Jak radzić sobie z atakami DDoS i botnetem?

Ingo Schneider 05-06-2017, 16:36

Ataki DDoS (Distributed Denial of Service — rozproszony atak typu odmowa usług) dotarły do powszechnej świadomości publicznej w ubiegłym roku, po szeregu incydentów mocno nagłośnionych przez media. Jednym z największych i najszerzej komentowanych był atak na firmę Dyn w październiku 2016 r. Chociaż samo zagrożenie trudno uznać za nowe —występuje od końca lat 90. ubiegłego wieku — wspomniany atak na Dyn jest interesującym przykładem, gdyż do jego koordynacji użyto słabo zabezpieczonych urządzeń podłączonych do IoT (Internetu rzeczy).

Jeśli weźmiemy pod uwagę, że według prognoz w 2020 r. będzie już 20 mld urządzeń podłączonych do IoT, potrzeba wdrożenia odpowiednich procedur i narzędzi w celu należytego zabezpieczenia tych urządzeń będzie stale narastać.

IoT jest nowym polem bitwy — rośnie zagrożenie ze strony wynajmowanych botów

Ujmując rzecz najprościej, atak DDoS polega na tym, że atakujący usiłuje uniemożliwić dostęp uprawnionych użytkowników do zasobu sieciowego poprzez zalanie atakowanej sieci ogromną ilością celowo generowanego zbędnego ruchu, co przeciąża serwery i uniemożliwia funkcjonowanie usługi. Każdego roku zdarza się wiele tysięcy takich ataków, a ich liczba i skala stale rośnie. Według niektórych raportów  w 2016 r. łączna liczba ataków większych niż 100 Gb/s wzrosła o 138% w porównaniu z rokiem poprzednim.

Do ataku na Dyn użyto botnetu (sieci zainfekowanych urządzeń) Mirai, który wykorzystuje słabe zabezpieczenia „inteligentnych” urządzeń podłączonych do Internetu i przyłącza je do siebie. Botnet skanuje urządzenia podłączone do IoT, poszukując tych, które nadal są zabezpieczone tylko fabrycznie ustawionymi (lub nawet zaszytymi na stałe w sprzęcie) nazwami użytkownika i hasłami. Po zainfekowaniu, urządzenie staje się elementem botnetu, który może obejmować dziesiątki tysięcy takich urządzeń, przez co jest zdolny do bombardowania wybranego celu ogromną ilością szkodliwego ruchu.

Zarówno wspomniany botnet, jak i inne, mogą być wypożyczone online od przedsiębiorczych cyberprzestępców, a ponieważ ich możliwości są stale rozszerzane i doskonalone, na ryzyko narażona będzie coraz większa liczba podłączonych urządzeń.

Co zatem może uczynić przedsiębiorstwo, aby zabezpieczyć się na dziś i na przyszłość?

Po pierwsze: powstrzymać zagrożenie

IoT to fundament cyfrowej transformacji przedsiębiorstw. Jego rozpowszechnienie umożliwia wykorzystanie wielu najważniejszych osiągnięć technologicznych, takich jak wielkie zbiory danych, automatyzacja, uczenie maszynowe czy wgląd w całość informacji o przedsiębiorstwie. Równocześnie wprowadzane są nowe metody zarządzania sieciami i podłączonymi urządzeniami.

Jednym z osiągnięć o kluczowym znaczeniu jest segmentacja IoT (IoT containment). Polega to na tworzeniu wirtualnych izolowanych środowisk przy użyciu technik wirtualizacji sieci. Dzięki temu podłączone urządzenia są grupowane w zależności od przeznaczenia funkcjonalnego i od zbioru upoważnionych użytkowników, a każda taka grupa stanowi oddzielny „kontener” (segment) IoT. Chociaż wszyscy użytkownicy i wszystkie urządzenia w danym przedsiębiorstwie nadal są fizycznie podłączone do jednej konwergentnej infrastruktury sieciowej, poszczególne kontenery są izolowane logicznie.

Załóżmy na przykład, że ochrona obiektu dysponuje 10 kamerami monitoringu podłączonymi do Internetu. Dział informatyczny może utworzyć kontener IoT na potrzeby ochrony, czyli wirtualną izolowaną sieć, do której nie mają dostępu nieupoważnieni pracownicy i która nie jest widziana przez urządzenia spoza kontenera. Jeśli jakakolwiek część sieci na zewnątrz tego wirtualnego środowiska zostanie zainfekowana, infekcja nie rozprzestrzeni się na sieć kamer monitoringu. Analogiczne kontenery można utworzyć na przykład na potrzeby systemu płacowego, działu badawczo-rozwojowego bądź jakiegokolwiek innego zespołu czy systemu w przedsiębiorstwie.

