26/03/2020

Ataques DDoS estão se tornando mais avançados

Por wcalazans

Os ataques cibernéticos do tipo Negação de Serviço Distribuída – do inglês, Distributed Denial of Service (DDoS) é considerado um dos ciberataques mais críticos ao funcionamento das redes.

Um dos primeiros ataques DDoS conhecidos ocorreu há 20 anos, na Universidade de Minnesota. Foi usado um script que fez com que mais de 100 computadores enviassem pacotes de lixo eletrônico para a rede da universidade, o que sobrecarregou e derrubou os computadores. Com o sucesso desse ataque, não demorou muito para que imitadores fizessem o mesmo com o Yahoo, Amazon e CNN.

Estamos em 2020 e o DDoS ainda dá trabalho. Vimos muitos ataques em larga escala; alguns se tornaram famosos, como o Spamhaus em 2013, a interrupção do GitHub em 2018 e o ataque ao provedor de DNS Dyn, que usou a botnet; então vieram Twitter, Netflix, CNN, Reddit e muitos outros sites de grandes sites. Esses ataques visavam interromper serviços de rede e quando obtveram sucesso, em larga escala, seus efeitos foram muito nocivos aos mantenedores e usuários.

Ao longo do tempo os ataques vão se tornando mais sofisticados. Os invasores estão deixando o simples envio de tráfego de broadcast para uma interrupção maciça, muito mais complexa e direcionada que operam na camada de aplicação da rede (camada 7 do modelo OSI), com a capacidade de derrubar aplicativos ou serviços específicos. Esses ataques são mais complexos de detectar, pois o tráfego parece legítimo e podem ser mais prejudiciais porque o resultado final é a perda de negócios devido à indisponibilidade do aplicação.

Para proteger adequadamente sua rede contra ataques DDoS, é necessário haver monitoramento de rede automatizado na extremidade para detectar atividade anormal e proteção de perímetro através de firewalls. Essa combinação é a melhor maneira de garantir que as redes permaneçam em funcionamento, mantendo o tráfego prejudicial à distância.

Ataque de todos os lados

Ataques avançados de DDoS podem vir de fontes distribuídas, e não mais de um único IP, tornando-se cada vez mais difíceis de identificar. Por exemplo, em um ataque DDoS de camada 7, a botnet usada fará muitas milhares de requisições a um serviço de uma aplicação – como uma página de login -, mas não necessariamente tenta se autenticar. Cada uma dessas requisições será prontamente atendida pelas APIs do aplicativo, consumindo os recursos de computação e processamento. O resultado final é que a API do aplicativo estará sobrecarregada com solicitações, passando a falhar, tornando o serviço offline ou indisponível.

Um sistema de monitoramento escalável na borda da rede pode se adaptar rapidamente ao tamanho do ataque e redirecionar o ataque para uma infraestrutura de segurança apropriada.

Informação em risco

Outra consideração é que um ataque DDoS pode não apenas ser iniciado para colocar os serviços offline, mas para comprometer informações. Os ataques estão se tornando mais complexos – eles podem ser usados como embustre para causar confusão e oferecer aos atacantes a oportunidade de roubar dados da rede. Esse roubo pode não ser percebido até que o DDoS tenha sido mitigado ou interrompido e, nesse momento, já será tarde demais. O dano já foi feito.

À medida que esses ataques se tornam mais avançados, é essencial que as ferramentas de detecção adequadas estejam disponíveis para revelar comportamentos maliciosos. Isso pode ser conseguido através da filtros em tempo real que separa a atividade normal da rede do comportamento de risco.

CAPTCHA não é tudo

O botnet Mirai foi usado pela primeira vez em 2016 para vários ataques DDoS e ainda está em uso hoje. Ele primeiramente, contava com nomes de usuário e senhas fracas para obter acesso a dispositivos IoT, que poderiam ser usados para gerar ataques DDoS em grande escala. Para aplicativos do usuário, como email ou mídia social, é possível usar técnicas como CAPTCHA ou Verificação de Mensagem de Texto para impedir o acesso não autorizado. No entanto, existem muitas centenas de milhões de dispositivos IoT, controlando tudo, desde coisas simples como acender luzes, a centros hospitalares, para os quais esses métodos não são adequados.

Estes não são dispositivos com interface do usuário e não podem ser tratados como tal. Sistemas de controles de dados da própria rede permitem monitorar o comportamento dos dispositivos IoT. Se os dispositivos começarem a se comportar de maneira incomum – por exemplo, transmitindo dados não requisitados a rede ou tentando enviar solicitações de conexão aos serviços da aplicação -, as políticas de segurança poderão ser aplicadas automaticamente e a equipe de segurança é alertada.

Desenvolvendo uma estratégia DDoS

Hoje, as empresas precisam de uma estratégia de prevenção de DDoS que responda a esses vetores de ataque e forneça proteção em locais onde há pouca ou nenhuma interação humana. No mínimo, isso inclui detecção automatizada e roteamento de tráfego de ameaças. Como os ataques DDoS continuam a crescer, a intervenção manual não é mais uma opção.

Com a oportunidade e a capacidade oferecidas pela transição para a nuvem e as próximas redes 5G, também haverá ainda mais chances de cibercriminosos lançarem ataques DDoS em larga escala em serviços online. Qualquer que seja o destino, independentemente do resultado pretendido, todo o tráfego envolvido em uma tentativa de ataque DDoS deve atravessar a rede e obter entrada através de dispositivos de rede. A rede precisa ser melhor protegida contra esses ataques de escala volumétrica e o melhor lugar para começar é alavancando a inteligência na própria rede com serviços Anti-DDoS, para detecção, mitigação e análise contra ataques, serviço automatizado de segurança gerenciado 7×24, fornecendo serviço de monitoramento, alerta e mitigação contra DDoS, inclindo relatórios automatizados e portal de acesso e monitoramento.

Conte aos amigos