Polska TAMA chroni przed DDoS-ami

Materiał sponsorowany

O atakach DDoS zrobiło się naprawdę głośno po rosyjskiej inwazji na Ukrainę. Wówczas wiele ugrupowań haktywistycznych zdecydowało się na podjęcie działań właśnie w ten sposób. Ich celem padały m.in. podmioty publiczne oraz firmy opowiadające się po jednej, bądź drugiej stronie konfliktu. Temat podchwyciły media, podkreślając rosnącą skalę incydentów. 

Oczywiście DDoS-y występowały już znacznie wcześniej i stanowiły znany instrument „nękania” organizacji na całym świecie, również w Polsce.

Na pierwszy rzut oka można odnieść wrażenie, że to mało istotne cyberataki, których szkodliwość jest minimalna. Jednak gdy popatrzymy z perspektywy większych organizacji, zwłaszcza bazujących na usługach teleinformatycznych (np. sklepy internetowe), skutki okazują się bardzo dotkliwe pod różnym względem. 

Ataki DDoS. Co to takiego?

Zacznijmy od początku: czym w ogóle są ataki DDoS? Sama nazwa pochodzi od angielskiego hasłaDistributed Denial of Service. Polegają na przeprowadzeniu działań z wielu urządzeń jednocześnie, wymierzonych w system komputerowy lub usługę sieciową, w celu uniemożliwienia ich pracy.

Często do ataków wykorzystywane są zatem tzw. botnety, czyli armie zainfekowanych komputerów lub sprzętów zaliczanych do IoT (Internetu rzeczy), które zalewają usługę/sieć danej organizacji milionami połączeń. 

Mówiąc najprościej, w wyniku ataku DDoS, dana usługa staje się niedostępna z punktu widzenia użytkownika. Przykładowo, nie możemy wejść na określoną stronę internetową, zrobić przelewu w banku albo zakupów za pośrednictwem platformy e-commerce. 

Prosty a dotkliwy atak

Jeśli coś nie działa, to nie zarabia na siebie (to szczególnie odczuwalne w przypadku biznesu opartego na internecie), a dodatkowo może irytować i zniechęcać odbiorców, którzy swoją uwagę skierują do konkurencji. 

Kolejny ważny aspekt to praca zdalna lub hybrydowa. Wspomniane modele zyskują na popularności od momentu pandemii COVID-19. Wiele organizacji decyduje się na jeden z nich, lecz trzeba być świadomym, że DDoS może wywołać problemy także wewnątrz organizacji. Realny jest scenariusz, w którym na skutek ataku pracownicy tracą dostęp do narzędzi, a zatem nie są w stanie pracować. I to ponownie odbija się na finansach firmy. 

Z danych, które można znaleźć w raportach na stronie thehackernews.com wynika, że średni koszt jednego incydentu spowodowanego DDoS-em wynosi 52 tys. dol. w przypadku małych i średnich przedsiębiorstw. W odniesieniu do większych mówimy już o 444 tys. dol.

Natomiast jeśli chodzi o podmioty publiczne, nie sposób pominąć kwestii usług o krytycznym znaczeniu. Jak wiemy, cyfryzacja jest obecna na każdym kroku i dotyczy to również ważnych obiektów lub elementów infrastruktury. Sprawna komunikacja sieciowa jest więc niezwykle ważna.

Coraz więcej DDoS-ów

Według danych firmy Crowdstrike pokazujących stan krajobrazu bezpieczeństwa na maj 2024, obecnie wśród 12 najczęściej spotykanych typów cyberataków, DDoS-y zajmują drugie miejsce, ustępując miejsca jedynie malware’owi. Wynika to z faktu, że relatywnie prosto je przeprowadzić, jeśli nie samemu, to korzystając z usług hakerów. 

„Zrobił się z tego cały biznes. Tego typu ataki można zamówić np. w darkwebie za niewielkie pieniądze” – wskazał Marek Makowski, Kierownik Działu Architektury Rozwiązań Cyberbezpieczeństwa w EXATEL, podczas webinaru „szTAMA z Cyberbezpieczeństwem – na czym powinna polegać skuteczna ochrona przed atakami DDoS”.

