Jak přežít DDoS? IDG Cyber Security 2016
Martin Půlpán CEO net.pointers s.r.o.
[email protected]
KDO JSME? • odborníci na kybernetickou bezpečnost • největší experti na DDoS ochranu v regionu – naše řešení chrání jen v CZ více jak 700Gb/s Internetové konektivity – regionální partneři Arbor Networks (CZ/SK) • specializujeme se na bezpečnostní řešení proti APT útokům – vizibilita datových toků – detekce neznámého malware – ochrana citlivých dat • Kybernetická bezpečnost = lidé + procesy + technologie
500 Gbps …450 Gbps, 425 Gbps, 337 Gbps........
FAKTA O DDOS ÚTOCÍCH 1.1.2016 – historicky největší útok 602 Gbps z Amazon Cloud DDoS Tool "stresser”… "booter"
DRUHY ÚTOKŮ
• Volumetrické útoky – Cílem je zahltit přenosové pásmo, znemožnit tak napadenému subjektu komunikaci
• TCP State-Exhaustion útoky – Cílem je vyčerpat kapacitu stavových tabulek klíčových komunikačních systémů otevřením velkého množství spojení, což způsobí nefunkčnost FW, loadbalancerů či IPS systémů
• Aplikační útoky – Útoky na aplikace a síťové služby (7. vrstva) s cílem znemožnit fungování klíčových síťových služeb, nejčastějším cílem je DNS
STÁLE ČASTĚJŠÍ ÚTOKY Fakt:
Nikdy nebylo jednodušší objednat DDoS útok Aktuální ceny DDoS útoků: 1 hodina: 10 USD 1den: 30 – 70 USD 1 týden: 150 USD 1 měsíc: 1200 USD
Fakt:
Narůstá velikost, frekvence i škody DDoS útoků -NPT reflection amplification útok na DC v Asii 334Gbps (Q1/2015)
NÁRŮST KOMPLEXNÍCH ÚTOKŮ Fakt:
DDoS útoky se stávají více sofistikovanými
• DDoS útoky jsou kombinací volumetrického a aplikačního útoku • Často jsou jen zástěrkou pro další kybernetické útoky s cílem proniknout do interní sítě
2015 -TRENDY DDOS
CÍLEM MŮŽE BÝT KDOKOLIV Fakt:
Jakákoliv organizace může být cílem DDoS útoku
# 1 v roce 2015 Finanční sektor
Kritická infrastruktura
Online zábava eShopy Vzdělávací instituce Státní správa Časté je vydírání ….
Cloud služby
FINANČNÍ DOPADY ÚTOKŮ Fakt:
Zdroj: Arbor Networks
Ztráty jsou okamžité a mohou být velmi vážné
ZVÝŠENÝ TLAK NA BEZPEČNOSTNÍ TÝMY Fakt:
DDoS útoky je postiženo mnoho organizací
• Chybějící nebo nefunkční bezpečnostní procesy • Nedostatek odborníků, malá kapacita • Omezené technologické možnosti, jak čelit komplexním a sofistikovaným útokům • Podcenění situace – reálné hrozby útoku z Internetu
REÁLNÉ HROZBY JSOU I U NÁS Fakt:
Výrazný meziroční nárůst DDoS útoků v CZ -
některé organizace čelí permanentním útokům (téměř nonstop) narůstá velikost útoků 70+Gb/s zdroje DDoS útoků i z CZ (nárůst lokálních BOTNET zdrojů)
Je DDoS ochrana součástí vašeho business continuity planningu? JSTE OPRAVDU PŘIPRAVENI?
Příklad # 1
NTP amplifikace - doba trvání téměř 5 hodin - útok NTP amplifikace 2.5G+ - online herní server, který neměl implementovanou Anti DDOS ochranu - vyčíslená ztráta za nedostupnost casinového portálu v tuto dobu > několik mil. CZK
Příklad # 2
SYN flood - zákazník měl připravenou ochranu od ISP (managed service) - zafungovala automatická mitigace v první minutě útoku - zaznamenáno pomalejší internetové bankovnictví v 1. minutě Červená = útok, který se k zákazníkovi nedostal Zelená = zákaznický legitimní traffic
JAK ZASTAVIT DDOS ÚTOK? Nejlepší Anti DDoS řešení:
NĚKOLIKA-ÚROVŇOVÁ OCHRANA DDoS Protection Service 1.5Tbps v globálním scrubbing centru (2TB polovina 2016), 6 DC (2 NA, 2 APAC, 2 EMEA)
1
Zastavení volumetrického útoku v cloudu operátora
SP/ISP Scrubbing Center
3
5 ARBOR CLOUD Inteligentní komunikace mezi ISP a zákaznickým systémem (Cloud signaling)
Zákaznická data centra/interní síť
Volumetrický útok Aplikační útok
Internet 4
Aktivní update a “threat intelligence”
ISP síťová infrastruktura Kontinuální monitoring a update zdrojů možných útoků z Internetu.
2
Eliminace aplikačních útoků a ochrana proti sofistikovaným bezpečnostním hrozbám, detekce botů (inbound/outbound)
ANTI DDOS MANAGED SERVICE
ANTI DDOS JAKO SLUŽBA Cloud služba pro SP/ISP v případě extrémího útoku (reakce v rámci hodin)
1
SP/ISP In-Cloud, účinná ochrana proti volumetrickým útokům
SP/ISP
Botnet, DDoS, Malware
Legitimní provoz
5 ARBOR CLOUD
Inteligentní komunikace mezi In-Cloud a On-Prem řešením
3
SP/ISP Cloud Scrubbing Center
Cloud Signaling
2
Volumetrický útok Aplikační útok
Internet 4
Arbor APS
In-Cloud
Inteligentní update rozhodovací logiky systému Monitoring zdrojů útoků Analýza nových metod útoků
Komplexní ochrana proti sofistikovaným aplikačním útokům a jiným hrozbám
On-Prem
SP/ISP Anti DDoS služba 6
Vzdálená správa a monitoring 24x7x365 Reporting a analýza útoků Procesy pro validaci a aktivaci “čištění”
ON-PREMISE: ARBOR PRAVAIL • Pokročilá In-Line ochrana proti aplikačním DDoS útokům a dalším bezpečnostním hrozbám • In-bound/Out-bound monitoring a eliminace bezpečnostních hrozeb • Výkonnost ochrany od 1Gbps-40Gbps (2U HW) nebo virtuální systém do 1Gbps • One-Box SSL Inspection ochrana proti útokům vedených SSL komunikačním kanálem • Cloud SignalingSM - inteligentní komunikace se systémem ISP • ATLAS Intelligence Feed (AIF) -permanentní update, popis zdrojů, útoků, rychlejší identifikace bez nutnosti analýzy • Managed Service - bez nutnosti hluboké technické znalosti problematiky
HW zařízení
Virtuální licence
Otázky a odpovědi?
Děkuji za pozornost!