Outros grupos de “hacktivistas” têm também lançado seus próprios ataques DDoS, tendo como objectivo as instituições financeiras e concentrando os seus ataques em formulários web e no seu conteúdo. Também há registo de ciber-assaltos a bancos e agências governamentais, organizados por outras nações, bem como complexos esforços multi-vetoriais que combinam ataques DDoS com a falsificação de contas online ou inclusive fraude.

No último ano e meio a actividade de hacking incrementou de forma contínua em intensidade e evolução.

Os últimos incidentes contra bancos de todos os tamanhos mostram que existem muitos tipos de ataques de negação de serviço. Temos visto os tradicionais ataques por flood de SYN e DNS, bem como amplificação DNS, métodos de ataques ao nível de aplicação e ataques dirigidos ao conteúdo. As actividades de negação de serviço dirigidas aos recursos de páginas web transportadas por encriptação SSL e ao seu conteúdo assumiram-se como um desafio adicional. Em alguns casos, os atacantes utilizaram formas de ataque mistas que incorporam métodos mais agressivos a nível aplicacional, mais difíceis de parar, em conjunto com ataques volumétricos "cheap" que podem ser filtrados e bloqueados através de métodos mais simples.

Para lidar com este nível de actividade maliciosa, tanto os CIOs, como os CISOs e respectivas equipas devem colocar em prática planos que contemplem um amplo conjunto de ferramentas defensivas, combinando tecnologias on site com serviços de “limpeza" baseados na nuvem. Também devem começar a explorar e finalmente implementar metodologias de recolha e distribuição de informação que ajudem a conceber uma estratégia completa de mitigação DoS.

1. Ter um serviço de “limpeza” ou similar para lidar com grandes ataques volumétricos

Os volumes associados à actividade DDoS alcançaram níveis tais que 80 Gbps de tráfego DDoS é considerado algo normal. Há inclusive registos de ataques na faixa dos 300 Gbps. Poucas organizações podem manter suficiente largura de banda para contra-atacar acções desta envergadura e, quando se deparam com incidentes DDoS deste tipo, a primeira coisa que as empresas precisam de considerar é a opção de encaminhar o seu tráfego da Internet através de um serviço de limpeza dedicado (scrubbing) baseado na nuvem que possa eliminar os pacotes maliciosos do canal. Estes serviços são a primeira linha de defesa contra grandes ataques volumétricos, já que têm tanto a largura de banda como as ferramentas necessárias para limpar o tráfego de rede de maneira a que este progrida correctamente.

2. Ter uma appliance DDoS dedicada, para identificar, isolar e solucionar ataques

A complexidade dos ataques DDOS e a sua tendência para combinar métodos volumétricos com outros baseados em aplicação, requer uma combinação de metodologias para os mitigar. A forma mais eficaz de tratar as ligações do tipo “low and slow” e de aplicação destes ataques multi-vectoriais é com appliances dedicadas in site. Os sistemas de firewall e de prevenção de intrusões são críticos nos esforços de mitigação e os dispositivos de segurança DDoS proporcionam uma capa adicional de defesa através de tecnologias especializadas que identificam e bloqueiam actividades avançadas DoS em tempo real. Os administradores também poderão configurar as suas soluções locais para que comuniquem com os serviços de limpeza de rede para permitir desvios automáticos durante o ataque.

3. As empresas precisam de ajustar as suas firewalls para gerir grandes taxas de conexão

A firewall é, também, uma peça importante da rede durante os ataques DDoS. Os administradores devem afinar os parâmetros da mesma para reconhecer e gerir ataques volumétricos e de nível de aplicação e, dependendo das possibilidades, também se podem activar protecções para bloquear pacotes DDoS e melhorar o rendimento em caso de ataque.

4. Desenvolver uma metodologia, ou estratégia, para proteger as aplicações de ataques DDoS

As tecnologias de segurança podem proporcionar protecções muito robustas contra actividades DDoS, mas os administradores também deveriam pensar em ajustar os seus servidores web, modificar os seus balanceadores de carga e aplicar estratégias de “content delivery” para assegurar o maior tempo activo possível (uptime). Também convém ter em conta a incorporação de mecanismos para evitar múltiplas tentativas de login. Outra estratégia interessante é evitar actividades automatizadas, de forma que os utilizadores tenham que escolher entre “Aceitar” ou “Não, obrigado” para continuar a navegar dentro do conteúdo do site.

Por outra parte, a análise do conteúdo é importante. Estes esforços podem ser tão simples como assegurar que não há ficheiros PDF de grandes dimensões alojados em servidores criticos, do ponto de vista do serviço.

Os métodos anteriores são cruciais para qualquer estratégia de mitigação DDoS. As organizações devem também contactar os Service Providers e ISPs e trabalhar com eles para identificar técnicas de mitigação inovadoras. O prestador de serviços Internet também deve estar envolvido nas estratégias de mitigação já que os ataques DDoS utilizam a mesma Internet que os clientes bancários, e os ISPs são os que transportam ambos os tipos de tráfego.

De importância crescente é a necessidade de pesquisar e implementar estratégias de recolha e distribuição de conhecimento, expandindo-se para incluir outras companhias que operam na indústria dos serviços financeiros.

Autor : Rui Duro, Sales Manager de Check Point Portugal

Conseguir mais informação a respeito de quem é o atacante, quais as suas motivações, os métodos usados, etc. ajuda os administradores a antecipar e a construir, de forma proactiva, uma estratégia eficaz de combate a estes ataques. A informação do perfil de ataque pode ir desde os protocolos utilizados (SYN, DNS, HTTP), às origens dos pacotes de ataque, passando pelas redes de comando e controlo, bem como pelas horas do dia a que ocorreram os ataques. Ainda que esta informação seja valiosa para mitigar os ataques, não há uma forma simples de a comunicar e os obstáculos regulatórios podem tornar inclusive mais difícil a sua partilha.

Hoje em dia, partilhar esta informação consiste num mero “boca a boca”. Este intercâmbio tem portanto que evoluir até se tornar num sistema automatizado no qual as organizações possam entrar numa solução e ver a correlação de dados em cru que proporcionem pistas a respeito dos ataques realizados e também dos que estão em curso. Tais sistemas podem ser utilizados tanto para partilhar informação de inteligência sobre os ataques, como para distribuir protecções. A capacidade de partilhar informação dentro da indústria ajudaria a incrementar a capacidade de as empresas de serviços financeiros gerirem a actividade DDoS, levando-as a atingir um novo nível de preparação neste sentido.