RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014

Transcrição

1 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 214

2 RESUMO EXECUTIVO Este relatório contém as observações e conhecimentos derivados de mitigações em nome dos clientes do DDoS Protection Services da Verisign, ou em colaboração com os mesmos. Representa uma visão única sobre as tendências dos ataques on-line referentes ao trimestre anterior, inclusive estatísticas de ataque, tendências de comportamento e perspectivas futuras. No período de 1o de janeiro de 214 a 31 de março, a Verisign observou as seguintes tendências: 83 POR CENTO DE AUMENTO no tamanho médio do ataque, comparado com o trimestre anterior A Verisign observou um aumento de 83% no tamanho médio do ataque, comparado com o trimestre anterior (T1 de 213) e um aumento de aproximadamente 6% comparado com o mesmo trimestre do ano anterior (T1 de 213). Os agressores lançaram ataques de amplificação em massa com o uso de refletores de NTP e técnicas de amplificação de DNS contra clientes e fornecedores de infraestrutura. O tamanho volumétrico mais comum dos ataques ficou entre 5 e 75 gigabits por segundo (). Aproximadamente 3 por cento dos ataques contra clientes da Verisign estavam direcionados especificamente para a camada de aplicativos (a camada de SSL em particular), o que exigiu que a Verisign utilizasse técnicas avançadas de mitigação. Os agressores têm como alvo um conjunto vertical muito mais amplo do que apenas o setor de serviços financeiros. "Mídia e entretenimento" representou o setor vertical atacado com maior frequência no T1, seguido pelo setor de serviços de TI/nuvem/SaaS. A Verisign vê indícios de que os agressores podem explorar outros protocolos UDP para grandes ataques de amplificação no futuro próximo; isso pode ser um vetor atraente, devido à simplicidade e à natureza apátrida do UDP. 2

3 4 3,92 3, , T1 de 13 T4 T1 de 13 de 14 ESTATÍSTICAS DE ATAQUE Os dados de mitigação da Verisign do primeiro trimestre de 214 reforçam que os ataques DDoS contra empresas on-line e aplicativos da web continuam a aumentar em tamanho e em complexidade. Durante esse período, a Verisign observou um aumento significativo no tamanho médio dos ataques DDoS direcionados aos clientes. O tamanho médio do ataque, 3,92, foi até 83 por cento maior do que no trimestre anterior (a média do T4 de 213 foi de 2,14 ), e representou um aumento de 6 por cento comparado com o mesmo trimestre do ano passado (no T1 de 213 ficou em 3,7 ). No T1 de 214, os ataques de reflexão de NTP e os ataques de amplificação de DNS se destacaram como os dois tipos mais comuns de ataques, observou a Verisign. O vetor mais comum no T1 de 213 surgiu da amplificação de DNS devido a ataques com uso de itsoknoproblembro, mais conhecido como Brobot, que comprometeram as instalações da PHP e da Joomla. O tipo de ataque NTP substituiu os maiores vetores de ataque observados no ano passado. A Verisign presenciou grandes ataques de reflexão de NTP em dezembro de 213, e essa tendência continuou no T1 de 214, até o momento da elaboração deste documento. No T1, a Verisign mitigou vários ataques de amplificação, entre 5 e 75, em nome dos clientes. TENDÊNCIAS COMPORTAMENTAIS Maior capacidade de adaptação 5 A 75 G B PS Tamanho médio dos ataques de amplificação no T1 No T1 de 214, a Verisign observou que os agentes de ataques DDoS demonstraram um comportamento cada vez mais adaptável, similar ao observado em 213. Em várias ocasiões, os agressores monitoraram de maneira constante a eficácia dos seus ataques em andamento, e mudaram as técnicas de ataque para trabalhar com as estratégias de mitigação aplicadas. As técnicas dos agressores também se desenvolveram para atacar os componentes de infraestrutura dos sites das vítimas e qualquer fornecedor de mitigação contra DDoS que proteja esses sites. Normalmente, o tráfego de ataques destina-se ao endereço IP de um site alvo. Ao utilizar esses novos métodos de ataque, os agressores tinham como alvo o endereço IP dos roteadores localizados no caminho de rede até o site alvo, em busca da "conexão mais fraca". O QUE É NTP? DESCRIÇÃO EXPLORAÇÃO MITIGAÇÃO As empresas utilizam o protocolo de transferência de rede (NTP) para sincronizar seus dispositivos de rede, roteadores, comutadores, firewalls, sistemas de detecção de invasão, servidores, estações de trabalho, sistemas VoIP e dispositivos dos clientes que entram na rede dessas empresas. O NTP funciona com o protocolo de datagrama do usuário (UDP), utilizando a porta 123 como fonte e como destino que, por sua vez, funciona com o IP, conforme descrito no documento de pedido de comentários (RFC) 595 para a versão atual do NTP, a versão 4. O NTP proporciona ao potencial agressor informações sobre o sistema, entre elas o pptime, o tempo desde a última reinicialização, estatísticas da memória e listagens similares de NTP. Um agressor que utiliza ferramentas comuns como Metasploit e Nmap pode determinar os servidores NTP que suportam monlist. O sucesso desse ataque depende na exploração do recurso monlist do NTP. Esse recurso é ativado como padrão em dispositivos mais antigos que suportam NTP. Esse comando envia uma lista dos últimos 6 endereços IP conectados ao servidor NTP da vítima. Devido ao endereço falso de origem, quando o servidor NTP envia a resposta, ela é enviada para o endereço de destino, em vez do endereço falso que fez o pedido. Como o tamanho da resposta é muito maior do que o pedido, o agressor consegue amplificar o volume do tráfego direcionado na rede da vítima. Uma forma de diminuir os efeitos de um ataque NTP em andamento é limitar a quantidade de tráfego NTP permitido a entrar na rede. Uma forma de contornar o problema é desativar o monlist no servidor NTP ou fazer um upgrade para a última versão do NTP (4.2.7), que desativa a funcionalidade de monlist. 3

