Kaspersky DDoS Protection Proteger a sua empresa contra perdas financeiras e de reputação com o
Um ataque de recusa de serviço distribuído (DDoS) é uma das armas mais populares no arsenal dos cibercriminosos. O seu objetivo é impedir o acesso a sistemas de informações, tais como websites e bases de dados, a utilizadores normais. Existem diferentes motivos por trás do lançamento de ataques DDoS, tais como cibervandalismo, práticas de concorrência desleais ou extorsão. A indústria moderna de DDoS é uma estrutura multicamadas. Inclui pessoas que encomendam os ataques, criadores de botnet que disponibilizam os seus recursos, intermediários que organizam os ataques e falam com os clientes e ainda pessoas que procedem aos pagamentos de todos os serviços prestados. Qualquer nó da rede disponível na Internet pode tornar-se um alvo, independentemente de se tratar de um servidor específico, de um dispositivo de rede ou um de endereço não utilizado na sub-rede da vítima. Existem dois cenários comuns para a realização de ataques DDoS: o envio de pedidos diretamente para o recurso atacado a partir de um grande número de bots ou o lançamento de um ataque de amplificação de DDoS através de servidores disponíveis publicamente que contêm vulnerabilidades de software. No primeiro cenário, os cibercriminosos transformam um grande número de computadores em "zombies" controlados remotamente, que seguem as ordens do mestre e enviam simultaneamente pedidos para o sistema informático da vítima (conduzindo um "ataque distribuído"). Por vezes, um grupo de utilizadores é recrutado por hacktivistas e recebe software especial concebido para realizar ataques DDoS e ordens para atacar um alvo. No segundo cenário, quando envolve um ataque de amplificação, os servidores alugados a um centro de dados podem ser utilizados em vez de bots. Os servidores públicos com software vulnerável são utilizados normalmente para melhoramentos. Atualmente, é possível utilizar os servidores DNS (Sistema de nomes de domínio) ou NTP (Network Time Protocol). O ataque é amplificado através de spoofing de endereços IP de retorno e do envio de um pedido breve para um servidor que exige uma resposta muito mais longa. A resposta recebida é enviada para o endereço IP que sofreu spoofing e que pertence à vítima. DDoS Attack Scenarios Cenários dos ataques DDoS Autores de ataques Servidores alugados a um centro de dados Servidores de amplificação Botnets Vítima Servidores C&C 2014 Kaspersky Lab Iberia Figura 1. Diagrama de fluxo das versões mais populares de ataques DDoS 2
Existe outro fator que torna a situação ainda mais perigosa. Dado que existem tantos tipos de malware e que os cibercriminosos criaram tantos botnets, praticamente qualquer pessoa pode lançar este tipo de ataque. Os cibercriminosos divulgam os seus serviços afirmando que qualquer pessoa pode destruir um website específico por apenas 50 USD por dia. Os pagamentos são efetuados geralmente em criptomoeda, para que seja praticamente impossível localizar os pedidos através de fluxos de caixa. Preços acessíveis significam que qualquer recurso online pode ser alvo de um ataque DDoS. Não se trata de algo limitado aos recursos de Internet de empresas grandes e conhecidas. É mais difícil causar danos aos recursos Web que são propriedade de grandes empresas, mas se estes não estiverem disponíveis, o custo do tempo de inatividade será muito maior. Além dos prejuízos diretos resultantes da perda de oportunidades comerciais (por exemplo, vendas eletrónicas), as empresas podem ter de pagar multas por não cumprirem as suas obrigações ou encargos relativos a medidas adicionais que os protegem de ataques. Por último, mas não menos importante, a reputação da empresa pode ser prejudicada, fazendo com que perca os atuais clientes ou futuros. O custo total depende da dimensão da empresa, do segmento industrial a que presta serviços e do tipo de serviço sob ataque. Segundo os cálculos da empresa