Kaspersky DDoS Protection Védje üzletét a pénzügyi károktól és a hírnévcsökkenéstől a Kaspersky DDoS Protection segítségével
Az elosztott szolgáltatásmegtagadás (DDoS) típusú támadások a kiberbűnözők legnépszerűbb eszközei közé tartoznak. Az ilyen típusú támadások célja, hogy megakadályozzák a felhasználók számára az információs rendszerek, például weboldalak vagy adatbázisok normál módon történő elérését. A DDoS támadások mögött különböző indítékok húzódhatnak, a kiberhuliganizmustól a tisztességtelen versenygyakorlatokon át, egészen a zsarolásig. A modern DDoS iparág egy többszintű struktúra. Magába foglalja a támadást indító személyeket, a botnetet létrehozó és az erőforrásaikat elérhetővé tevő személyeket, a támadásokat megtervező és az ügyfelekkel kommunikáló közvetítőket, valamint azokat a személyeket, akik megszervezik a kifizetéseket a biztosított szolgáltatásokért. Az interneten elérhető bármely csomópont a támadások célpontjává válhat, legyen szó akár egy kiszolgálóról, egy hálózati eszközről vagy az áldozat alhálózatának használaton kívül lévő címéről. A DDoS támadásokra két gyakori forgatókönyv létezik: kérés küldése közvetlenül a megtámadott erőforrásra nagyszámú robotról, vagy DDoS által felerősített támadás indítása biztonsági réseket tartalmazó, nyilvánosan elérhető kiszolgálókon keresztül. Az első forgatókönyv esetén a kiberbűnözők nagy mennyiségű számítógépet távolról vezérelhető „zombivá” alakítanak, melyek az iránytó parancsit követve egyszerre küldenek kérést az áldozat számítógépes rendszerére („elosztott” támadást indítva). Előfordul, hogy a hackerek felhasználók olyan aktivisták csoportját alkalmazzák a célpontok megtámadására, akiknek átadták a DDoS támadások indítására tervezett speciális szoftvert. A második, felerősítéses támadást alkalmazó forgatókönyvben a robotok helyett adatközpontból bérelt kiszolgálókat használnak. Ehhez általában sebezhető szoftverekkel rendelkező nyilvános kiszolgálókat használnak. Manapság DNS (domain name system) vagy NTP (network time protocol) kiszolgálók használhatók. A támadás felerősítéséhez módosítják az IP-címeket, és egy olyan rövid kérést küldenek a kiszolgálóra, melyhez sokkal hosszabb válaszra van szükség. Végül a kapott választ elküldik az áldozathoz tartozó módosított IP-címre.
DDoS támadási Situaciones deforgatókönyvek ataques Támadók
Felerősítő kiszolgálók
Adatközpontba n bérelt kiszolgálók
Botnetek
Áldozat
C&C kiszolgálók 2014 Kaspersky Lab ZAO
1. ábra – Folyamatábra a legnépszerűbb DDoS támadásokról
Van még egy tényező, ami még veszélyesebbé teszi a helyzetet. A rosszindulatú programok nagy száma miatt, és mivel a kiberbűnözők rengeteg botnetet hoztak létre, csaknem bárki képes ilyen típusú támadást indítani. A kiberbűnözők úgy reklámozzák szolgáltatásaikat, hogy mindössze napi 50 $-ért bárki megszerezheti egy adott weboldal felügyeletét. A kifizetésekre általában virtuális, titkos fizetési eszközökkel (cryptocurrency) kerül sor, ezért a megrendeléseket gyakorlatilag lehetetlen visszakeresni a pénzáramláson keresztül.
2
Védje üzletét a pénzügyi károktól és a hírnévcsökkenéstől a Kaspersky DDoS Protection segítségével
A megfizethető árak pedig azt jelentik, hogy bármilyen online erőforrás a DDos támadások célpontjává válhat. A jelenség nem csupán a nagy és híres szervezetek internetes erőforrásaira korlátozódik. A nagy vállalatok tulajdonában lévő webes erőforrásokban nehezebb kárt tenni, azonban ha ezek elérhetetlenné válnak, az lényegesen magasabb leállási költségeket eredményez. Az elmulasztott üzleti lehetőségekből adódó közvetlen veszteségek mellett a vállalatok a kötelességek elmulasztása miatt bírságokkal, valamint a további támadások ellen védelmet biztosító óvintézkedések következtében extra költségekkel is számolhatnak. Nem utolsósorban pedig a vállalat jó hírneve is csorbulhat, ami a meglévő és a potenciális ügyfelek elvesztéséhez vezethet. A teljes költség az üzlet méretétől, a kiszolgált iparági szegmenstől és a támadott szolgáltatás típusától függ. Az IDC analitikai vállalat számításai szerint egy online szolgáltatás egy órás leállása 10 000 – 50 000 $ pluszköltséget jelenthet egy vállalat számára.
