Řešení Kaspersky DDoS Protection. Ochrana vaší firmy před ztrátou financí a pověsti díky řešení Kaspersky DDoS Protection

Transkript

1 Řešení Kaspersky DDoS Protection Ochrana vaší firmy před ztrátou financí a pověsti díky řešení

2 Útok typu DDoS (Distributed Denial of Service) je jednou z nejoblíbenějších zbraní v arzenálu počítačových zločinců. Zaměřuje se na znemožnění normálního přístupu uživatelů k informačním systémům, jako jsou webové stránky nebo databáze. Motivy spuštění útoků typu DDoS mohou být různé, od počítačového chuligánství přes nekalé konkurenční praktiky až po vydírání. Moderní provedení úroku DDoS se vyznačuje vícevrstvou strukturou. Zahrnuje osoby, které si objednají útok, tvůrce botnetů, kteří zpřístupňují své zdroje, zprostředkovatele, kteří zařizují útoky a hovoří s klienty, a osoby, které zařizují platby za všechny poskytnuté služby. Cílem se může stát jakýkoli síťový uzel v internetu, ať se jedná o konkrétní server, síťové zařízení nebo zneužitou adresu v podsíti oběti. Existují dva běžné scénáře vedení útoků typu DDoS: přímé odesílání požadavků do napadeného zdroje z velkého počtu botů nebo spuštění útoku zesílením DDoS prostřednictvím veřejně dostupných serverů obsahujících zranitelná místa v softwaru. V prvním scénáři počítačoví zločinci promění velmi mnoho počítačů v dálkově ovládané zombie, které pak poslouchají příkaz hlavního počítače a současně odesílají požadavky do počítačového systému oběti (vedou tzv. distribuovaný útok). Někdy počítačoví radikálové najmou skupinu uživatelů, kterým poskytnou speciální software určený pro vedení útoků typu DDoS, a nařídí jim zaútočit na cíl. Ve druhém scénáři zahrnujícím útok zesílením se namísto botů použijí servery pronajaté z datového centra. Pro vylepšení se obvykle použití veřejné servery se zranitelným softwarem. V současnosti lze využít buď servery DNS (Domain Name System) nebo NTP (Network Time Protocol). Útok je zesílen falešným vracením IP adres a odesíláním krátkých požadavků serveru, který vyžaduje mnohem delší odezvu. Přijatá odezva se odešle na napadenou IP adresu, která patří oběti. Scénáře útoku typu DDoS Útočníci Servery pronajaté v datovém centru Zesilovací servery Botnety Oběť Servery C&C (Command and Control) 2014 Kaspersky Lab ZAO Obrázek 1. Schéma postupu nejoblíbenějších verzí útoků typu DDoS Ještě jeden faktor přispívá ke zvýšení nebezpečnosti celé situace. Jelikož existuje ohromné množství malwaru a počítačoví zločinci vytvořili mnoho botnetů, může tento druh útoku spustit téměř kdokoli. Počítačoví zločinci inzerují své služby s tím, že kdokoli může zastavit provoz konkrétních webových stránek za pouhých 50 USD na den. Platby se obvykle provádějí v šifrované měně, takže je téměř nemožné vysledovat objednávky prostřednictvím toku peněz. 2