Utworzenie wirtualnego środowiska IoT pozwala również na zapewnienie właściwych warunków funkcjonowania danej grupy urządzeń. W obrębie kontenera możliwe jest egzekwowanie reguł QoS (gwarantowania jakości usług), rezerwowanie lub limitowanie pasma, nadawanie wyższego priorytetu ruchowi o znaczeniu krytycznym czy blokowanie niepożądanych aplikacji. Na przykład można zarezerwować pewną część pasma dla kamer monitoringu, które przesyłają ciągły strumień wideo, oraz nadać najwyższy priorytet urządzeniom używanym na potrzeby intensywnej terapii w szpitalu. Reguły QoS mogą być lepiej egzekwowane, jeśli stosuje się przełączniki z funkcją szczegółowej analizy pakietów, która uwzględnia zarówno zawartość pakietów przesyłanych w sieci, jak i używające ich aplikacje, co pozwala na zróżnicowanie obsługi np. systemu CRM, systemu monitoringu i oglądania filmów z Netfliksa.

Po drugie: ochrona w przełączniku — podejście z trzech stron

Przedsiębiorstwo musi upewnić się, że dostawca jego przełączników poważnie traktuje zagrożenie i wdraża procedury zapewniające maksymalną ochronę na poziomie sprzętowym. Właściwa strategia obejmuje podejście z trzech stron:

 

  • Druga para oczu: weryfikacja systemu operacyjnego przełącznika przez niezależnych ekspertów ds. bezpieczeństwa. Niektóre firmy mogą unikać udostępniania kodu źródłowego do weryfikacji przez niezależnych specjalistów i dlatego należy poszukać producenta, który stale współpracuje z czołowymi ekspertami w dziedzinie bezpieczeństwa.
  • Użycie szyfrowanego kodu dla zapobieżenia zainfekowania całej sieci przez jeden przełącznik. Używanie systemów operacyjnych o otwartym kodzie źródłowym jest powszechne, ale wiąże się z tym pewne ryzyko, gdyż kod taki może być poznany przez każdego. Jeśli kod wynikowy w pamięci przełącznika zostanie zaszyfrowany, to nawet gdy haker zlokalizuje sekcje otwartego kodu źródłowym w jednym przełączniku, oparty na tym atak nie będzie skuteczny wobec pozostałych przełączników, gdyż w każdym z nich kod jest zaszyfrowany inaczej.
  • Sposób dostawy systemu operacyjnego przełącznika. W branży informatycznej występuje globalny łańcuch dostaw, w którym produkcja, montaż, dostawy i dystrybucja komponentów odbywają się na skalę globalną. Powstaje wskutek tego ryzyko zmanipulowania przełącznika zanim dotrze on do klienta końcowego. Zespół odpowiedzialny na instalację sieci zawsze powinien załadować z bezpiecznego serwera producenta oficjalną wersję systemu operacyjnego bezpośrednio do przełącznika przed jego wdrożeniem.

Po trzecie: proste zabezpieczenia „inteligentnych rzeczy”

Oprócz zabezpieczenia sieci rdzeniowej należy podjąć odpowiednie działania dla wzmocnienia ochrony samego urządzenia. Chociaż działania te są proste, zdumiewająco duża liczba przedsiębiorstw je pomija.

  • Zmienić domyślne hasło — procedura ta jest bardzo prosta, ale często zaniedbywana. W przypadku ataku na Dyn wirus wyszukiwał podłączone urządzenia, w których pozostawiono standardowe ustawienia, i przejmował nad nimi kontrolę.
  • Aktualizować oprogramowanie — ponieważ cały czas toczy się walka pomiędzy cyberprzestępcami a ekspertami ds. bezpieczeństwa, bardzo ważne jest stałe aktualizowanie oprogramowania do najnowszych wersji i instalowanie najnowszych poprawek bezpieczeństwa. Monitorowanie wydawania aktualizacji powinno stać się rutynowym działaniem.
  • Zablokować funkcje zdalnego zarządzania (np. poprzez Telnet lub HTTP), które umożliwiają przejęcie kontroli z innej lokalizacji. Zaleca się stosowanie bezpiecznych protokołów zdalnego zarządzania, takich jak SSH czy HTTPS.

Ewolucja sieci

Internet rzeczy ma ogromny potencjał transformowania przedsiębiorstw i instytucji we wszystkich branżach, na przykład produkcji, służby zdrowia, transportu czy oświaty. Jednak z każdą nową falą innowacji technicznych przychodzą nowe wyzwania. Obecnie jesteśmy na początku epoki IoT i dlatego jest bardzo ważne, aby spełnić fundamentalne wymagania na sieć, co pozwoli nie tylko na obsługę rosnącej ilości danych, lecz także na egzekwowanie reguł QoS i minimalizowanie ryzyka cyberataków.

Autor:

Ingo Schneider, dyrektor ds. rozwoju działalności w dziale infrastruktur sieci transmisji danych na region Europy Północnej w Alcatel-Lucent Enterprise


Tematy pokrewne:  

tag IoTtag internet rzeczytag internet of thingstag DDoStag botnet
Komentarze
comments powered by Disqus
To warto przeczytać






  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.