*Por Ivan Marzariolli
Fácil de lançar e muitas vezes devastadoramente eficaz, um ataque de distributed denial of service (DDoS) é uma das ameaças mais comuns no cenário atual de segurança cibernética. Em termos simples, um ataque DDoS procura interromper a conectividade ou os serviços do usuário de um alvo, inundando sua rede com um volume avassalador de tráfego fraudulento, tipicamente através de uma rede de bots.
A motivação do ataque pode variar de protestos políticos, guerras cibernéticas, vantagens competitivas ilícitas, ou extorsão para romper a segurança da vítima como cobertura para o roubo de dados. Em alguns casos, as gangues de ransomware chegam a lançar ataques DDoS contra suas vítimas para aumentar a pressão para o pagamento. Saber como impedir um ataque DDoS é uma prioridade crítica para os profissionais de segurança cibernética.
O ataque DDoS interrompe a conectividade de um alvo, inundando sua rede com enormes quantidades de tráfego fraudulento, principalmente através de uma rede de bots
Os danos de um ataque DDoS podem ser devastadores. Em uma pesquisa recente, 98% dos entrevistados relataram custos de mais de 100.000 dólares para cada hora de inatividade, enquanto mais de um terço dos custos estimados ultrapassam 1 milhão de dólares. O ataque DDoS médio causa $218.000 em danos diretos, além de qualquer extorsão, roubo de dados, interrupção de negócios ou danos à reputação da vítima e às relações comerciais e com os clientes. Os famosos ataques DDoS nos últimos anos, incluindo ataques multi-terabit no Google, AWS e GitHub, mostram a escala potencial da ameaça. Sem uma estratégia eficaz de prevenção de ataques DDoS, complementada com soluções de proteção DDoS e inteligência de ameaças, as organizações estão correndo um risco significativo.
Como deter um ataque DDoS: 5 Melhores práticas para a prevenção de ataques DDoS
Para reduzir o risco de um ataque devastador de negação de serviço, as organizações precisam alavancar medidas abrangentes incluindo o baselining e monitoramento do tráfego de rede, o planejamento de ataques DDoS, medidas de mitigação de ataques DDoS e a implantação de ferramentas de proteção DDoS e inteligência de ameaças. As melhores práticas a seguir podem formar a base de uma estratégia eficaz de prevenção de ataques DDoS.
1) Saber o que vigiar – e vigiar
Para detectar um ataque DDoS em andamento antes que seja tarde demais, você precisa saber como é o tráfego normal da rede. Ao criar uma linha de base de seu padrão normal de tráfego, você pode identificar mais facilmente os sintomas de um ataque DDoS, tais como desempenho de rede inexplicavelmente lento, conectividade com pontos, falhas intermitentes na web, fontes de tráfego incomuns, ou uma onda de spam.
O monitoramento vigilante é crítico, incluindo tanto o tráfego de rede quanto o de aplicações; mesmo uma pequena anomalia pode sinalizar um teste por cibercriminosos antes de um ataque maior. Quanto mais cedo você detectar um evento em andamento, mais rápida e efetivamente poderá colocar em ação os planos de mitigação de ataques DDoS. Ao mesmo tempo, é fundamental minimizar os falsos positivos a fim de evitar interrupções operacionais desnecessárias.
2) Fazer um Plano de Resposta de Negação de Serviço
Quando você tiver determinado que um provável ataque DDoS está em andamento, sua organização precisa ser capaz de responder rápida e eficientemente. O planejamento detalhado evitará a necessidade de improvisar sob pressão. Seu plano deve incluir:
• Uma lista de verificação de sistemas, ativos e ferramentas avançadas de detecção de ameaças;
• Uma equipe de resposta definida com as competências de mitigação de ataques DDoS;
• Procedimentos para manter as operações comerciais durante o ataque;
• Protocolos para notificação de incidentes e escalonamento;
• Um plano de comunicação abrangendo tanto os funcionários quanto as partes interessadas externas, tais como clientes e parceiros e a mídia.
3. Garantir uma infraestrutura resistente
Dada a alta probabilidade de uma tentativa de ataque DDoS, você deve tomar medidas para minimizar o impacto de uma negação de serviço bem-sucedida. Projetar sua rede e sistemas para acomodar o excesso de tráfego – de 2 a 5 vezes das suas necessidades básicas previstas – pode ajudá-lo a absorver um ataque por tempo suficiente para montar uma resposta. A distribuição de recursos pode limitar o alcance de um ataque, por exemplo, colocando servidores em diferentes centros de dados, e colocando data centers em diferentes redes e em diferentes locais físicos. Dispositivos redundantes e arquitetura de alta disponibilidade podem acelerar a restauração do sistema após um ataque DDoS (note que eles devem ser lançados somente após um ataque ter concluído para evitar expô-los a um ataque contínuo). Evite ou endureça gargalos e pontos únicos de falha que podem ser especialmente vulneráveis a uma enchente de tráfego.
4. Refúgio na Nuvem
A nuvem oferece algumas possibilidades para reduzir o risco de um ataque DDoS. A migração de ativos para a nuvem é uma abordagem; os provedores de nuvens têm muito mais largura de banda do que a empresa típica, e a natureza distribuída da nuvem pode ajudar a resiliência. Se um servidor for bloqueado por um ataque DDoS, outros continuarão operando; do mesmo modo, backups seguros de dados na nuvem podem ajudar na rápida recuperação no caso de corrupção do sistema.
Por outro lado, os ambientes de nuvens multi-tenant podem trazer riscos próprios. Um provedor de nuvem, hospedagem ou colocação que detecta um ataque DDoS em um cliente pode encerrar todo o seu tráfego a fim de evitar impactos de spillover em outros clientes, deixando a empresa incapaz de fazer uma resposta mais precisa para preservar alguns serviços. Da mesma forma, um ataque a outro cliente prestador de serviços de nuvem pode impactar sua empresa, mesmo que você não seja o alvo original. Nesta perspectiva, é importante trabalhar com provedores de nuvem, hospedagem e colocação, que oferecem proteção DDoS como um serviço para seus clientes.
5. Implantar Soluções de Proteção DDoS e Threat Intelligenc
A prevenção de ataques DDoS depende de uma estratégia multicamadas de melhores práticas, ferramentas e inteligência de ameaças. Sua solução anti-DDoS deve incluir capacidades de monitoramento de tráfego, detecção de ameaças em tempo real, bloqueio de comportamento anômalo, reconhecimento de padrão de ataque de dia zero, limpeza de DDoS e resposta automatizada. A inteligência de ameaças é essencial para enriquecer suas ferramentas DDoS com dados oportunos sobre as atividades e tendências atuais de DDoS, incluindo os endereços IP de botnets DDoS e servidores vulneráveis conhecidos por estarem associados a ataques DDoS. Alavancada em conjunto com a detecção de ameaças em tempo real, capacidades de inteligência artificial (IA)/machine learning (ML) e extração automática de assinaturas, a inteligência de ameaças permite que as organizações adotem uma abordagem proativa para a mitigação de ataques DDoS.
*Ivan Marzariolli é country manager da A10 Networks