O que você precisa saber para proteger sua empresa dos ataques DDoS

Por Avi Rembaum & Daniel Wiley*

As instituições financeiras lutam contra os grandes ‘Ataques Distribuídos de Negação de Serviço’, conhecidos como DDoS, desde o começo do ano passado. Muitos desses ataques foram realizados por um grupo chamado Qassam Cyber Fighters (QCF) que até recentemente publicava atualizações semanais.

Outros grupos de hackers têm lançado seus próprios ataques DDoS contra instituições financeiras com ataques voltados para formulários e conteúdo web. Também há relatos de roubos virtuais patrocinados por nações contra bancos e agências governamentais, ao lado de esforços complexos e multivetoriais que combinavam ataques DDoS e invasão de contas online e até fraudes.

Informações dos últimos 18 meses apontam para um nível crescente de atividade ilícita desta natureza ainda em processo de evolução, o que resulta em incidentes envolvendo bancos de todos os tamanhos. Os ataques incluem invasões tradicionais via SYN e DNS, além de métodos como amplificação DNS, conteúdo direcionado e camada de aplicativos.

As atividades de Negação de Serviço (DoS) direcionadas contra recursos e conteúdo de páginas com criptografia SSL representam um desafio adicional. Em alguns casos os adversários migraram para um ataque misto que incorpora métodos de camada de aplicativo que são mais difíceis de impedir ao lado de ataques baratos e de grande volume que podem ser filtrados e bloqueados com mais simplicidade.

Para administrar esse nível de atividade maliciosa os CIOs, CISOs e suas equipes devem adotar um plano e implementar várias ferramentas de defesa que combinam tecnologias locais e serviços de nuvem para filtrar tráfego. As empresas também devem começar a explorar e implementar metodologias de distribuição e coleta de inteligência que podem ajudar a desenvolver uma estratégia completa para evitar ataques DoS.

Algumas medidas que podem fazer a diferença

1. Implementar um serviço para filtrar tráfego ou contrate um fornecedor desse tipo de serviço para lidar com ataques de grande porte

Os volumes de dados enviados durante um ataque DDoS chegam a 80 Gbps de tráfego, hoje considerado normal para um único evento. Existem até relatos de ataques na faixa dos 300 Gbps. Poucas empresas conseguem manter uma largura de banda suficiente para combater ataques desse porte. E ao enfrentar incidentes DDoS desse porte, a primeira coisa que qualquer empresa deve considerar é rotear seu tráfego de internet por meio de um provedor dedicado que filtra o tráfego na nuvem e remove os pacotes maliciosos do fluxo. Esses provedores são a primeira linha de defesa contra ataques volumétricos de grande porte e possuem as ferramentas e a largura de banda necessárias para interromper os pacotes DoS na nuvem e permitir a passagem de dados corporativos.

2. Instalar um dispositivo de mitigação de DDoS para identificar, isolar e combater os ataques

A complexidade dos ataques DDoS e a tendência de combinar ataques baseado em aplicativos e ataques volumétricos exigem uma combinação de defesas. A forma mais eficiente de lidar com os aplicativos e os elementos ocultos usados durante esses ataques multivetoriais é através de dispositivos especializados locais. Firewalls e sistemas de prevenção contra ataques são fundamentais nesse processo, e os dispositivos de segurança DDoS oferecem uma camada adicional de defesa com tecnologias especializadas que identificam e bloqueiam atividades avançadas de DoS em tempo real. Os administradores também podem configurar suas soluções locais para comunicar com provedores de filtragem de tráfego em nuvem para habilitar sistemas automatizados de roteamento durante o ataque.

3. Configurar o firewall para suportar grandes volumes de conexões

O firewall também será uma peça importante da rede durante os ataques DDoS. Os administradores devem ajustar as configurações do firewall para reconhecer e combater ataques volumétricos e em camadas de aplicativos. E, dependendo dos recursos do firewall, determinadas proteções podem ser ativadas para bloquear os pacotes DDoS e melhorar o desempenho do firewall durante um ataque.

4. Desenvolver uma metodologia ou estratégia para proteger os aplicativos contra ataques DDoS

Tecnologias seguras podem oferecer proteções robustas contra atividades DDoS. Mas os administradores também devem configurar seus servidores web, alterando o balanceamento de carga e as estratégias de entrega de conteúdo para garantir a maior disponibilidade possível. Para isso, também é importante incorporar proteções contra diversas tentativas de login. Outra abordagem interessante é um sistema que bloqueia atividades automatizadas ou realizadas por máquinas, incluindo páginas na Internet com informações sobre ofertas, como oportunidades para reduzir a taxa de juros ou receber informações sobre novos produtos, incentivando os usuários a clicar nos botões "aceitar" ou "não, obrigado" para continuar visualizando o conteúdo do site.

Além disso, a análise de conteúdo também é importante. Esse trabalho pode ser tão simples quanto garantir que não existem arquivos grandes em formato PDF hospedados em servidores de alto valor.

Os métodos mencionados acima são peças chave em qualquer estratégia para combater os ataques DDoS. As empresas também devem entrar em contato com seus prestadores de serviço e ISPs e trabalhar com eles para identificar técnicas de mitigação. Os ISPs devem ser envolvidos em suas estratégias de mitigação. Os ataques DDoS usam a mesma internet que os clientes dos bancos e os ISPs transportam os dois tipos de tráfego.

A necessidade de analisar e implementar estratégias de distribuição e coleta de inteligência é muito importante. Esses esforços devem investigar os dados que transitam nas redes empresariais e incluir outras empresas operando no setor financeiro.

Informações sobre o protagonista, as motivações atrás do ataque e os métodos usados ajuda o administrador a prever e tomar medidas para evitar esses ataques. As informações sobre o perfil do ataque podem variar, desde os protocolos usados no ataque (SYN, DNS, HTTP) até as fontes dos pacotes de ataques, redes de comando e controle e horários do dia em que os ataques começam e terminam. Embora essas informações sejam valiosas em qualquer trabalho para combater esses ataques, não existe uma forma simples de comunicar esses dados, e os empecilhos regulamentares dificultam ainda mais o compartilhamento de informações sobre ataques.

Hoje, de informações são basicamente compartilhadas entre amigos que se falam. O compartilhamento de informações precisa evoluir para construir um sistema automatizado onde as empresas podem acessar uma solução e ver registros básicos e correlacionados que ofereçam dicas sobre ataques que já terminaram e que estão em andamento. Esses sistemas também podem ser usados para compartilhar inteligência sobre o ataque e distribuir proteções. Um recurso usado para compartilhar informações corporativas aumentaria a capacidade de qualquer empresa financeira a enfrentar atividades DDoS e deixaria a indústria mais bem preparada.

* Avi Rembaum é diretor de consultoria 3D, e Daniel Wiley é consultor sênior de segurança da Check Point Software Technologies.