Módszerek a DDoS támadások ellen A piacon számos vállalat kínál a DDoS támadások ellen védelmet biztosító szolgáltatásokat. Némelyik készülékeket telepít az ügyfél információs infrastruktúrájába, vagy az internetszolgáltató funkcióit használja, míg mások dedikált tisztítóközpontokon vezetik át a forgalmat. Azonban ezek a megközelítések mind ugyanazon az elven alapulnak: a káros forgalom, azaz a kiberbűnözők által generált forgalom kiszűrésén. Az ügyféloldalra telepített szűrőeszköz az egyik legkevésbé hatékony módszer. Először is, speciális képzéseket elvégzett személyekre van szükség a vállalaton belül a berendezés szervizelése és működésének beállítása érdekében, ami többletköltségeket eredményez. Másrészt, ez a megoldás csak a szolgáltatás ellen irányuló támadások ellen hatékony, nem akadályozza meg az internetes csatornát elfojtó támadásokat. Hiába működik maga a szolgáltatás, ha nem érhető el az internetről. Mivel a DDoS támadások egyre népszerűbbé válnak, egyre egyszerűbb túlterhelni az összekötő csatornákat. Megbízhatóbb megoldás, ha egy szolgáltató szűri a forgalmat, mivel ez esetben szélesebb az internetes csatorna, ezért túlterhelni is nehezebb. Másrészről, a szolgáltatók nem specializálódnak biztonsági szolgáltatásokra, és a kisebb támadásokat gyakran figyelmen kívül hagyva csak a legnyilvánvalóbb káros forgalmat szűrik ki. A támadások mélyreható elemzéséhez és a gyors reagáláshoz megfelelő szakértelemre és tapasztalatra van szükség. Emellett ez a típusú védelem függővé teszi az ügyfelet a szolgáltatótól, mely nehézségeket jelenthet, ha az ügyfélnek biztonsági mentési csatornát kell használnia vagy szolgáltatót kell váltania. Éppen ezért a DDoS támadások semlegesítéséhez többféle forgalomszűrő módszert alkalmazó, speciális feldolgozóközpontok jelenti a leghatékonyabb megoldást.
Kaspersky DDoS Protection A Kaspersky DDoS Protection megoldás adattisztító központokból álló elosztott infrastruktúra használatával véd a DDos támadások minden típusa ellen. A megoldás különböző módszereket kombinál: szolgáltató oldali forgalomszűrés, távolról vezérelt készülék telepítése az ügyfél infrastruktúrájába a forgalom elemzése céljából, és rugalmas szűrőket használó speciális tisztítóközpontok alkalmazása. Emellett a megoldás működését a Kaspersky Lab szakértői is folyamatosan figyelemmel kísérik a támadások mielőbbi észlelése és szükség esetén a szűrők módosítása érdekében.
3
Védje üzletét a pénzügyi károktól és a hírnévcsökkenéstől a Kaspersky DDoS Protection segítségével
KasperskyDDoS DDoSProtection Protection aktív en Modo activoo Kaspersky módban Internet Ügyfél edge routere
Ügyfél IT-infrastruktúrája
A kapcsolatot letiltotta az ügyfél
Ügyfél
Szenzor Szűrési szabályok
Statisztikai adatok
Szakértő
Internetszolgáltató
Kaspersky DDoS Prevention center
2014 Kaspersky Lab ZAO
2. ábra Kaspersky DDoS Protection: Működési diagram
A Kaspersky Lab fegyvertára Az elmúlt több mint egy évtizedben a Kaspersky Lab számos online fenyegetéssel küzdött meg sikeresen. Ez idő alatt a Kaspersky Lab elemzői egyedi és magas szintű szakértelemre tettek szert, a DDoS támadások működésének pontos megértését is beleértve. A vállalat szakértői folyamatosan figyelik az interneten végbemenő legújabb fejlődéseket, elemzéseket végeznek a kibertámadások legfrissebb módszereiről, és folyamatosan fejlesztik meglévő biztonsági eszközeinket. Ennek a szakértelemnek köszönhetően a DDosS támadások már az előtt észlelhetők, hogy elérnék a célpont webes erőforrását. A Kaspersky DDoS Protection technológia második eleme az ügyfél IT-infrastruktúrája mellé telepített érzékelő. Az érzékelő egy, az Ubuntu operációs rendszer alatt futó szoftver, melyhez szabványos ×86 kiszolgálóra van szükség. Az érzékelő elemzi a használt protokolltípusokat, az elküldött bájtok és