Jak přežít DDoS? IDG Cyber Security 2016 Martin Půlpán CEO net.pointers s.r.o. martin.pulpan@pointers.cz
KDO JSME? odbornícina kybernetickou bezpečnost největší experti na DDoS ochranu v regionu naše řešeníchrání jen v CZ více jak 700Gb/s Internetové konektivity regionální partneřiarbor Networks (CZ/SK) specializujemese na bezpečnostnířešeníprotiapt útokům vizibilita datových toků detekce neznámého malware ochrana citlivých dat Kybernetická bezpečnost= lidé + procesy+ technologie
500 Gbps 450 Gbps, 425 Gbps, 337 Gbps... FAKTA O DDOS ÚTOCÍCH 1.1.2016 historicky největší útok 602 Gbps z Amazon Cloud DDoS Tool "stresser "booter"
DRUHY ÚTOKŮ Volumetrické útoky Cílem je zahltit přenosové pásmo, znemožnit tak napadenému subjektu komunikaci TCP State-Exhaustion útoky Cílem je vyčerpat kapacitu stavových tabulek klíčových komunikačních systémů otevřením velkého množství spojení, což způsobí nefunkčnost FW, loadbalancerů či IPS systémů Aplikační útoky Útoky na aplikace a síťové služby (7. vrstva) s cílem znemožnit fungování klíčových síťových služeb, nejčastějším cílem je DNS
STÁLE ČASTĚJŠÍ ÚTOKY Fakt: Nikdy nebylo jednodušší objednat DDoS útok Aktuální ceny DDoS útoků: 1 hodina: 10 USD 1den: 30 70 USD 1 týden: 150 USD 1 měsíc: 1200 USD Fakt: Narůstá velikost, frekvence i škody DDoS útoků -NPT reflection amplification útok na DC v Asii 334Gbps (Q1/2015)
NÁRŮST KOMPLEXNÍCH ÚTOKŮ Fakt: DDoS útoky se stávají více sofistikovanými DDoS útoky jsou kombinací volumetrického a aplikačního útoku Často jsou jen zástěrkou pro další kybernetické útoky s cílem proniknout do interní sítě
2015 -TRENDY DDOS
CÍLEM MŮŽE BÝT KDOKOLIV Fakt: Jakákoliv organizace může být cílem DDoS útoku # 1 v roce 2015 Finanční sektor Kritická infrastruktura Online zábava eshopy Vzdělávací instituce Státní správa Časté je vydírání. Cloud služby
FINANČNÍ DOPADY ÚTOKŮ Fakt: Ztráty jsou okamžité a mohou být velmi vážné Zdroj: Arbor Networks
ZVÝŠENÝ TLAK NA BEZPEČNOSTNÍ TÝMY Fakt: DDoS útoky je postiženo mnoho organizací Chybějící nebo nefunkční bezpečnostní procesy Nedostatek odborníků, malá kapacita Omezené technologické možnosti, jak čelit komplexním a sofistikovaným útokům Podcenění situace reálné hrozby útoku z Internetu
REÁLNÉ HROZBY JSOU I U NÁS Fakt: Výrazný meziroční nárůst DDoS útoků v CZ - některé organizace čelí permanentním útokům (téměř nonstop) - narůstá velikost útoků 70+Gb/s - zdroje DDoS útoků i z CZ (nárůst lokálních BOTNET zdrojů) Je DDoS ochrana součástí vašeho business continuity planningu? JSTE OPRAVDU PŘIPRAVENI?
Příklad # 1 NTP amplifikace - doba trvání téměř 5 hodin - útok NTP amplifikace 2.5G+ - online herní server, který neměl implementovanou Anti DDOS ochranu - vyčíslená ztráta za nedostupnost casinového portálu v tuto dobu > několik mil. CZK
Příklad # 2 SYN flood - zákazník měl připravenou ochranu od ISP (managed service) - zafungovala automatická mitigace v první minutě útoku - zaznamenáno pomalejší internetové bankovnictví v 1. minutě Červená = útok, který se k zákazníkovi nedostal Zelená = zákaznický legitimní traffic
JAK ZASTAVIT DDOS ÚTOK? Nejlepší Anti DDoS řešení:
NĚKOLIKA-ÚROVŇOVÁ OCHRANA DDoS Protection Service 1.5Tbps v globálním scrubbing centru (2TB polovina 2016), 6 DC (2 NA, 2 APAC, 2 EMEA) 5 ARBOR CLOUD 1 Zastavení volumetrického útoku v cloudu operátora SP/ISP Scrubbing Center 3 Inteligentní komunikace mezi ISP a zákaznickým systémem (Cloud signaling) Volumetrický útok Zákaznická data centra/interní síť Aplikační útok 4 Internet Aktivní update a threat intelligence ISP síťová infrastruktura Kontinuální monitoring a update zdrojů možných útoků z Internetu. 2 Eliminace aplikačních útoků a ochrana proti sofistikovaným bezpečnostním hrozbám, detekce botů (inbound/outbound)
ANTI DDOS MANAGED SERVICE
ANTI DDOS JAKO SLUŽBA 1 SP/ISP In-Cloud, účinná ochrana proti volumetrickým útokům Cloud služba pro SP/ISP v případě extrémího útoku (reakce v rámci hodin) SP/ISP 3 5 ARBOR CLOUD Inteligentní komunikace mezi In-Cloud a On-Prem řešením Botnet, DDoS, Malware Legitimní provoz Volumetrický útok Aplikační útok SP/ISP Cloud Scrubbing Center Cloud Signaling 2 Komplexní ochrana proti sofistikovaným aplikačním útokům a jiným hrozbám Internet In-Cloud Arbor APS On-Prem 4 Inteligentní update rozhodovací logiky systému Monitoring zdrojů útoků Analýza nových metod útoků 6 SP/ISP Anti DDoS služba Vzdálená správa a monitoring 24x7x365 Reporting a analýza útoků Procesy pro validaci a aktivaci čištění
ON-PREMISE: ARBOR PRAVAIL Pokročilá In-Line ochrana proti aplikačním DDoS útokům a dalším bezpečnostním hrozbám In-bound/Out-bound monitoring a eliminace bezpečnostních hrozeb Výkonnost ochrany od 1Gbps-40Gbps(2U HW) nebo virtuální systém do 1Gbps One-Box SSL Inspection ochrana proti útokům vedených SSL komunikačním kanálem Cloud Signaling SM - inteligentní komunikace se systémem ISP ATLAS Intelligence Feed (AIF) -permanentní update, popis zdrojů, útoků, rychlejší identifikace bez nutnosti analýzy Managed Service - bez nutnosti hluboké technické znalosti problematiky HW zařízení Virtuální licence
Otázky a odpovědi? Děkuji za pozornost!