4 ALVO NA CAMADA DE APLICATIVOS Segundo a Verisign 3 POR CENTO dos ataques tinham como alvo a camada de aplicativos Dos ataques mitigados pela plataforma do DDoS Protection Services, a Verisign observou que aproximadamente 3 por cento tinham como alvo as camadas de aplicativos, principalmente a camada SSL. Esses agressores visavam aplicativos web específicos, cabeçalhos de protocolos e parâmetros de aplicativos para afetar a disponibilidade da vítima. Ao mesmo tempo que esses ataques eram menores em tamanho geral, representavam ataques mais complexos, exigindo que a Verisign utilize técnicas sofisticadas de mitigação que muitas vezes incluem uma combinação de geração de assinaturas em tempo real, inspeção de pacotes e a administração de várias capacidades dos clientes e técnicas de gestão de recursos. A plataforma de mitigação contra DDoS da Verisign, Athena, suportada por uma inteligência contra ameaças internamente compartilhada do idefense Security Intelligence Services da Verisign, se mostrou muito eficaz na mitigação desses ataques complexos. ALVO AMPLIADO PARA VÁRIOS SETORES Saas/ Nuvem/ Serviços de TI Verisign Serviços financeiros Clientes Conforme também foi observado no T1 de 214, os agressores, cada vez mais, tiveram como alvo outros setores além dos serviços financeiros. A Verisign observou que os clientes de mídia e entretenimento foram os atacados com maior frequência, seguidos pelo setor de serviços de TI/nuvem/SaaS (ver Figura 1). O número de mitigações da Verisign em nome dos clientes de serviços financeiros diminuiu 34 por cento no T1 de 214, comparado com todo o ano de 213. A porcentagem de mitigações realizadas para os setores de mídia/entretenimento e comércio eletrônico aumentou 33 por cento, comparado com 213. O setor vertical de serviços de TI/nuvem/SaaS sofreu os maiores ataques, de até 64, comparado com o tamanho dos maiores ataques a clientes da Verisign em 213, que chegaram a mais de 16, e tinham como alvo os clientes de serviços financeiros. PARA COMBATER O DDOS, O TAMANHO IMPORTA A mitigação eficaz contra ataques volumétricos exige uma cobertura de rede sofisticada e experiência dos prestadores de serviços. O tráfego de ataque DDoS pode surgir de qualquer região do mundo, e qualquer perfil de ataque pode inundar os centros de mitigação do fornecedor regional sem as capacidades e a flexibilidade de um backbone interconectado globalmente. A rede de mitigação contra DDoS da Verisign foi estrategicamente desenvolvida para administrar cargas de tráfego nominal, além de grandes picos de tráfego que ocorrem em condições de ataque DDoS. A configuração MPLS flexível permite que os engenheiros de DDoS da Verisign projetem de maneira seletiva e façam o roteamento dos fluxos de tráfego em resposta à dinâmica global de ataques DDoS, para que nenhum componente seja sobrecarregado. 4

5 MITIGAÇÕES VERTICAIS NO Mídia e entretenimento 35% Serviços de TI/Nuvem/Saas 23% Telecomunicações 16% Financeiro 11% Comércio eletrônico/ Publicidade on-line Fabricação 9% 6% 1 Figura 1: Mitigações da Verisign por setor do cliente PERSPECTIVAS FUTURAS "A Verisign prevê que novos tipos de ataques de amplificação e reflexão apareçam e proliferem." O cenário do ataque DDoS muda a cada dia, e os agressores implementam novas técnicas, visando um grupo muito mais amplo de empresas e tornando-se mais sofisticados. Com base na análise de tendências, a Verisign prevê que os ataques DDoS continuarão a aumentar em tamanho e complexidade nos próximos trimestres e em todo o ano de 214. Enquanto os ataques de amplificação de DNS ainda são comuns, e os ataques de reflexão de NTP se desenvolveram, a Verisign prevê que novos tipos de ataques de amplificação e reflexão apareçam e proliferem. Provavelmente, esses ataques explorarão protocolos adicionais e tipos de portas e, em pouco tempo, podem pegar de surpresa as empresas despreparadas e até mesmo os fornecedores de mitigação contra DDoS. Outros protocolos UDP que são alvos potenciais são o SNMP e IKE, que podem ser usados para lançar os tipos de ataque de IP falso de origem e têm potencial para serem amplificados, como o DNS e NTP. Para mais informações sobre os ataques DDoS, melhores práticas para defesa e os DDoS Protection Services da Verisign, acesse VerisignInc.com/DDoS. VerisignInc.com 214 VeriSign, Inc. Todos os direitos reservados. VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciais registradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais pertencem a seus respectivos proprietários. Material público da Verisign 2145