BT Assure DDoS Mitigation

Transcrição

1 Serviços on-premise e em nuvem O que é DDoS? Os ataques DDoS (Distributed Denial of Service) são ataques cibernéticos bastante comuns que têm o propósito de sobrecarregar um dispositivo ou aplicação com uma grande quantidade de solicitações de acesso, assim causando um congestionamento capaz de impedir a prestação de serviço a usuários legítimos. Esses ataques têm como alvo, principalmente, serviços críticos hospedados em servidores web, como bancos, sistemas de pagamento com cartão de crédito e sites de compras online, embora possam afetar qualquer serviço baseado em IP. O resultado de um ataque de negação de serviço pode ser devastador: inatividade, perda de receita e dano à reputação da marca. O cenário de ameaças está mudando. Houve um crescimento no número de ataques, não somente em frequência mas também em volume o suficiente para derrubar a maioria das redes corporativas. Os recentes avanços na tecnologia, juntamente com uma maior facilidade de uso e a disseminação dos dispositivos móveis, ampliam ainda mais essa ameaça para as organizações. Os ataques DDoS inclusive estão disponíveis para usuários individuais, por meio de aplicativos móveis que oferecem a opção de aderir a uma ofensiva programada. Também vêm sendo cada vez mais usados como uma cortina de fumaça para desviar atenção e recursos de outras ações maliciosas, realizadas simultaneamente ao ataque de negação de serviço. A própria natureza dessas solicitações de acesso que chegam em grande quantidade aos servidores dificulta o uso de uma solução única e geral. Embora sistemas de segurança usuais, tais como firewalls, possam oferecer uma proteção parcial, é necessária uma solução especializada para lidar de maneira mais eficaz com os riscos.

2 Proteção DDoS on-premise Ataques na camada de aplicação Os ataques na camada de aplicação utilizam mecanismos muito sofisticados. Em vez de inundar uma rede com tráfego ou sessões, o hacker tem como alvo aplicações ou serviços específicos e lentamente esgota recursos na camada de Esses ataques podem ser muito eficazes mesmo com baixo tráfego na rede e o tráfego malicioso pode ser legítimo do ponto de vista de protocolo. Assim, é mais difícil detectar esse tipo de ataque do que outros ataques DDoS. HTTP Flood, DNS dictionary e Slowloris são exemplos de ataques à camada da A BT agora oferece proteção on-premise contra ataques DDoS para importantes redes corporativas e governamentais em diversas regiões do mundo, mitigando ameaças até a camada de Contando com atualizações automáticas de segurança oferecidas por especialistas de segurança da BT com suporte de um parceiro de renome internacional, o serviço on-premise protege contra ameaças conhecidas ou emergentes, permitindo que a sua organização mantenha a continuidade dos negócios. A BT fornece uma solução multicamada com proteção onpremise stateless, além de sinalização em nuvem (cloud signaling) para os centros de limpeza de tráfego da empresa, de modo a garantir a continuidade dos negócios e proteger contra ameaças avançadas. Esta proteção reduz o risco de impactos na rede e assegura a disponibilidade da aplicação, protegendo e mitigando ataques DDoS e de ameaças avançadas. Você recebe proteção contra ameaças, com intervenção manual mínima para reduzir os períodos de indisponibilidade e os recursos alocados. Vantagens da proteção on-premise Proteção personalizada com bloqueio imediato Fácil de instalar, configurar e usar, a opção on-premise oferece proteção imediata contra ataques DDoS à camada da aplicação, que ameaçam a disponibilidade de serviço e aplicações. Ela também analisa os ataques e fornece recomendações personalizadas de proteção. Detecção e mitigação proativas de DDoS O serviço detecta e bloqueia ataques DDoS automaticamente, antes que o desempenho do serviço seja afetado. Pouca ou nenhuma interação do usuário é exigida, diminuindo a carga de trabalho de sua equipe de segurança. Visibilidade e controle Você ganha visibilidade em tempo real das ameaças à disponibilidade, dos ataques e dos hosts bloqueados. Conjunto completo de medidas de contraataque O serviço inclui medidas anti-ddos avançadas, que têm se mostrado eficazes nos maiores e mais complexos ambientes de rede em todo o mundo. Essas medidas incluem um conjunto de proteções baseadas em pacotes, que neutraliza a grande maioria das ameaças de botnets. Atualizações automatizadas de ameaças A BT e seu parceiro no setor de segurança conseguem visualizar, em tempo real, mais de 90 Terabits por segundo de tráfego global na Internet. Essa característica ímpar nos permite desenvolver, em tempo hábil, atualizações de segurança automáticas para os sistemas on-premise, mantendo sua organização um passo à frente das ameaças maliciosas emergentes. Proteção anti-ddos combinada: on-premise e em nuvem Um fator crítico quando se fala em inatividade da rede é o tempo que o provedor de proteção DDoS baseado em nuvem leva para responder e iniciar a mitigação, quando os ataques são grandes demais para que as soluções on-premise resolvam. Com o serviço Cloud Signaling, a BT e seus parceiros reduziram esse tempo para até cinco segundos. Uma configuração Cloud Signaling pode ser predefinida para disparar automaticamente quando os links atingem um certo ponto de saturação, ou ter acionamento manual.