de análises IDC, uma hora de inatividade de um serviço online pode custar a uma empresa 10 000 USD a 50 000 USD. Métodos para combater os ataques DDoS Existem dezenas de empresas no mercado que dispõem de serviços de proteção contra ataques DDoS. Algumas empresas instalam equipamentos nas infraestruturas de informações do cliente, algumas utilizam métodos dos fornecedores de ISP e outras canalizam o tráfego através de centros de limpeza dedicados. No entanto, todas estas abordagens seguem o mesmo princípio: o tráfego não solicitado, ou seja, o tráfego criado por cibercriminosos, é filtrado. A instalação de equipamento de filtragem pelo cliente é considerada o método menos eficiente. Em primeiro lugar, é necessário pessoal com formação específica dentro da empresa para a manutenção do equipamento e para o ajuste do seu funcionamento, originando custos adicionais. Em segundo lugar, só é eficaz contra os ataques no serviço e não faz nada para impedir os ataques que afetam o canal de Internet. Um serviço operacional não tem utilidade se não for possível aceder ao mesmo a partir da Internet. Como os ataques DDoS amplificados estão cada vez mais populares, tornou-se muito mais fácil sobrecarregar um canal de ligação. Com o filtro do fornecedor, o tráfego é mais fiável, existe um canal de Internet mais amplo e é muito mais difícil entupi-lo. Por outro lado, os fornecedores não são especializados em serviços de segurança e só filtram o tráfego não solicitado mais evidente, descurando ataques mais subtis. Uma análise cuidadosa de um ataque e uma resposta rápida exigem competências e experiência apropriadas. Além disso, este tipo de proteção faz com que o cliente fique dependente de um fornecedor específico e cria dificuldades se o cliente precisar de utilizar um canal de dados da cópia de segurança ou de mudar de fornecedor. Como consequência, os centros especializados de processamento que implementam uma combinação de diferentes métodos de filtragem do tráfego devem ser considerados a forma mais eficaz de neutralizar os ataques DDoS. O é uma solução que protege contra todos os tipos de ataques DDoS através da utilização de uma infraestrutura distribuída de centros de limpeza de dados. A solução combina diferentes métodos, incluindo a filtragem de tráfego do lado do fornecedor, a instalação de um equipamento controlado remotamente para analisar o tráfego próximo da infraestrutura do cliente e a utilização de centros especializados de limpeza com filtros flexíveis. O trabalho da solução é ainda monitorizado constantemente por especialistas da Kaspersky Lab, pelo que o surgimento de qualquer ataque pode ser detetado o mais rapidamente possível e os filtros podem ser modificados conforme a necessidade. 3
Kaspersky DDoS DDos Protection em Modo ativo Internet Edge router do cliente Ligação desativada pelo cliente Serviço de escuta do tráfego do cliente Infraestrutura de TI do cliente Sensor Regras do filtro Dados estatísticos Especialista Fornecedor de serviços de Internet Centro 2014 Kaspersky Lab Iberia Figura 2. : Diagrama de funcionamento Arsenal da Kaspersky Lab A Kaspersky Lab lidou com uma ampla gama de ameaças online durante mais de uma década. Ao longo de todo esse tempo, os analistas da Kaspersky Lab adquiriram um nível único de especialização, incluindo uma compreensão detalhada sobre como funcionam os ataques de DDoS. Os especialistas da empresa observam constantemente os últimos desenvolvimentos que ocorrem na Internet, analisam os métodos mais recentes de realização de ciberataques e melhoram as nossas ferramentas de proteção atuais. Com tal especialização, é possível detetar um ataque DDoS logo que é lançado e antes que inunde o recurso Web alvo. O segundo elemento da tecnologia é um sensor instalado na infraestrutura de TI do cliente. O sensor é um item de software executado pelo sistema operativo Ubuntu e que exige um servidor x86 padrão. Analisa os tipos de protocolos