Atak DDoS na Parlament Europejski
Można to nazwać „dyplomacją DDOS”. Zdarzenie, o którym mowa, miało miejsce w listopadzie, kiedy powiązany z Rosją cyberprzestępca tymczasowo zamknął stronę internetową Parlamentu Europejskiego za pomocą rozproszonego ataku typu „odmowa usługi” (DDoS). Incydent miał miejsce wkrótce po tym, jak prawodawcy UE przyjęli rezolucję uznającą Rosję za państwowego sponsora terroryzmu, co spowodowało wyłączenie strony internetowej na około dwie godziny.
Jak przekazała przewodnicząca Parlamentu Europejskiego, do przeprowadzenia ataku przyznała się grupa prokremlowskich hakerów.
Atak został przypisany podejrzanemu ugrupowaniu cyberprzestępczęmu sponsorowanemu przez Federację Rosyjską o nazwie Killnet. Rzekomo pod kierownictwem Kremla, cyberprzestępcy wykorzystywali ataki DDoS, aby wyrazić niezadowolenie Rosji. Taki atak na organizację może rzucić ofiarę na kolana na wiele godzin, co jest skuteczną, ale znacznie łagodniejszą formą agresji w porównaniu z jawnym konfliktem zbrojnym — z dodatkową korzyścią oficjalnego zaprzeczenia.
Ten niedawny atak na Parlament UE jest również spójny z wcześniejszą działalnością grupy Killnet. Wiadomo, że ta grupa bierze na cel firmy i agencje rządowe wspierające Ukrainę. W październiku grupa na krótko zlikwidowała nowojorskie witryny LaGuardia, Los Angeles International i kilka innych amerykańskich lotnisk. W marcu zamknęli stronę internetową amerykańskiego lotniska w odwecie za wsparcie materialne USA dla Ukrainy, powołując się na federalnego doradcę ds. Bezpieczeństwa Cybernetycznego.
Te złośliwe działania zwiększają obciążenia ponoszone przez CISO w sektorze publicznym i prywatnym, którzy muszą być przygotowani na przeciwstawne skutki działań podejmowanych przez ich organizacje, takich jak wyrażanie publicznego poparcia dla Ukrainy. Te geopolitycznie umotywowane działania mogą obejmować odwetowe ataki DDoS. Przeczytaj więcej o motywacji ataku w naszym artkule.
Trzy najczęstsze typy ataków DDoS
1. Ataki w warstwie aplikacji
Celem ataku w warstwie aplikacji jest wyczerpanie zasobów sieciowych i wywołanie sytuacji typu „odmowa usługi”. Hakerzy atakują warstwę serwera, w której strony internetowe są generowane i dostarczane w odpowiedzi na żądania HTTP. Następnie zalewają serwer licznymi żądaniami, przeciążając go, co skutkuje odmową usługi.2. Ataki na protokół
Ataki na protokoły powodują odmowę usługi poprzez nadmierne zużycie zasobów serwera lub sieci. Na przykład osoba atakująca wysyła wiele początkowych żądań połączenia. Następnie komputer docelowy czeka na ostatni krok uzgadniania protokołu TCP, ale połączenie nigdy nie zostaje sfinalizowane, a zasoby celu są wyczerpane.3. Ataki wolumetryczne
W przypadku ataku wolumetrycznego osoba atakująca powoduje przeciążenie sieci, zużywając dostępną przepustowość między urządzeniami a Internetem. Następnie duże ilości danych są wysyłane do ofiary za pomocą botnetu. Ten rodzaj ataku jest również nazywany atakiem wzmacniającym DNS lub atakiem wzmacniającym odbicie. Według CISA, przestępcy używają zewnętrznego serwera („odbłyśnika”) jako pośrednika, który hostuje i odpowiada na podany sfałszowany źródłowy adres IP.8 sposobów na powstrzymanie ataków DDoS
1. Popraw cyberodporność dzięki zaawansowanemu rozwiązaniu ZTNA
Według BDIR firmy Verizon z 2022 r., DDoS był najbardziej rozpowszechnioną formą ataku. Gdy zostanie przyjęty dostęp do sieci o zerowym zaufaniu (ZTNA), może być skutecznym środkiem łagodzącym te rażące ataki. Natywne rozwiązanie ZTNA w chmurze, które zawiera silne funkcje ochrony punktów końcowych – takie jak CylanceGATEWAY – może zapewnić potrójną ochronę, wykrywanie i zapobieganie atakom DDoS.