3 Dostupné ceny znamenají, že útok typu DDoS lze zacílit na jakýkoli online zdroj. Nejde o něco, co by se omezovalo na internetové zdroje velkých a známých organizací. Je sice obtížnější znepřístupnit webové zdroje velkých společností, ale pokud se to přece jen podaří, jsou finanční ztráty způsobené takovým prostojem mnohem větší. Kromě přímých ztrát vzniklých v důsledku ušlých obchodních příležitostí (jako je například online prodej) mohou společnosti čelit pokutám za zanedbání svých povinností či výdajům souvisejícím s ochranou před dalším útokem. A v neposlední řadě může být pošramocena pověst společnosti, což může vést ke ztrátě stávajících nebo budoucích klientů. Celkové náklady závisejí na velikosti firmy, oboru, v němž působí, a na typu ohrožené služby. Podle propočtů analytické společnosti IDC může jedna hodina prostoje online služeb přijít společnost na USD. Metody obrany před útoky typu DDoS Na trhu jsou desítky společností, které poskytují služby ochrany před útoky typu DDoS. Některé do infrastruktury klientů instalují speciální zařízení, další používají funkce v rámci poskytovatelů ISP a jiné vedou datový provoz speciálními čisticími centry. Všechny tyto přístupy se však drží stejného principu: filtrují škodlivý datový provoz, tedy datový provoz vytvořený počítačovými zločinci. Instalace filtrovacího zařízení na straně klienta se považuje za nejméně účinnou metodu. Za prvé vyžaduje speciálně vyškolené pracovníky, kteří zařízení obsluhují a upravují jeho funkce, což přináší další náklady. Za druhé je účinné pouze proti útokům na službu a nijak není schopno zabránit útokům zahlcujícím internetový kanál. Funkční služba je k ničemu, když k ní nelze přistupovat ze sítě. Se zvyšující se oblibou zesílených útoků DDoS je čím dál snazší přetížit připojovací kanál. Když poskytovatel filtruje provoz, spolehlivost se zvyšuje, protože je k dispozici širší internetový kanál a je mnohem obtížnější jej ucpat. Na druhou stranu se poskytovatelé těchto služeb nespecializují na zabezpečení, přičemž filtrují pouze naprosto zřejmý nevyžádaný provoz a přitom přehlížejí méně nápadné útoky. Pečlivá analýza útoku a neprodlená reakce vyžadují příslušné odborné znalosti a zkušenosti. Kromě toho tento druh ochrany způsobuje závislost klienta na určitém poskytovateli a způsobuje klientovi potíže, pokud potřebuje použít záložní datový kanál nebo změnit poskytovatele. V důsledku těchto skutečností by za nejefektivnější způsob neutralizace útoků typu DDoS měla být považována specializovaná centra zpracování, která nasazují kombinaci různých metod filtrace datového provozu. je řešení, které chrání před všemi typy útoků DDoS prostřednictvím využití distribuované infrastruktury center pro čištění dat. Řešení v sobě spojuje různé metody, včetně filtrace datového provozu na straně poskytovatele, instalace vzdáleně ovládaného přístroje pro analýzu datového provozu u infrastruktury klienta a využití specializovaných center pro čištění dat s flexibilními filtry. Navíc je práce tohoto řešení neustále monitorována experty společnosti Kaspersky Lab. Spuštění jakéhokoli útoku může být tedy detekováno co nejdříve a filtry mohou být podle potřeby upraveny. 3

4 Řešení v aktivním režimu Internet Hraniční směrovač klienta Připojení zakázáno klientem Odposlech datového provozu klienta IT infrastruktura klienta Snímač Pravidla filtru Statistické údaje Expert Poskytovatel internetových služeb Centrum řešení Kaspersky DDoS Prevention 2014 Kaspersky Lab ZAO Obrázek 2. Ochrana : Funkční schéma Arzenál společnosti Kaspersky Lab Už více než deset let se společnost Kaspersky Lab úspěšně zabývá širokým spektrem online hrozeb. Během té doby dosáhli analytici společnosti Kaspersky Lab jedinečných odborných znalostí, včetně podrobného porozumění fungování útoků typu DDoS. Experti společnosti nepřetržitě sledují poslední vývoj na internetu, analyzují nejnovější metody vedení počítačových útoků a zlepšují naše stávající nástroje ochrany. Díky těmto odborným znalostem je možné zjistit útok typu DDoS, jakmile je spuštěn, a ještě předtím, než zaplaví cílový webový zdroj. Druhým prvkem technologie ochrany proti útokům typu DDoS od společnosti Kaspersky Lab je snímač nainstalovaný vedle IT infrastruktury klienta. Snímač je část softwaru, která běží v operačním systému Ubuntu a vyžaduje standardní server x86. Analyzuje typy použitých protokolů, počet odeslaných bajtů a datových paketů, chování klienta na webu (metadata) a informace o odeslaných datech. Datový provoz nikam nepřesměrovává, neupravuje jej ani neanalyzuje obsah žádných zpráv. Statistiky jsou poté doručeny do cloudové infrastruktury, kde je pro každého klienta vytvořen profil podle statistiky, vycházející ze shromážděných metadat. Tyto profily jsou v podstatě záznamy typických vzorců informačních výměn pro jednotlivé klienty. Zaznamenávají se změny obvyklých dob používání. Později se analyzuje datový provoz: kdykoli se chování provozu liší od statistického profilu, mohlo by to naznačovat útok. Základním principem řešení jsou jeho čisticí centra. Nacházejí se na hlavních páteřních internetových linkách, například ve Frankfurtu nebo Amsterdamu. Společnost Kaspersky Lab používá několik čisticích center současně, takže může dělit nebo přesměrovat datový provoz, který je třeba vyčistit. Centra pro zpracování se spojují do společné cloudové informační infrastruktury a data jsou zadržována bez těchto hranic. Například webový provoz evropského klienta neopustí evropské území. 4

5 Dalším klíčovým způsobem, jak kontrolovat provoz útoků typu DDoS, je provádět filtraci na straně poskytovatele. Poskytovatel internetových služeb není jen poskytovatelem internetového kanálu, může také uzavřít technologické partnerství se společností Kaspersky Lab. Tak může řešení odříznout většinu zřejmé nevyžádané pošty, která se využívá ve většině útoků typu DDoS, co nejblíže jejich původnímu zdroji. To zabraňuje splynutí datových toků do jednoho silného útoku a snižuje zatížení čisticích center, která se mohou věnovat sofistikovanějšímu nevyžádanému datovému provozu. Nástroje pro přesměrování datového provozu Aby mohlo řešení zabezpečení efektivně fungovat, prvním a klíčovým požadavkem je nastavení spojovacího kanálu mezi čisticími centry a IT infrastrukturou klienta. V řešení jsou tyto kanály uspořádány podle protokolu GRE (Generic Routing Encapsulation). Využívají se k vytvoření virtuálního tunelu mezi čisticím centrem a síťovými zařízeními klienta, kterými jsou vyčištěná data dodávána klientovi. Vlastní přesměrování datového provozu lze uskutečnit jednou ze dvou metod: oznámením klientovy podsítě pomocí protokolu dynamického směrování BGP nebo úpravou záznamu DNS pomocí zavedení adresy URL čisticího centra. Upřednostňuje se první metoda, jelikož dokáže přesměrovat datový provoz rychleji a chránit před útoky, které cílí přímo na konkrétní IP adresu. Avšak u této metody je třeba, aby měl klient rozsah adres nezávislý na poskytovateli, jako jsou například blokované IP adresy poskytnuté místním internetovým registrátorem. Pokud jde o samotný proces přesměrování, obě metody se liší jen málo. Je-li použita první metoda, směrovače BPG na straně klienta a čisticího centra navážou trvalé spojení prostřednictvím virtuálního kanálu. V případě útoku se vytvoří nová trasa čisticího centra ke klientovi. Při použití druhé metody je klientovi přidělena IP adresa z množiny IP adres čisticího centra. Pokud začne útok, klient nahradí IP adresu v záznamu A serveru DNS IP adresou přidělenou čisticím centrem. Poté bude veškerý datový provoz přicházející na klientovu adresu nejprve odeslán do čisticího centra. Aby se však zabránilo pokračování útoku na starou IP adresu, musí poskytovatel zablokovat veškerý příchozí provoz s výjimkou dat, která přicházejí z čisticího centra. Jak to funguje Za normálních okolností veškerý datový provoz z internetu přichází přímo ke klientovi. Ochranná opatření začnou fungovat ihned poté, co přijde signál ze snímače. V některých případech vědí analytici společnosti Kaspersky Lab o útoku už ve chvíli, kdy začne, a informují klienta. V takovém případě lze předem přijmout preventivní opatření. Expert na útoky typu DDoS, který má ve společnosti Kaspersky Lab právě službu, dostane signál, že datový provoz přicházející ke klientovi neodpovídá statistickému profilu. Je-li útok potvrzen, klient je na útok upozorněn a měl by nařídit přesměrování datového provozu do čisticích center (v některých případech může existovat dohoda s klientem o tom, že se přesměrování zahájí automaticky). Jakmile technologie společnosti Kaspersky Lab určí typ útoku, aplikují se specifická čisticí pravidla pro tento typ útoku a specifický webový zdroj. Některá pravidla určená ke zvládání nejhrubších útoků se komunikují do infrastruktury poskytovatele a aplikují na trasy ve vlastnictví poskytovatele. Zbývající datový provoz je doručen na servery čisticího centra a filtrován podle celé řady charakteristických znaků, jako jsou IP adresy, zeměpisné údaje, informace ze záhlaví HTTP, správnost protokolů, výměna paketů SYN apod. Snímač nadále monitoruje datový provoz přicházející ke klientovi. Pokud provoz stále vykazuje známky útoku DDoS, snímač upozorní čisticí centrum a datový provoz podstoupí hloubkovou analýzu chování a signatur. Pomocí těchto metod lze filtrovat škodlivý provoz podle signatur. Specifický datový provoz lze tedy zcela zablokovat nebo je možné zablokovat IP adresy podle specifických splněných kritérií. Tímto způsobem se filtrují i ty nejsofistikovanější útoky, včetně útoku typu HTTP flood. Tyto útoky zahrnují omezení uživatelů navštěvujících webové stránky, jsou však ve skutečnosti chaotické, nepřirozeně rychlé a obvykle pocházejí z mnoha počítačů zombie. Experti společnosti Kaspersky Lab monitorují celý proces prostřednictvím speciálního rozhraní. Je-li útok složitější než obvykle nebo je atypický, expert může zakročit, změnit pravidla filtrování a přeorganizovat procesy. Klienti mohou rovněž sledovat, jak si řešení vede a jak se chová datový provoz, a to prostřednictvím jejich vlastního rozhraní. 5

