialistech, naše budoucí kolegy si většinou vybíráme již na školách. Studenti, kteří projeví zájem a mají odborné předpoklady, mají možnost absolvovat stáž na některém z našich pracovišť. Těm, kteří podle našeho názoru mají dostatečný potenciál, umožníme odborný rozvoj prostřednictvím specializovaných vzdělávacích programů a následně jim nabídneme i možnost pracovního uplatnění. Úzce spolupracujeme např. s Vysokou školou báňskou v Ostravě a Českým vysokým učením technickým v Praze. Určitě se však nebráníme spolupráci s dalšími vzdělávacími institucemi.

    Hovoříte o expanzi na zahraniční trhy. Můžete být trochu konkrétnější?

    Již delší čas jsme přítomni na Slovensku a začínáme být hodně aktivní v Polsku. Aktuálně probíhají jednání o našem vstupu i na další trhy, ale z pochopitelných důvodů konkrétnější nebudu.

    Budete v rámci svých zahraničních aktivit nabízet stejné portfolio služeb jako v České republice?

    V rámci našich mezinárodních aktivit se budeme soustředit stejně jako v České republice především na služby s vysokou přidanou hodnotou. Důvodem pro expanzi je kromě akvizice nových klientů potřeba nabídnout našim stávajícím zákazníkům v těchto zemích odpovídající zákaznický servis a také velmi rychlou technickou podporu v místním jazyce.

    -LiM