adatcsomagok számát és az ügyfél viselkedését a weboldalon, azaz a metaadatokat, vagyis az elküldött adatokra vonatkozó információkat. Nem irányítja át sehova a forgalmat, nem módosítja azt, és nem elemzi az üzenetek tartalmát. Az érzékelő a statisztikákat a felhőalapú Kaspersky DDoS Protection infrastruktúrába továbbítja, ahol az összegyűjtött metaadatok alapján minden ügyfélhez statisztikai alapú profil készül. Ezek a profilok lényegében az egyes ügyfelek tipikus információcserélési mintáit rögzítik. A tipikus használati időkben megfigyelhető változások szintén rögzítésre kerülnek. Később aztán a megoldás ezeket a statisztikákat használja a forgalom elemzésére. Ha a forgalom viselkedése eltér a statisztikán alapuló profiltól, az támadásra utalhat. A Kaspersky DDoS Protection alapját a tisztítóközpontok adják. Ezek a fő internetes gerinchálózaton, például Frankfurtban és Amszterdamban találhatók. A Kaspersky Lab egyszerre több tisztítóközpontot használ, így képes megosztani vagy átirányítani a megtisztítandó forgalmat. A feldolgozóközpontok egy közös felhőalapú információs infrastruktúrában egyesülnek, és az adatok tárolása ezek határain belül történik. Például az európai ügyfelek webes forgalma nem hagyja el Európát.
4
Védje üzletét a pénzügyi károktól és a hírnévcsökkenéstől a Kaspersky DDoS Protection segítségével
A DDoS-forgalom szabályozásának másik módja a szolgáltató oldalon történő szűrés. Az internetszolgáltató nem csak internetcsatornát szolgáltathat, technológiai együttműködési megállapodást is köthet a Kaspersky Lab vállalattal. Így a Kaspersky DDoS Protection a kiindulási ponthoz lehető legközelebb képes kiiktatni a DDoS támadások többségében használt nyilvánvaló káros forgalmat. Ez megakadályozza, hogy az adatfolyamok egyetlen erős támadássá olvadjanak össze, és csökkenti a tisztítóközpontok terhelését, melyek így a kifinomultabb káros forgalom kezelésére összpontosíthatnak.
Forgalomátirányító eszközök A biztonsági megoldás hatékony működésének első fontos követelménye, hogy egy összekötő csatornát kell létrehozni a tisztítóközpontok és az ügyfél IT-infrastruktúrája között. A Kaspersky DDoS Protection esetén ezek a csatornák a Generic Routing Encapsulation (általános útválasztási beágyazás) protokollnak megfelelően vannak elrendezve. Virtuális alagutat hoznak létre a tisztítóközpont és az ügyfél hálózati berendezése között, melyen keresztül a megtisztított forgalom eljuttatható az ügyfél felé. A tényleges forgalomátirányításra két módszerrel kerülhet sor: az ügyfél alhálózatának bejelentése dinamikus útválasztó protokoll használatával, vagy a DNS-rekord módosítása a tisztítóközpont URL-jének megadásával. Az első módszer azért hatásosabb, mivel sokkal gyorsabban képes a forgalom átirányítására, és védelmet nyújt a konkrét IP-címeket közvetlenül célzó támadások ellen. Azonban ehhez a módszerhez az ügyfeleknek szolgáltatótól független címtartománnyal, például regionális internetnyilvántartó által szolgáltatott IP-cím csoporttal kell rendelkeznie. A tényleges átirányítási eljárás szempontjából a két módszer nem sokban különbözik. Az első módszer esetén az ügyféloldali és a tisztítóközpont-oldali BPG routerek állandó kapcsolatot létesítenek a virtuális alagúton keresztül; támadás esetén a megoldás új útvonalat hoz létre a tisztítóközpont és az ügyfél között. A második módszer alkalmazásakor az ügyfélhez a tisztítóközpont címkészletéből rendelnek hozzá egy IP-címet. Támadás esetén az ügyfél az A típusú DNS-rekord IP-címét a tisztítóközpont által biztosított IP-címre cseréli. Ezt követően az ügyfél címére érkező minden forgalom először a tisztítóközponthoz kerül. A régi IP-cím támadásának megszüntetéséhez azonban a szolgáltatónak a tisztítóközpontból érkező adatok kivételével minden bejövő forgalmat blokkolnia kell.
