Blog Incydent

Raport ataki DDoS – perspektywa operatora telekomunikacyjnego

Praca dla operatora usług telekomunikacyjnych daje globalną optykę (BIG PICTURE) zachowań w sieci. W zdecydowanej większości dla Admina to sieć LAN, dla operatora to WAN/GAN. Współpraca ze specjalistami SOC/NOC to przywilej, dlatego tym bardziej zachęcam do lektury raportu, który współtworzyłem.
Perspektywa 2018-2020r.

Raport dostępny na:
https://www.netia.pl/pl/srednie-i-duze-firmy/produkty/bezpieczenstwo/netia-ddos-protection

wnioski/refleksje

1. Zauważalna analogia pomiędzy spadkiem kursu kryptowalut, a wzrostem liczby ataków DDoSodwrotnie proporcjonalna korelacja pomiędzy kursami, a mocą ataków.
2. Czas trwania ataku w średniej wielkości firmie wynosi ok. 40 minut, a maksymalnie może sięgać nawet 34 000 minut.
3. Infrastruktura wielu firm nie jest w stanie poradzić sobie z atakiem DDoS  o skali 20-30% łącza którym dysponują.
4. Uruchamiając własne serwisy i systemy IT w Internecie, warto zweryfikować dostawcę – jakie ma systemy ochrony i mitygacji przed atakami DDoS. W zdecydowanej większości, ze względu na wysokie koszty to domena największych telekomów i dostawców ISP. Często u mniejszych operatorów, paraliż przeżywa nie tylko atakowany, ale również wszyscy klienci danego dostawcy Internetu.
5. Wiodący operatorzy współpracują z organizacjami CERT, otrzymują informacje o nadużyciach „abuse” i mają obowiązek poinformować Abonentów min., że ich systemy i łączą uczestniczą bez wiedzy właścicieli w globalnych atakach DDoS, Brute Force stając się cześcią botnetu – atakujący przy użyciu zainfekowanych komputerów “zombie” skutecznie wysyca pojemność łącza, powodując paraliż działania serwisu. W skrajnych przypadkach, po poinformowaniu Klienta, braku reakcji i podjęcia działań naprawczych Operator może wyłączyć wskazaną pulę adresów IP uczestniczących w poważnym incydencie. Jeśli zauważasz niską wydajność swoich systemów i aplikacji, nie zawsze to wina dostawcy internetu.
6. DoS jako “zasłona dymna”. Cyberprzestępcy często łączą wektory ataku. DDoS jest często próbą odwrócenia uwagi, gdy nie działają kluczowe systemy i aplikacje internetowe, wszystkie ręce IT są na pokładzie, a rzeczywisty wektor ataku może zostać nie zauważony.
7. Najczęściej wykorzystywanymi protokołami w ramach ataków DDoS są m. in. NTP (Network Time Protocol), DNS (Domain Name System) czy CLDAP (Connectionless Lightweight Directory Access Protocol).
8. W przypadku Klientów lokalnych operatorów ISP (internet service priovider), atak na takiego jednego abonenta powoduje problemy wszystkich lub przynajmniej tych, którzy korzystają z tych samych urządzeń dostępowych.
9. Dlaczego warto mieć Internet od wiodących operatorów? Najwięksi dostawcy są podmiotami kluczowymi, na których szereg rygorystycznych działań nakłada ustawa Krajowego Systemu Cyberbezpieczeństwa (KSC) oraz dyrektywa NIS i NIS2. Operator, aby chronić siebie i swoich Klientów, monitoruje punkty wymiany ruchu i sieć. Wykorzystuje struktury SOC (Security Operations Center) i NOC (Network Operation Center), aby podejmować działania zapobiegające, wykrywające, a także mitygujące ataki DDoS. Ataki wolumetryczne DDoS z perspektywy operatora to incydent, który wpływa na dostępność i wydajność największych wartości operatora, czyli sieci i punktów wymiany ruchu z operatorami globalnymi, co ma bezpośrednie przełożenie na dostępność systemów IT, łączności, aplikacji, danych, informacji własnych i Klientów.

Ważne:

Wiodący dostawcy Internetu mają wdrożone mechanizmy  RPKI (ang. Resource Public
Key Infrastructure), które zabezpieczają adresację IP przed nieuprawnionym użyciem przez innych użytkowników internetu, filtruje całą rozgłaszaną adresację w ramach routingu BGP (w oparciu o wpisy w tablicy routingu wybierane są optymalne trasy w sieci Internet). Filtrowanie RPKI odbywa się w oparciu o obiekty podpisane certyfikatem tzw. ROA (ang. Route Origin Authorization). Każdy taki obiekt zawiera powiązanie pomiędzy numerem ASN (numer systemu autonomicznego), a przypisaną do niego adresacją. W Europie zasobami tymi zarządza RIPE, który pełni również funkcję głównego urzędu certyfikacji w ramach infrastruktury RPKI. Na podstawie weryfikacji poprawności certyfikatu, routery operatora podejmują decyzję o wpisaniu danej trasy routingu do lokalnej tablicy routingu lub jej odrzuceniu.

Zweryfikuj czy twój dostawca ISP ma mechanizm RPKI:

https://isbgpsafeyet.com
https://sg-pub.ripe.net/jasper/rpki-web-test

Zweryfikuj czy sieć twojego dostawcy Internetu jest chroniona przez Listę Ostrzeżeń CERT Polska: