Companies Under Threat Of DNS Attacks Must Measure Risk Appetite

Empresas sob ameaça de ataques DNS devem medir o 'apetite pelo risco'

Por Mark Stone

Os ataques cibernéticos prejudiciais realizados contra o Dyn no ano passado fizeram com que as várias empresas reconhecessem a vulnerabilidade dos sistemas de nome de domínio, ou DNS.

Grandes corporações como Twitter, Netflix e Amazon ficaram temporariamente inacessíveis, pois dependiam do Dyn como serviço de DNS para conectar os clientes aos websites.

Em outubro, o Dyn sofreu um ataque de negação de serviço distribuído (DDoS), que envolve uma rede de computadores infectados que trabalham em conjunto para bombardear um servidor com tráfego até que ele para de funcionar por pressão.

O botnet Mirai usado no ataque do Dyn foi notável por seu registro forçado de dispositivos conectados à Internet, como câmeras digitais e aparelhos de DVD, revelando o que pode acontecer quando uma falha na Internet das Coisas é explorada.

iStock
Até que ponto você precisa se proteger contra um ataque ao estilo DNS depende da natureza da sua empresa.

Assim como outras formas de ataques DDoS, os ataques DNS podem prejudicar você e custar caro. Para cada minuto de tempo de inatividade, podem-se perder milhares de dólares em receita.

Uma pesquisa recente realizada pela Neustar, uma fornecedora global de serviços de informação, constatou que, em 63% dos ataques DDoS, as empresas perderam pelo menos US$ 100.000 por hora durante os períodos de pico de uso.

Ataque do tipo “Water Torture”

Há muitas variações de ataques DNS, e um deles, o DNS Water Torture, destaca-se por sua discrição.

Martin McKeay, diretor de segurança sênior da Akamai Technologies, explica que este ataque pode sobrecarregar um servidor DNS com uma onda de solicitações de string aleatórias criadas por sistemas em um botnet.

Ele age enganando servidores DNS usados por provedores de serviços de Internet em todo o mundo e fazendo com que eles iniciem ataques contra servidores DNS autoritários usados pelas empresas. Quando ficam inundados de solicitações, esses servidores DNS corporativos param de responder, e seus clientes não conseguem acessar seu website.

"As defesas tradicionais não conseguem proteger você contra este tipo de ataque", disse McKeay. "Se o seu servidor DNS estiver sobrecarregado, as solicitações reais não conseguirão entrar, os recursos ficarão amarrados, e sua empresa ficará off-line".

A maioria das pessoas não está familiarizada com este tipo de ataque, disse ele, mas precisa se preparar para ele.

Mecanismos de defesas do DNS

Embora muitas empresas contem com apenas um provedor de serviços externos de DNS, McKeay sugere que uma das melhores medidas de prevenção é implantar dois ou mais. Os ataques ao Dyn demonstraram o que pode acontecer quando não existe nenhum backup.

Até que ponto você precisa se proteger contra um ataque ao estilo DNS depende da natureza da sua empresa. Se a sua empresa depende do próprio website ou do serviço habilitado para Internet como força vital, é provável que sejam necessárias precauções extras. No entanto, o grau de necessidade é uma pergunta que as empresas devem responder para si mesmas, de acordo com McKeay.

"Cada empresa deve decidir qual é o seu apetite pelo risco", disse ele. "Você conseguiria sobreviver a 95% dos ataques que acontecem? Ou precisaria de se proteger de tudo?”

O tempo de inatividade devido a um ataque de Water Torture pode ter sérias consequências financeiras. Para algumas empresas, o custo de 15 minutos de tempo de inatividade pode justificar vários anos de proteção.

O estudo da Neustar, que entrevistou 849 organizações que abrangem setores de varejo, finanças e tecnologia, revelou que US$ 2,2 bilhões foram coletivamente perdidos devido a ataques DDoS durante os últimos 12 meses, com uma média de US$ 2,5 milhões para cada organização.

Para o atual diretor de segurança ou diretor de informações, o foco nos principais blocos de segurança é fundamental, independentemente de terem sido criadas medidas defensivas para evitar ataques de DNS do tipo Water Torture ou outras ameaças.

“Não se preocupe com o próximo grande ataque ou com a compra de um caixa dos milagres", aconselha McKeay. "Mantenha-se atualizado, esteja ciente do que está acontecendo e tenha motivação pessoal para continuar aprendendo".

Mark Stone trabalhou na tecnologia da informação por muitos anos antes de decidir escrever sobre o assunto como carreira. Ele mora no Canadá.

Conteúdo relacionado ao CIO