3 Características Filtros de análise stateless Proteção automatizada e avançada contra DDoS Filtro para ameaças não-ddos Visibilidade, controle e alarmes Relatório e análise forense de ataques em tempo real e históricos Bloqueio automático padrão com recomendações personalizadas de proteção Gestão centralizada de múltiplos dispositivos Inspeção SSL (Secure Socket Layer) Atualizações de inteligência Atualizações de inteligência estão incorporadas ao serviço e incluem políticas e medidas que permitem aos clientes tratar rapidamente de ameaças avançadas. Com isso, os clientes se beneficiam diretamente de todo o conhecimento e experiência da BT, assim como da capacidade de investigação de nossos parceiros. Uma das tecnologias-chave é um feed de reputação dinâmico, usado para identificar os sites perigosos que operam como servidores de comando e controle de atividades maliciosas ou que levam ao download de software malicioso (malware). O feed de reputação inclui políticas destinadas a evitar que os usuários da rede visitem esses sites. Ao contrário de outros serviços de reputação, o feed da BT é atualizado com frequência, identificando rapidamente mudanças de comportamento de agressores, o que ajuda a garantir uma detecção mais eficaz e precisa de ataques. Todas as atualizações são enviadas automaticamente ao CPE (Customer Premise Equipment) por meio de uma conexão SSL segura. Um feed de inteligência de segurança é tão bom quanto a informação usada para criá-lo. A natureza mutante das ameaças avançadas requer uma equipe de pesquisa especializada, com ferramentas e processos de ponta para analisar não só o código utilizado em determinado ataque, mas a completa arquitetura da ação, desde sua concepção até sua execução. As equipes de investigação da BT e seus parceiros se dedicam a descobrir e analisar as ameaças emergentes na Internet e a desenvolver defesas específicas. A BT utiliza uma combinação sofisticada de coleta de dados de ataques, informações de parceiros e ferramentas de análise para criar políticas que não apenas detectam ameaças avançadas, mas revelam todo o contexto necessário para que as decisões com vistas a mitigar as ameaças sejam tomadas a partir de um conjunto completo de informações. Proteção DDoS na nuvem A BT oferece um serviço baseado em nuvem como parte de uma abordagem multicamada para proteção e mitigação de ataques DDoS. Trata-se de um serviço de limpeza de tráfego sob demanda, baseado em nuvem. Vantagens proteção e mitigação 24x7 contra ataques DDoS. orçamento previsível. serviços disponíveis mesmo durante um ataque DDoS.

4 Modo de mitigação A mitigação é ativada quando o sistema detecta fluxos de tráfego além dos limites estabelecidos e a mitigação automática está habilitada ou por meio de intervenção manual. Em todas as outras situações, não são tomadas medidas quanto ao tráfego do cliente. Desvio por DNS O serviço detecta uma ampla variedade de tráfego indesejável e, assim, reduz a carga sobre os servidores web: o bloqueio do tráfego de ataque permite que apenas o tráfego válido passe. Funcionamento Para detectar ataques, o serviço em nuvem para mitigação de DDoS usa amostragem netflow captada nos roteadores. Ataques a aplicações são identificados quando um comportamento anômalo resulta em um aumento no tráfego acima dos limites estabelecidos, com monitoramento de parâmetros que incluem: Perfis de níveis de tráfego para todos os endereços IP em bps/pps (bits por segundo / pacotes por segundo) Tráfego malicioso dirigido a um único endereço IP sob proteção DNS ICMP em PPS Fragmento IP em PPS IP NULL em PPS IP privado em PPS TCP NULL em PPS TCP RST em PPS TCP SYN em PPS UDP em PPS Tráfego total em bps/pps Disponível em vários cenários de implementação: Desvio por DNS Desvio por BGP Desvio duplo por BGP e DNS Registros DNS tipo A são modificados para apontar um FQDN atacado para a nuvem Full Proxy irá rotear o tráfego limpo para o seu destino original ou para o endereço IP definido pelo cliente Full Proxy redireciona o tráfego em ambas as direções Tráfego Limpo = tráfego máximo de entrada ou saída Desvio por BGP Desvio mínimo de uma sub-rede / 24 Requer três dias para registrar rotas no Registro de Internet Tráfego devolvido via GRE Tráfego Limpo = apenas de entrada

5 Por que a BT Combinando informação com experiência e conhecimento, desenvolvemos atualizações de segurança automáticas para o serviço, mantendo sua organização um passo à frente das ameaças maliciosas emergentes. Somos o único fornecedor a oferecer uma só plataforma para detecção e mitigação. Nosso serviço de auto-mitigação se traduz em detecção e proteção extremamente rápidas para os nossos clientes. A equipe de especialistas em DDoS do centro de operações de segurança da BT tem mais de sete anos de experiência lidando com esses ataques. As soluções abrangentes hoje oferecidas aos nossos clientes foram desenvolvidas nos últimos sete anos em parceria com a Arbor, fornecedor líder de soluções anti-ddos. Somos os únicos capazes de integrar nossos serviços DDoS com a rede Internet Connect da BT. Somos uma one-stop-shop. Para mais informações, acesse: Escritórios em todo o mundo Os serviços descritos estão sujeitos à disponibilidade e podem sofrer modificações. Serviços e equipamentos são fornecidos de acordo com as condições contratuais da BT. Nada na presente publicação faz parte de qualquer contrato. BT Brasil 2016 Av. Nações Unidas, º andar - São Paulo