U oktobru prošle godine, Google Cloud je objavio da je uspešno suzbio najveći DDoS napad u istoriji - i da je ovaj DDoS napad pogađao poslovne subjekte od avgusta.
Šta je to što ga je učinilo najgorim DDoS napadom do sada? Bio je to njegov obim.
Tokom svog vrhunca, napad je brojao preko 398 miliona zahteva u sekundi (rps). Poređenja radi, najgori zabeleženi DDoS napad do tog trenutka, otkriven 2022. godine, dostigao je 46 miliona rps.
U ovom slučaju, kriminalci su bili u mogućnosti da pokrenu DDoS nakon što su otkrili zero-day ranjivost na HTTP/2 protokolu. U najgorem slučaju, ovaj tip eksploatacije može da preplavi saobraćaj i ometa usluge. Iako neće ugroziti podatke, može izbaciti ranjivu veb stranicu ili aplikaciju iz upotrebe.
Ako ga sagledamo sada, pola godine kasnije - šta najveći DDoS napad do sada može da nauči softverske developere o sprečavanju DDoS-a?
Redovno popravljajte ranjivosti
Zero-day ranjivost učinila je ovaj napad tako efikasnim. Sada je poznat kao HTTP/2 Rapid Reset, ili CVE-2023-44487, i može preopteretiti servere koji se oslanjaju na HTTP/2 protokole.
Rano popravljanje nedostataka jedan je od najboljih oblika odbrane od DDoS i drugih napada. Tokom ovog procesa, posebna pažnja mora se posvetiti visokorizičnim ranjivostima.
Neažurirane ranjivosti se nalaze među vodećim uzrocima sajber napada, ali mnoge ekipe godinama zanemaraju izbacivanje patch-a. Sa poznatim greškama, kompanije mogu automatizovati ovaj proces kako bi ih unapred popravili u sistemu. Ali kako možete odmah popraviti zero-day ranjivosti? To su pretnje koje još uvek nisu poznate, i alati ne mogu da ih detektuju jer ne znaju da takve ranjivosti postoje.
Takođe, može potrajati neko vreme dok patch ne bude dostupan za najnovije zero-day ranjivosti. Dok čekate patch za HTTP/2 Rapid Reset, Microsoft predlaže:
- Zaštitite svoj sajt WAF-om (web application firewall)
- Implementirajte odbranu za DDoS napade 7 sloja
- Postavite pravila ograničenja brzine da blokirate neželjeni saobraćaj
- Blokirajte maliciozne IP adrese
- Onemogućite HTTP/2 protokol
Pristupajte sajber bezbednosti proaktivno
Google je u poziciji da otkrije i suzbije napade pre nego što izmaknu kontroli jer stalno nadgleda svoju bezbednost. Kompanija konstantno razvija bolje mehanizme odbrane i koristi proaktivne mere kako bi kontinuirano poboljšavala svoju bezbednost.
Ako vaš tim za razvoj redovno primenjuje patch-eve, pridržava se najboljih praksi za suzbijanje DDoS-a i održava ažuriran plan odgovora na incidente, onda ste u dobrom položaju kada je reč o reaktivnim merama. Međutim, to možda nije dovoljno da zaštitite svoje okruženje od visokorizičnih nedostataka.
Da biste sprečili DDoS da omete vaš sistem na ovom nivou, potrebno vam je više.
Započnite ovde da implementirate proaktivniji pristup bezbednosti:
- Nadgledajte mrežni saobraćaj kako biste brzo uočili svaku promenu u saobraćaju
- Koristite rešenja za analizu ponašanja kako biste otkrili abnormalne obrasce saobraćaja
- Postavite pravila filtriranja saobraćaja kako biste zaustavili zlonameran saobraćaj
Kao rezultat toga, proaktivna sajber bezbednost vam pomaže da rano otkrijete ranjivosti - pre nego što eskaliraju u štetne i skupe napade.
Postavite složene odbrambene mere u okviru vaše infrastrukture
U svom pregledu najvećeg napada, Emil Kiner iz Cloud Armora primećuje da je zahvaljujući merama balansiranja opterećenja i infrastrukturi za suzbijanje DDoS-a, Google uspeo da održi sve operativnim, i izbegne bilo kakve prestanke rada.
Suprotno tome, kada je OpenAI doživeo DDoS napad u novembru 2023. godine, korisnici su se žalili na ponovljene prekide tokom celog dana.
Sveobuhvatna infrastruktura za suzbijanje i slojevi sigurnosti mogu napraviti veliku razliku prilikom napada u vašu korist. Samo WAF (web application firewall) nije dovoljan za rano suzbijanje DDoS-a. Na primer, evo nekoliko mera na koje se Google tim oslanja:
- Posebno prilagođene sigurnosne politike
- Adaptivne zaštite za analizu uzoraka saobraćaja
- Globalno balansiranje opterećenja za distribuciju saobraćaja
Pored odgovarajuće infrastrukture, važno je imati višedimenzionalni program sajber bezbednosti koji kombinuje različite proaktivne i reaktivne mere.
Sarađujte sa kolegama u vašoj industriji
Ono što nas ovaj slučaj uči jeste to koliko je važno sarađivati sa drugim akterima u vašoj industriji.
Kako bi suzbio napad, Google je delio informacije i obaveštajne podatke o napadima sa zainteresovanim stranama u industriji. To uključuje održavaoce softvera i pružaoce usluga oblaka.
Google, Cloudflare i AWS zajedno su radili na istraživanju i zaustavljanju napada pre nego što je izazvao dugotrajne prekide rada za ranjive korisnike. Koordinirali su svoje napore i delili obaveštajne podatke, strategiju i ekspertizu kako bi rano zaustavili napad.
Ovo je važno za suzbijanje napada velikih razmera poput ovog. Mogli su da se izbore sa pretnjom na vreme koristeći najefikasnije mere za to.
Kako druge kompanije mogu iskoristiti različite saradnje? Izgradite zajednicu kako biste podstakli podržavajuće okruženje u svojoj industriji. Razmenjujte znanje i prakse sa drugim kompanijama.
Sarađujte sa partnerskim kompanijama iz industrije kako biste u realnom vremenu suzbili napade.
Prilagodite i unapređujte odbranu kako biste sprečili DDoS napade
Kada velika kompanija doživi DDoS napad, može biti teško razumeti zašto WAF i druge odbrane nisu odmah zaustavile napad.
Kao što vidite ovde, teško je pripremiti kompaniju protiv sofisticiranijih napada, pogotovo ako iskoriste zero-day ranjivost - govorimo o slabosti koju vaš sigurnosni sistem nije mogao da predvidi.
Suština najgoreg DDoS napada? Baš kao što se DDoS napadi svake godine sve više unapređuju, vaša odbrana takođe mora da evoluira.
Osim primene standardne sajber “higijene” kao što su redovni apdejti, pristupite bezbednosti sa proaktivnim merama. Kreirajte višedimenzionalnu infrastrukturu za sigurnost i, ako možete, sarađujte sa drugima.
0 komentara