O jakiej skali problemu mówimy?  W trakcie wydarzenia mogliśmy zapoznać się z informacjami, z których wynika, że liczba DDoS-ów w I połowie 2024 r. wzrosła o 46 proc. w porównaniu do tego samego okresu w minionym roku, sięgając poziomu 455 tys.

Sam EXATEL w ramach ochrony na rzecz swoich klientów wykonał ponad 3 tys. mitygacji w styczniu, a w lutym - blisko 3 tys. Ogółem w każdym miesiącu mówimy o ponad tysiącu zdarzeń. Celem padają najczęściej podmioty publiczne oraz operatorzy czy hostingodawcy.

Dodatkowo, rośnie częstotliwość ataków trwających minimum 3 godz. - o 103 proc. z kwartału na kwartał. Nie tak dawno, bo 21 października br., padł nowy rekord siły DDoS-a. Jak przekazał Cloudflare, od tamtego momentu jest to 4,2 Tbps.

Trudna walka z „DDoS-owym biznesem”

Problem jest dobrze znany podmiotom zajmującym się cyberbezpieczeństwem i organom ścigania. Co jakiś czas możemy usłyszeć o kolejnych policyjnych akcjach, dzięki którym udało się zatrzymać członków grup zaangażowanych w tego typu ataki. 

Przykładem może być aresztowanie przedstawicieli prorosyjskiej grupy NoName057(16) przez hiszpańskich funkcjonariuszy. Cele grupy znajdowały się również w Polsce, o czym więcej pisaliśmy w materiale: Zatrzymano sprawców ataków DDoS. Celem grupy jest Polska.

Należy jednak podkreślić, że walka z procederem nie jest łatwa. Przede wszystkim dlatego, że płatności za usługę cyberataku coraz częściej dokonywane są w kryptowalutach, a sprawcy wykorzystują infrastrukturę przejętą w różnych częściach świata. Mogą to być chociażby słabo lub w ogóle niezabezpieczone czujniki nawilżenia gleby, które zostały zainfekowane i włączone w sieć botnetów. 

Podstawowe bolączki cyberbezpieczeństwa

Biorąc pod uwagę skalę ryzyka, warto poczynić kroki na rzecz ochrony przed DDoS-ami i zainwestować w sprawdzone rozwiązania. Punktem wyjścia powinno być pokonanie wyzwań, które często spotykane są w organizacjach.

Jednym z nich jest brak wykwalifikowanego personelu. W wielu podmiotach wciąż brakuje tzw. bezpieczników, czyli ekspertów czuwających nad cyberbezpieczeństwem infrastruktury. A do tego dochodzi niska świadomość pracownikówna temat cyberzagrożeń. 

Często wiąże się to z brakiem odpowiedniego poziomu zainteresowania po stronie samego kierownictwa. Dyrektorzy, prezesi i członkowie zarządu, skupiają swoją uwagę na innych obszarach działalności, pomijając lub nie przypisując właściwego priorytetu cyberbezpieczeństwu. Jak wiemy, przykład idzie z góry. 

Wiedza to fundament bezpieczeństwa

Przechodząc już do konkretnych kroków, każda organizacja powinna zadbać o właściwe zabezpieczenie swojej infrastruktury. Należy zacząć od przygotowania, sprawdzenia i aktualizacji planu działania, zanim jeszcze dojdzie do cyberataku (niezależnie czy jest to DDoS, ransomware itd.). 

Dlaczego jest to tak istotne? Wiedza stanowi absolutny fundament ochrony. Trzeba mieć świadomość np. które serwery i aplikacje mogą zostać dotknięte atakiem. Warto oszacować potencjalne szkody związane z utratą dostępu do określonych zasobów, a także wyznaczyć osoby odpowiedzialne za zarządzanie poszczególnymi elementami infrastruktury, aby każdy w organizacji wiedział, do kogo należy się zwrócić w razie kryzysu. 