utilizados, o número de bytes e os pacotes de dados enviados, o comportamento do cliente no website, ou seja, os metadados, ou as informações acerca dos dados enviados. Não redireciona o tráfego para onde quer que seja, nem o modifica ou analisa o conteúdo das mensagens. As estatísticas são fornecidas à infraestrutura do baseado na nuvem, na qual é criado um perfil baseado em estatísticas para cada cliente com base nos metadados recolhidos. Na verdade, estes perfis são registos de padrões típicos de troca de informações para cada cliente. São registadas as alterações no tempo normal de utilização. O tráfego é analisado posteriormente; quando o comportamento de tráfego é diferente do perfil baseado em estatísticas pode ser indicativo de um ataque. A base do são os seus centros de limpeza. Estão localizados na estrutura principal da Internet, em locais como Frankfurt e Amesterdão. A Kaspersky Lab utiliza simultaneamente vários centros de limpeza para que possa dividir ou redirecionar o tráfego que precisa de ser limpo. Os centros de processamento estão unidos numa infraestrutura comum de informações baseada na nuvem e os dados estão guardados sem estas barreiras. Por exemplo, o tráfego Web dos clientes europeus não sai do território europeu. 4
Outra forma importante de controlar o tráfego de DDoS é filtrá-lo do lado do fornecedor. O ISP não fornece apenas um canal de Internet, também pode estabelecer uma parceria tecnológica com a Kaspersky Lab. Assim, o pode eliminar o tráfego não solicitado mais evidente, utilizado na maioria dos ataques DDoS, o mais próximo possível do seu ponto de origem. Isto evita que os fluxos se fundam num único ataque poderoso e alivia a carga sobre os centros de limpeza, que ficam assim livres para tratar do tráfego não solicitado mais sofisticado. Ferramentas de redirecionamento do tráfego Para que a solução de segurança funcione de forma eficaz, o primeiro requisito essencial é a criação de um canal de ligação entre os centros de limpeza e a infraestrutura de TI do cliente. No, esses canais são organizados de acordo com o protocolo de Encapsulamento de encaminhamento genérico. São utilizados para criar um túnel virtual entre o centro de limpeza e o equipamento de rede do cliente, através do qual o tráfego limpo é fornecido ao cliente. O redirecionamento do tráfego real pode ser efetuado através de um de dois métodos: com o anúncio da sub- -rede do cliente através da utilização de um protocolo de encaminhamento dinâmico BGP ou com a modificação do registo DNS, através da introdução do URL do centro de limpeza. O primeiro método é preferível, uma vez que consegue redirecionar o tráfego muito mais rapidamente e proteger contra ataques que visam um endereço IP específico. No entanto, este método requer que o cliente tenha um intervalo de endereços que seja independente do fornecedor, tal como um bloco de endereços IP fornecido por um registo de Internet regional. No que diz respeito ao próprio procedimento de redirecionamento, não há grande diferença entre os dois métodos. Se for utilizado o primeiro método, os routers BPG do lado do cliente e no centro de limpeza estabelecem uma ligação permanente através do túnel virtual; em caso de ataque, é criado um novo caminho do centro de limpeza para o cliente. Quando for utilizado o segundo método, é atribuído ao cliente um endereço IP a partir do conjunto de endereços do centro de limpeza. Se for iniciado um ataque, o cliente substitui o endereço IP no registo DNS pelo endereço IP atribuído pelo centro de limpeza. Depois desta ação, todo o tráfego que chegue ao endereço do cliente será enviado primeiro para o centro de limpeza. Todavia, o fornecedor tem de bloquear todo o tráfego de entrada, exceto os dados provenientes do centro de limpeza, para travar o ataque no antigo endereço IP. Como funciona Em circunstâncias normais, todo o tráfego da Internet é direcionado diretamente para o cliente. As ações de proteção