2. Blackhole routing
Jeśli nie używasz zaawansowanego rozwiązania ZTNA, w zależności od ograniczeń budżetowych, alternatywą do rozważenia jest routing blackhole. Dzięki tej taktyce ruch sieciowy trafia do „czarnej dziury” i jest tracony. Wadą tej metody jest to, że bez odpowiednich kryteriów ograniczeń z sieci odrzucany jest zarówno legalny, jak i nielegalny ruch. To sprawia, że atak DDoS jest skuteczny, ponieważ sieć jest teraz niedostępna.
3. Monitoring mediów społecznościowych
Monitoruj media społecznościowe, zwłaszcza Twittera, pod kątem gróźb, rozmów i przechwałek, które mogą wskazywać, że jesteś celem.
Oto bezpłatny zasób, który może okazać się przydatny: narzędzia i biblioteki v2 stworzone przez Twittera.
4. Ograniczanie szybkości
Ogranicz liczbę żądań, które serwer zaakceptuje w określonym przedziale czasu. Samo to zwykle nie wystarcza do obrony przed bardziej złożonymi atakami, ale jest dobrym elementem wieloczęściowej strategii łagodzenia skutków.
5. Zapora sieciowa aplikacji (WAF – Web Application Firewall)
Upewnij się, że rozumiesz swoje krytyczne zasoby i usługi. Ustal priorytety w oparciu o krytyczność misji i potrzebę dostępności oraz upewnij się, że WAF obejmuje te krytyczne elementy.
WAF może pomóc organizacji w łagodzeniu ataków w warstwie aplikacji. Uproszczony sposób myślenia o WAF przypomina ochroniarza. Stoi między użytkownikami Internetu a serwerami organizacji i kontroluje prośby o wejście.
Ponadto organizacje mogą tworzyć reguły dla swoich WAF, które filtrują przychodzące żądania. Reguły te można następnie dostosować, aby przeciwdziałać obserwowanym wzorcom podejrzanych działań przeprowadzanych przez DDoS.
6. Testy penetracyjne
Rozważ skorzystanie z usługi penetracji lub testowania za pomocą innej firmy, aby zasymulować atak na Twoją infrastrukturę informatyczną przy użyciu rzeczywistych scenariuszy, abyś mógł być przygotowany na prawdziwe wydarzenia. Regularne ćwiczenie planu reagowania na ataki DDoS w organizacji ze wszystkimi wewnętrznymi i zewnętrznymi interesariuszami pomoże zidentyfikować luki i problemy, upewnić się, że wszyscy uczestnicy rozumieją swoje role i obowiązki podczas ataku DDoS oraz zbudować zaufanie do planu reagowania.
7. Metoda dyfuzji sieci Anycast
Anycast to metoda routingu sieciowego, która rozdziela przychodzące żądania na różne serwery. Chodzi o to, aby w przypadku ataku DDoS dodatkowy ruch był rozprowadzany i absorbowany przez sieć. Skuteczność tego podejścia zależy od rozmiaru ataku DDoS oraz wielkości i kompetencji sieci.
8. Subskrypcja usługi ochrony przed atakami DDoS
Wspólny przewodnik CISA, Federalnego Biura Śledczego (FBI) i Wielostanowego Centrum Wymiany i Analizy Informacji (MS-ISAC) zaleca organizacjom zarejestrowanie się w dedykowanej usłudze ochrony przed atakami DDoS. Chociaż wielu dostawców usług internetowych (ISP) ma zabezpieczenia DDoS, mogą one być niewystarczające, aby wytrzymać ataki zaawansowane DDoS na dużą skalę. Usługa ochrony przed atakami DDoS, może monitorować ruch, potwierdzać atak, identyfikować źródło i łagodzić sytuację, przekierowując złośliwy ruch z dala od sieci.
Jak się chronić przed atakiem DDoS?
CylanceGATEWAY zawiera AWS Shield jako dodatkową warstwę ochrony.
Usługi Edge Defense mogą skrócić przestoje spowodowane atakami DDoS. Usługi ochrony brzegowej, wykrywania i ograniczania zagrożeń zmniejszają ryzyko dotarcia złośliwego ruchu do celu i znacznie zwiększają szanse na dotarcie do witryn/aplikacji internetowych przez legalnych użytkowników.