Hogyan működik Normál körülmények között az internetről érkező minden forgalom közvetlenül az ügyfélhez kerül. Beavatkozásra akkor kerül sor, ha jel érkezik az érzékelő felől. Bizonyos esetekben a Kaspersky Lab elemzői már az első lépés során tudomást szereznek a támadásról, és értesítik az ügyfelet. Ebben az esetben előre megtehetők a szükséges óvintézkedések. A Kaspersky Lab szolgálatban lévő DDoS szakértője jelzést kap arról, hogy az ügyfélhez beérkező forgalom nem felel meg a statisztikai profilnak. Ha bebizonyosodik, hogy támadásról van szó , munkatársaink értesítik az ügyfelet, és a forgalom átirányítására utasíthatják (bizonyos esetekben létezhet az ügyféllel az átirányítás automatikus megkezdésére vonatkozó megállapodás). Miután a Kaspersky Lab technológiái azonosították a támadás típusát, az adott támadástípusnak és az érintett webes erőforrásnak megfelelő speciális tisztítási szabályokat alkalmaznak. Bizonyos, a legkomolyabb támadástípusok kezelésére tervezett szabályok a szolgáltató felé is kommunikálásra kerülnek, és alkalmazásuk a szolgáltató tulajdonában lévő routereken történik. A fennmaradó forgalom a tisztítóközpont kiszolgálóiba továbbítva olyan tulajdonságok alapján kerül szűrésre, mint az IP-cím, földrajzi adatok, a HTTP-fejlécekből származó információk, a protokollok helyessége és a SYN-csomagok küldése stb. Az érzékelő folyamatosan megfigyeli az ügyfélhez visszairányított forgalmat. Ha a forgalom továbbra is DDoS támadás jeleit mutatja, az érzékelő értesítést küld a tisztítóközpontnak, ahol a forgalmat mélyreható viselkedésés aláírás-elemzésnek vetik alá. Ezekkel a módszerekkel a rosszindulatú forgalom aláírások alapján szűrhető, azaz bizonyos típusú forgalom teljes blokkolására, vagy az IP-címek meghatározott kritériumok alapján történő blokkolására is lehetőség van. Ilyen módon még a legkifinomultabb támadások is kiszűrhetők, a HTTPtúlterheléses támadásokat is beleértve. Ezek a támadások a felhasználók böngészését imitálják, azonban kaotikusak és természetellenesen gyorsak, és általában zombiszámítógépek egész csoportjáról érkeznek. A Kaspersky Lab szakértői egy dedikált felhasználói felület használatával az egész folyamatot nyomon követik. A szokásosnál bonyolultabb vagy nem tipikus támadások esetén a szakértők beavatkozhatnak, módosíthatják a szűrési szabályokat és átalakíthatják a folyamatot. Az ügyfelek saját felhasználói felületük használatával szintén nyomon követhetik a megoldás teljesítményét és a forgalom viselkedését.
5
Védje üzletét a pénzügyi károktól és a hírnévcsökkenéstől a Kaspersky DDoS Protection segítségével
3. ábra Képernyőképek az ügyfél felhasználói felületéről
Amikor a támadásnak vége, a forgalmat visszairányítjuk az ügyfél kiszolgálóira. A Kaspersky DDoS Protection készenléti módba áll, és az ügyfél részletes jelentést kap a támadásról, ami a támadás menetéről készített részletes beszámolót, a mérhető paramétereket tartalmazó grafikont és a támadás forrásának földrajzi eloszlását tartalmazza.
A Kaspersky Lab megközelítésének előnyei • A támadás során a Kaspersky Lab tisztítóközpontokba történő forgalomátirányítás és a szolgáltató-oldali forgalomszűrés segít az ügyfelek költségeinek jelentős csökkentésében. • A szűrési szabályok meghatározása minden ügyfélhez egyénileg, a megvédeni kívánt online szolgáltatásoknak megfelelően történik. • A Kaspersky Lab szakértői folyamatosan figyelemmel kísérik a folyamatot, és szükség esetén gyorsan módosítják a szűrési szabályokat. • A Kaspersky DDoS Protection szakértők és a Kaspersky Lab fejlesztők szoros együttműködésének köszönhetően a megoldás a körülmények változásainak megfelelően rugalmasan és gyorsan módosítható. • A lehető legmagasabb szintű megbízhatóság érdekében a Kaspersky Lab csak európai berendezéseket és szolgáltatókat alkalmaz az európai országokban. • A Kaspersky Lab nagy tapasztalatot szerzett a technológia alkalmazásában Oroszországban, ahol sikeresen gondoskodik számos vezető pénzügyi szervezet, kereskedelmi és kormányzati ügynökség, online üzlet stb. védelméről. 2015. március/Globális © 2015 Kaspersky Lab. Minden jog fenntartva. A bejegyzett védjegyek és szolgáltatási védjegyek azok tulajdonosainak tulajdonát képezik.
www.kaspersky.com