começam logo que é recebido um sinal do sensor. Em alguns casos, os analistas da Kaspersky Lab identificam o ataque assim que ele começa e informam o cliente. Neste caso, podem ser tomadas medidas preventivas com antecedência. O especialista em DDoS de serviço na Kaspersky Lab recebe um sinal de que o tráfego que chega ao cliente não corresponde ao perfil estatístico. Se o ataque for confirmado, o cliente é notificado do mesmo e deve dar ordem para redirecionar o tráfego para os centros de limpeza (em alguns casos, pode existir um acordo com o cliente para que o redirecionamento seja iniciado automaticamente.) Assim que as tecnologias da Kaspersky Lab determinarem o tipo do ataque, as regras específicas de limpeza são aplicadas para este tipo de ataque e recurso Web específico. Algumas das regras, destinadas a tratar os tipo de ataques mais básicos, são comunicadas à infraestrutura do fornecedor e aplicadas nos routers pertencentes ao fornecedor. O tráfego restante é direcionado para os servidores do centro de limpeza e filtrado de acordo com vários sinais característicos, tais como, endereços IP, dados geográficos, informações de cabeçalhos HTTP, exatidão de protocolos e troca de pacotes SYN, etc. O sensor continua a monitorizar o tráfego à medida que chega ao cliente. Se continuar a mostrar sinais de um ataque DDoS, o sensor alerta o centro de limpeza e o tráfego é submetido a uma análise aprofundada do comportamento e das assinaturas. Com estes métodos, o tráfego malicioso pode ser filtrado com base nas assinaturas, isto é, pode ser completamente bloqueado um tipo de tráfego específico ou os endereços IP podem ser bloqueados com base em critérios específicos observados. Desta forma, são filtrados mesmo os ataques mais sofisticados, incluindo um ataque "flood" de HTTP. Estes ataques envolvem imitações de um utilizador a visitar um website, mas, na verdade, são caóticos, excecionalmente rápidos e geralmente são provenientes de um regimento de computadores zombie. Os especialistas da Kaspersky Lab monitorizam todo o processo utilizando uma interface dedicada. Se um ataque for mais complicado do que o habitual ou atípico, o especialista pode intervir, alterar as regras de filtragem e reorganizar os processos. Os clientes também podem ver como funciona a solução e como se comporta o tráfego, utilizando a sua própria interface. 5
Figura 3. Captura de ecrã da interface do cliente Quando o ataque termina, o tráfego é direcionado novamente para os servidores do cliente. O Kaspersky DDoS Protection regressa ao modo de espera e o cliente recebe um relatório detalhado do ataque, incluindo um relato detalhado de como se desenvolveu, os gráficos com os parâmetros mensuráveis e a distribuição geográfica das fontes do ataque. Vantagens da abordagem da Kaspersky Lab Apenas o redirecionamento do tráfego para os centros de limpeza da Kaspersky Lab durante um ataque e a filtragem do tráfego no lado do fornecedor ajudam a reduzir de forma significativa os custos para o cliente. As regras de filtragem são desenvolvidas individualmente para cada cliente em função dos serviços online que têm de ser protegidos. Os especialistas da Kaspersky Lab monitorizam o processo e ajustam rapidamente as regras de filtragem quando necessário. A estreita cooperação entre os especialistas do e os programadores da Kaspersky Lab torna possível adaptar a solução de forma flexível e rápida em resposta às circunstâncias em evolução. Para garantir a máxima fiabilidade, a Kaspersky Lab utiliza somente equipamentos europeus e fornecedores de serviços em países europeus. A Kaspersky Lab acumulou uma vasta experiência na aplicação desta tecnologia na Rússia, onde protege com êxito instituições financeiras líderes, agências comerciais e governamentais, lojas online, etc. Março 2015/Global 2015 Kaspersky Lab. Todos os direitos reservados. As marcas registadas e de serviço são propriedade dos respetivos titulares. www.kaspersky.pt