O nível de sofisticação e volume de ataque de DDoS tem aumentado, então saiba como se proteger e proteger seu negócio
Por Claudio Neiva
Em tempos de serviços digitais, ter aplicações e serviços inoperantes é muito mais que inconveniente – é um risco ao próprio negócio ou missão.
Se sua organização possui um website, aplicação ou qualquer outro serviço digital, de alguma forma já ouviu falar de um ataque chamado de Negação de Serviço Distribuído (DDoS).
Este tipo de ataque tem como principal objetivo interromper serviços, gerando inúmeras possibilidades de prejuízos, como multa de SLA, perda de vendas, quebra de reputação, qualidade de serviços prestados etc.
Por isso, é tão importante ter estratégias bem estruturadas para lidar com este tipo de ataque. Para apoiar o desenvolvimento destes planos, vamos entender o que é DDoS e formas de proteção existentes no mercado.
O que é DDoS?
De maneira simplificada, DDoS é uma forma de inundação de tráfego falso para um alvo específico, sobrecarregando o serviço com atividades de processamento inúteis que acabam resultando no não processamento de atividades de usuários legítimos.
Tente imaginar uma situação em que você está no supermercado querendo pagar suas compras, mas na sua frente tem milhares de pessoas na fila para pagar que, ao final, acabam não comprando nada.
Este simples exemplo ilustra o sentido do ataque de negação de serviço distribuído contra o seu website, aplicação ou até mesmo sua infraestrutura, que ficam sobrecarregados e, consequentemente, não são capazes de exercer o serviço para requisições legítimas.
“Denial Of Service”: Não é apenas mais um truque.
DDoS não se trata de inundar seu site com tráfego. Existem múltiplas formas de exercer um ataque de negação de serviço, e cada uma tem uma característica a ser tratada:
- Clean Pipe – Este tipo de proteção normalmente é fornecido pelos provedores de internet em que soluções de filtragem são aplicadas dentro do provedor. Normalmente, até um certo nível, as telecomunicações fazem um trabalho de filtragem e, dependendo da sofisticação e volume, podem fazer uso de convênios junto a provedores de Scrubbing Center.
- Ataque volumétrico – Este ataque é o clássico volume de tráfego contra um alvo específico. Ou seja, atacantes utilizam uma rede de robôs (botnet) que, em essência, são equipamentos capturados e controlados para enviar um volume massivo de dados no seu caminho, sobrecarregando sua banda de internet “bandwidth” e tornando seu serviço inacessível. Pense no tráfego de trânsito caótico e parado – mas online.
- Ataque na camada de aplicação – Ao invés de enviar um grande volume de dados, este ataque foca nas características específicas da aplicação alvo, normalmente explorando páginas de login ou carrinho de compras, enviando requisições que possam confundir a aplicação e torná-la inútil pelo volume de requisições.
- Ataque aos protocolos de comunicação – Este ataque mira na negociação de comunicação entre servidor e usuário. Ele tenta impedir que usuários se conectam aos seus respectivos servidores, atrapalhando a comunicação entre cliente e servidor.
DDoS não é algo novo, por que deveria me preocupar com isso?
O nível de sofisticação e volume de ataque de DDoS tem aumentado. Enquanto crises geopolíticas que vivenciamos hoje criam uma instabilidade entre países, atacantes estão buscando formas fáceis de monetizar neste cenário. Uma das novas tendências é a busca por resgate de serviços, que hoje chama é chamada de Ransomware DDoS.
Ainda mais, o aumento de entidades não humanas, a exemplo da IoT (Internet of Things), tem colaborado com a ampliação do número de equipamentos capturados para atuar em Botnets, criando capacidade de volume de tráfego cada vez maior e difícil de se defender.
Como se defender de ataques do tipo de DDoS?
Para cada tipo de ataque, há uma forma de defesa. Ou seja, não existe uma bala de prata que possa te fornecer os meios de proteção. Seguem algumas soluções que podem ser usadas para proteger seu ambiente:
- Scrubbing Centers (ex. Akamai, Cloudflare, Verizon, Radware, Imperva) É como um escudo para o seu website em que todo o tráfego é afunilado por meio de um “scrubbing” center. Ou seja, uma infraestrutura construída e distribuída globalmente para filtrar o tráfego malicioso do tráfego legítimo antes mesmo de chegar até o website. O diferencial está na capacidade destes provedores para tratar grandes volumes de tráfego. Este tipo de serviço ainda é subdividido em Always On (filtro constante) e On Demand (redirecionamento de tráfego por demanda) e a diferença de custo entre os dois é significativa.
- CDNs (Content Delivery Networks) (ex. Akamai, Cloudflare): CDNs em sua essência, foram desenvolvidos para ter múltiplas cópias do seu website em diferentes localizações através do globo. Desta forma, se um servidor estiver inoperante devido a um ataque, outras cópias podem atender às requisições para manter o serviço em funcionamento.
- Proteções Baseadas em Cloud (ex. AWS, Azure, GCP): Os principais provedores de Cloud oferecem capacidades nativas de proteção de dados (exemplo: WAF) na escala que você pode precisar. No entanto, cada provedor protege contra ataques a serviços ofertados no mesmo provedor.
- Soluções híbridas: Algumas organizações fazem uma combinação entre soluções baseadas em hardware (appliance – ex. Radware, Fortinet, Corero, F5, Netscout, Imperva), normalmente para ataques de protocolos e aplicações, e soluções de scrubbing. Desta forma, existe a famosa proteção em camadas.
Você precisa de um plano de resposta.
Se você acha que é simplesmente a contratação do serviço e seu trabalho encerrou, espere um minuto. Cada tipo de proteção precisa de um plano de ação tanto tecnológico quanto processual de resposta a incidentes.
Por isso, também é interessante testar e validar seu plano de resposta. Não obstante, neste mercado em evolução também já existem provedores de teste (ex. LoDDoS, Security Compass, Redwolf Security, DOSarrest, MazeBolt) cujo é simular ataques para validar o plano de resposta.
A demanda por proteção de dados tem crescido muito, simplesmente porque as organizações estão mais dependentes de serviços online e um ataque bem-sucedido pode impactar diretamente no negócio das empresas e missões para o governo.
Ou seja, busque fazer uma análise de dependência tecnológica e risco de negócio para determinar quais alternativas são mais viáveis.
E lembre-se de buscar tipos de conexões separadas como link que serve para questões internas e administrativas, e outro com redundância para atividades-fim (serviço ao público). A chave do sucesso aqui é ter um plano!
Hacktivistas pedem a libertação do fundador do Telegram com campanha DDoS
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!