Z mniej lub bardziej dotkliwymi atakami typu DDoS (Distributed Denial of Service) muszą się zmagać regularnie administratorzy niemal każdej serwerowni. W ostatnich dniach ofiarami ataków padły m.in. Allegro i banki grupy BRE (mBank i Multibank). Ataki na mBank skomentował Sebastian Krystyniecki, inżynier systemowy w firmie FORTINET.
1. Jakie zagrożenia i konsekwencje niosą ze sobą ataki DDoS dla końcowego klienta banku?
Fundamentalnym problemem z jakim spotyka się klient atakowanego banku, jest oczywiście ograniczenie lub też wręcz brak dostępu do swoich środków finansowych. W obecnych czasach często nie jest to tylko niedogodność, a raczej poważny problem. Z jednej strony, z emocjonalnego punktu widzenia, budzi to zrozumiały niepokój i powoduje nadszarpnięcie zaufania do danej instytucji. Z drugiej strony zaś, może owocować realnymi stratami finansowymi, wynikającymi choćby tylko z braku możliwości dokonania przelewu na czas.
2. Jak instytucje finansowe powinny się zabezpieczać przed tego typu atakami?
Wachlarz możliwości jakimi dysponują działy IT instytucji finansowych jest bardzo szeroki. Stosowane modele ochrony koncentrują się wokół kilku głównych obszarów i kombinacji poszczególnych metod: ochrony już po stronie dostawcy łącz (wadą może być tutaj z jednej strony koszt, z drugiej zaś np. przerzucenie ciężaru ewentualnego ataku DDoS na własną infrastrukturę sieciową), wykorzystania dedykowanych usług, które mogą buforować naszą sieć w sytuacji ataku (wada: nieprzewidywalność kosztów - atakowany płaci za wolumen ruchu przed którym jest chroniony) czy w końcu wykorzystania własnej infrastruktury sieciowej. Problem w tym ostatnim przypadku polega na tym, że dość często (w ponad 60%), wykorzystuje się rozwiązania typu firewall, IPS oraz zwykłe routery i switche, czyli sprzęt który ma zupełnie inne przeznaczenie i wydajność zoptymalizowaną do innego rodzaju zadań.
3. Z jakimi stratami finansowymi powinien liczyć się bank?
Faktycznie trudno sobie wyobrazić lepszą ilustrację dla stwierdzenia: „czas to pieniądz” niż instytucja bankowa. Tutaj każda chwila przestoju to realne i policzalne straty finansowe, nie mówiąc już o stratach związanych z zachwianiem zaufania i osłabieniem marki. Statystyki mają dość dużą rozpiętość, natomiast w sytuacji instytucji finansowych, 80% z nich twierdzi że koszt ten przekracza 10 tysięcy dolarów na godzinę. W ekstremalnych sytuacjach, może osiągać nawet 100 tysięcy dolarów na godzinę.
4. Jakie środki ostrożności powinien zachować bank do momentu ustalenia źródła ataku i przywrócenia dostępnośći serwisu?
Bardzo istotna jest transparentna i sprawna polityka informacyjna. Po pierwsze nawet zwykły komunikat informujący o problemach technicznych może uspokoić nieco sytuację - choćby z tej przyczyny, iż jasno pokazuje że ktoś czuwa nad zaatakowaną infrastrukturą. W konsekwencji może to również ograniczyć pojawiającą się wtedy zawsze hiperaktywność użytkowników, którzy zaniepokojeni brakiem dostępu do serwisu, co chwilę próbują się do niego odwoływać, niejednokrotnie pogłębiając i tak już kryzysową sytuację.
5. Jak w takiej sytuacji powinni zachować się klienci banku?
Kluczowe jest tutaj zachowanie spokoju i odgraniczenie aktywności internetowej, skierowanej bezpośrednio w stronę atakowanej instytucji. Masowy niepokój sam w sobie może wywołać drugi, niezależny DDoS. Warto zawsze w takiej sytuacji alternatywnie skorzystać z tradycyjnych metod komunikacji i skontaktować się z infolinią banku.
6. Jakie są statystyki podobnych ataków?
Statystycznie rzecz ujmując, mniej niż 10% to ataki DDoS o wolumenie większym od 10 Gbps. Co istotne ponad 75% ataków generuje ruch mniejszy niż 1 Gbps. Jeśli chodzi o ich czas, to mniej niż 30% trwa ponad 24h i tylko około 10% trwa ponad tydzień.
Dotykamy tutaj bardzo ważnej kwestii. Jak widać, coraz rzadziej mamy do czynienia z atakami wolumetrycznymi, obecnie cechują się one raczej wysoką precyzją i ukierunkowaniem na konkretne systemy czy też usługi. Dlatego właśnie bardzo istotne jest stosowanie takich zabezpieczeń, które pozwolą na granularną ochronę przed atakami DDoS nawet w oparciu o kryteria warstwy 7 modelu OSI/ISO.
Źródło: Fortinet