Aplicativos na linha de fogo: O poder duradouro dos ataques DDoS
Os aplicativos são a cara da sua empresa. Hoje em dia, a boa vontade do cliente é conquistada ou perdida num piscar de olhos, então, qualquer tipo de tempo de inatividade não é uma opção. Cada segundo que você fica fora de ação é um prelúdio potencial para perdas financeiras e/ou de reputação.
Embora haja uma infinidade de novos ataques cibernéticos sofisticados que podem interromper e causar danos, é uma ameaça distintamente “da velha escola” que permanece entre as mais proeminentes (e disruptivas).
Ataques de negação de serviço distribuído (DDoS) não são novidade. Na verdade, o primeiro incidente conhecido semelhante a um ataque de negação de serviço teria ocorrido em 1974, quando um garoto de 13 anos da Universidade de Illinois derrubou uma sala cheia de terminais conectados a um sistema de gerenciamento de aprendizagem.
Os tempos mudaram desde então, mas os ataques DDoS continuaram a evoluir, ganhar força e causar estragos. Isso é particularmente verdadeiro após a COVID-19, com vários relatórios do setor dos últimos dois trimestres destacando picos significativos em todo o mundo.
No entanto, mesmo antes da pandemia, a ameaça de DDoS estava em trajetória ascendente. Por exemplo, uma análise dos dados da Equipe de Resposta a Incidentes de Segurança da F5 observou recentemente que 77% de todos os ataques contra provedores de serviços em 2019 foram relacionados a DDoS. Em 2017, era cerca de 30%.
Quais são os riscos?
Os ataques DDoS geralmente ocorrem de três formas. Ataques de alta largura de banda, também conhecidos como inundações volumétricas, são os mais comuns. Uma quantidade enorme de tráfego é enviada para a rede da vítima visada com o objetivo de consumir tanta largura de banda que o acesso dos usuários é negado.
Depois, há ataques de protocolo (às vezes chamados de ataques “computacionais” ou de “rede”), que negam serviço explorando fraquezas ou o comportamento normal dos protocolos. Normalmente, são protocolos OSI de camada 3 e camada 4, como ICMP (Internet Control Message Protocol), TCP (Transport Control Protocol), UDP (User Datagram Protocol) e outros. O objetivo é esgotar as capacidades computacionais da rede ou recursos intermediários (como firewalls) e alcançar a negação de serviço.
Por fim, e sem dúvida o mais difícil de todos, estão os ataques na camada de aplicação (também conhecidos como ataques na camada 7 do OSI), que têm como alvo servidores web, plataformas de aplicativos web e aplicativos específicos baseados na web, em vez da rede em si. Isso ocorre quando invasores tentam travar o servidor e tornar um site ou aplicativo inacessível. Esses ataques podem ter como alvo vulnerabilidades conhecidas de aplicativos, sua lógica de negócios subjacente ou abusar de protocolos de camada superior, como HTTP/HTTPS (Hypertext Transfer Protocol/Secure) e SNMP (Simple Network Management Protocol). Ataques dessa natureza geralmente usam menos largura de banda e nem sempre indicam um aumento repentino no tráfego, o que os torna muito mais difíceis de detectar e mitigar sem falsos positivos. Ataques na camada de aplicação são medidos em solicitações por segundo.
Um dos maiores desafios enfrentados pelas equipes de segurança é a facilidade com que um ataque DDoS pode ser lançado; uma vasta gama de recursos online significa que quase qualquer um pode se tornar um criminoso cibernético com o clique de um botão. Também há serviços que você pode pagar para atacar o alvo de sua escolha. Todo mundo está nisso também, sejam hacktivistas, ex-funcionários descontentes, "script-kiddies" aproveitando códigos prontos ou atores de estados-nação.
Infelizmente, não há como evitar completamente ser um alvo, mas há várias medidas que você pode tomar para proteger melhor sua organização.
Mantendo-se seguro
Em primeiro lugar, é crucial ter um plano de resposta a ataques DDoS em vigor. Este deve ser um manual que descreva cada etapa da resposta a incidentes (pessoas, processos, funções, procedimentos, etc.).
Para mitigar efetivamente ataques DDoS baseados em aplicativos, todas as organizações precisam:
- Aprenda o comportamento típico do trânsito e use os insights para eliminar anomalias.
- Seja preciso. Ser capaz de separar surtos legítimos de atividade de ataques significa que você pode manter a experiência desejada do usuário sem adicionar riscos. A visibilidade do desempenho do sistema que está sendo comprometido é muito importante.
- Localize o mau ator. Ataques na camada de aplicação envolvem o estabelecimento de uma conexão. Isso significa que há uma oportunidade de encontrar a origem do ataque.
- Gere uma assinatura de ataque. Bloquear a origem do ataque pode cortar o acesso de usuários legítimos se grandes servidores proxy estiverem envolvidos. Com uma assinatura única para um ataque, você pode bloquear em um nível granular. Você pode encontrar os pontos fracos do ataque e usá-los contra os agentes da ameaça.
Quando se trata de implementar soluções específicas de proteção contra DDoS, você deve sempre basear-se na frequência com que sua organização é atacada (ou na probabilidade disso), em suas habilidades internas para se defender contra um ataque, nos orçamentos disponíveis e na capacidade e limitações de sua rede. As opções de implantação incluem:
- No local. Uma solução DDoS local pode funcionar se a capacidade da sua rede puder lidar com ataques moderados (na faixa de 10 a 50 Gbps), for rotineiramente atacada e você tiver pessoal interno qualificado em mitigação de DDoS.
- Uma solução terceirizada. Se seus circuitos de rede não conseguem lidar com um ataque maior que 10 Gbps, o risco de ataque é baixo e você não tem a experiência interna para gerenciar uma solução local, um centro de limpeza de DDoS (serviço terceirizado) é recomendado.
- DDoS híbrido. Se você estiver sujeito a ataques DDoS frequentes ou em larga escala que excedem a capacidade da sua rede, e a experiência interna em mitigação for limitada, você pode optar por um modelo híbrido e usar um serviço gerenciado em combinação com uma solução DDoS local.
Além dessas recomendações, você também deve garantir que sua infraestrutura de rede esteja protegida com firewalls e sistemas de detecção de intrusão que monitoram e analisam o tráfego de rede. Além disso, é aconselhável usar soluções antivírus para conter infecções de malware, bem como balanceamento de carga e redundância para ajudar a manter a disponibilidade.
Ao mesmo tempo, é importante não negligenciar controles técnicos e administrativos, como limitar a administração remota a uma rede de gerenciamento (em vez de toda a Internet) e escanear frequentemente portas e serviços de rede voltados para a Internet.
Todos devem levar o DDoS a sério, esperar ser atacados em algum momento e ter planos e medidas de mitigação em vigor que estejam intimamente alinhados com os objetivos do negócio.