Nie bez znaczenia jest także opracowanie scenariuszy obsługi potencjalnego cyberataku oraz zrozumienie, jak może on przebiegać w przypadku określonego zasobu. Warto być przygotowanym przed wystąpieniem problemu. Jeśli każdy zaangażowany rozumie swoją rolę i wie za jakie działania odpowiada, to zdecydowanie łatwiej jest radzić sobie z problemem, kiedy już nastąpi. 

Oczywiście w odpowiednim zabezpieczeniu infrastruktury mogą pomóc zaufani partnerzy, jak np. EXATEL. Wówczas przydatne okazuje się stworzenie „punktu kontaktowego” (zwykle składającego się z kilku osób), odpowiedzialnego za dwustronną komunikację w ramach współpracy.  

Rodzaje ataków DDoS

Skupiając się na ochronie przed DDoS-ami, warto wskazać na ich rodzaje. W klasycznym podziale występują trzy typy: wolumetryczne, protokołowe i aplikacyjne. Różnią się tym, na którym poziomie modelu OSI (Open Systems Interconnection Reference Model) w sieci są realizowane. Każdy z nich omówił  w rozmowie z naszym portalem Patryk Szweda, Architekt Oprogramowania z Departamentu Rozwiązań R&D w EXATEL.

W przypadku pierwszej kategorii (wolumetryczne) - cechą charakterystyczną jest bardzo duży ruch, który jest źródłem problemu. W praktyce oznacza to wygenerowanie w krótkim czasie tak dużej liczby zapytań , aby sprzęt sieciowy nie był w stanie ich przetworzyć. 

W przypadku DDoS-ów protokołowych, wykorzystywane są podatności w protokołach warstwy trzeciej i czwartej, czyli transportowych. Zarządzają one tym, w jaki sposób i gdzie jest przekazywana informacja. 

„Wspomniane protokoły są obsługiwane przede wszystkim przez urządzenia sieciowe, choć nie tylko. Co ważne, na końcu tej komunikacji na serwerze atakowanego też znajduje się jakieś urządzenie i w przypadku ataków wolumetrycznych najczęściej właśnie w nie się celuje. Chodzi o to, aby je »wysadzić«” – tłumaczył na naszych łamach Patryk Szweda.

Ostatnim typem są DDoS-y aplikacyjne. To przykład bardzo złożonych ataków. W ich przypadku zwiększają się możliwości atakujących. Kluczową kwestią są tu zarówno protokoły aplikacji, jak i samej jej implementacji. Oznacza to, że sprawcy - analizując określoną aplikację - wykorzystują podatność tylko dla niej, np. atak, który zadziała na Allegro może nie działać na Amazon i odwrotnie.

TAMA chroni przed DDoS-ami

Jak już wspomnieliśmy, ryzyko dotyczące DDoS-ów jest duże. Szczególnie narażony jest m.in. sektor publiczny, ale to wcale nie oznacza, że inni mogą „spać spokojnie”. Cieszy fakt, że świadomość rośnie a przedstawiciele różnych organizacji inwestują w ochronę przed atakami. Potwierdzają to liczby. 

Wystarczy wspomnieć, że globalny rynek ochrony i ograniczania skutków DDoS-ów został wyceniony na 2,91 mld dol. w 2022 r. i oczekuje się, że do 2030 osiągnie 7,45 mld dol. (dane za EXATEL). 

Gwarancją bezpieczeństwa są sprawdzone narzędzia uznanych na rynku graczy. Zalicza się do nich EXATEL, który opracował i systematycznie rozwija autorskie rozwiązanie anty-DDoS o nazwie TAMA (model usługowy). Skutecznie odpiera wszelkie rodzaje ataków, w tym wolumetryczne i protokołowe, wykrywając i neutralizując zagrożenia, zanim wpłyną one na działanie usług. 

W zależności od potrzeb klientów, rozwiązanie posiada kilka wariantów. W przypadku ataków wolumetrycznych w ofercie znajdziemy wersje: TAMA Basic, TAMA Standard oraz TAMA Advanced. Z kolei jeśli chodzi o aplikacyjne, operator posiada usługę TAMA PRO7 w modelu centralnym lub CPE. 