6 Obrázek 3. Snímek obrazovky klientského rozhraní Po skončení úroku se datový provoz vrátí zpět na servery klienta. Řešení přejde do pohotovostního režimu a klient dostane detailní zprávu o útoku, včetně podrobného popisu vývoje, grafů zachycujících měřitelné parametry a geografickou distribuci zdrojů útoku. Výhody přístupu společnosti Kaspersky Lab Pouhé přesměrování datového provozu do čisticích center společnosti Kaspersky Lab a filtrování provozu přispívá k výraznému snížení nákladů na straně zákazníka. Pravidla filtrace se vyvíjejí pro každého zákazníka individuálně podle konkrétních online služeb, které je třeba chránit. Experti společnosti Kaspersky Lab celý proces monitorují a v případě potřeby pravidla filtrace rychle upraví. Úzká spolupráce mezi experty na řešení a vývojáři společnosti Kaspersky Lab umožňuje přizpůsobit řešení flexibilně a rychle podle měnících se podmínek. Pro zajištění nejvyšší možné úrovně spolehlivosti využívá společnost Kaspersky Lab pouze evropská zařízení a dodavatele služeb v evropských zemích. Společnost Kaspersky Lab nashromáždila bohaté zkušenosti s aplikací této technologie v Rusku, kde úspěšně chrání přední finanční instituce, komerční agentury, vládní orgány, online obchody apod. Březen 2015 / Globální 2015 Kaspersky Lab. Všechna práva vyhrazena. Registrované ochranné známky a značky služby jsou vlastnictvím jejich příslušných vlastníků.