TAMA dla ataków wolumetrycznych

Ważnym punktem pierwszego katalogu (dla ataków wolumetrycznych) z punktu widzenia wykrywania ataków jest Sonda Aperture. Odpowiada ona za zebranie i agregację danych, ze wszystkich routerów brzegowych, dotyczących poziomu ruchu IP w punktach wymiany ruchu z innymi operatorami. Analiza ruchu odbywa się przy wykorzystaniu mechanizmu NetFlow w wersji 9.

Mózgiem całego systemu jest Controller. To on integruje informacje z sond w postaci „aktualnego stanu monitorowanej sieci” i podejmuje decyzję, co w danej sytuacji należy zrobić. Może np. zaalarmować operatora o ataku czy też rozpocząć automatyczną mitygację, polegającą na przekierowaniu ruchu (jednostronny) do GlaDDoS-ów, czyli jednostek czyszczących. 

Można tu zastosować różne zestawy filtrów. Przykładowo: 

• czarne listy adresów IP (na których znajdują się znane sieci botnet),
• geolokalizacyjne (zarządzanie ruchem dla określonych krajów za pomocą prostego interfejsu polityki mitygacji), 
• filtrowanie nieprawidłowych pakietów (pakietów, które nie spełniają technicznych specyfikacji opisanych w dokumentach RFC),
• mechanizmy chroniące przed zestawianiem zbyt dużej liczby połączeń do danej usługi,
• mechanizmy ograniczające możliwość utrzymywania bardzo długich połączeń do danej usługi
• i wiele innych, które są omawiane z klientami przed instalacją usługi.   

TAMA PRO7 dla warstwy aplikacyjnej

Z kolei TAMA PRO7 to rozwiązanie powstałe z myślą o ochronie warstwy aplikacyjnej m.in. przed atakami Slow Post, Slow Read, Slowloris czy Low and Slow Attack. Jej zakres obejmuje:

• analizę ruchu IP zarówno w kierunku „do" jak i „od" klienta;
• analizę pakietów w trybie in-line;
• głęboką inspekcję pakietów;
• mechanizmy detekcji challange; 
• możliwość filtrowania i analizy np. adresacji IP, protokołów, portów czy stanu połączeń TCP;
• protokoły aplikacyjne, w tym HTTP/HTTPS, DNS, SSL/TLS.

TAMA PRO7 w modelu CPE

Warto powiedzieć także parę słów o TAMA PRO7 w modelu CPE. EXATEL stworzył rozwiązanie gwarantujące ochronę przed DDoS-ami aplikacyjnymi na warstwę 7. modelu ISO/OSI. W porównaniu do modelu z wariantem centralnym, omawiana wersja jest realizowana w lokalizacji klienta na łączu dostępu do internetu oferowanym przez polską spółkę.

Zainwestuj w TAMĘ. Zyskasz nie tylko bezpieczeństwo

Co zyskujemy inwestując w rozwiązania anty-DDoS oferowane przez EXATEL? Przede wszystkim operator jest gwarancją jakości i bierze odpowiedzialność za to, co robi. Zyskujemy możliwość automatycznego uruchamiania filtrowania ruchu po wykryciu ataku. a usługa jest oferowana w wariancie „always on”. 

Polskie rozwiązanie charakteryzuje elastyczność oraz skalowalność. Konfiguracja jest dostosowywana do wymagań klienta i nie ma problemu integracji z systemami bezpieczeństwa użytkownika (np. SIEM). 

TAMA oznacza pełną kontrolę. Oferuje wykluczenie w procesie detekcji (np. białe listy), konfigurację parametrów ochrony przy wsparciu ekspertów SOC (Security Operation Center) EXATEL oraz dostęp do aktualnych statystykusługi i możliwość tworzenia raportów.

A na koniec: finanse. Spółka gwarantuje najlepszy stosunek jakości do ceny dostępny na rynku. Pamiętajcie, że operator obsługuje waszą infrastrukturę w trybie 24 godz. 7 dni w tygodniu.

Jeśli jeszcze się wahacie, czy skorzystać z oferty EXATEL, istnieje możliwość bezpłatnego przetestowania usługi.

Na stronie EXATEL dostępne jest także pełne nagranie webinaru: link.