Defense By Design: How To Dampen DDoS Attacks With A Resilient Network

Defesa por design: Como amenizar ataques DDoS com uma rede resiliente

Por Scott Bowen

A história dos ataques de negação de serviço distribuído (DDoS) está repleta de inovações diabólicas e criatividade, e continuam mudando de forma e método, assombrando as tentativas de evitá-los.

Ninguém conseguiria criar uma proteção 100% eficaz contra os ataques DDoS. Mas os diretores de informação (CIOs), os diretores de segurança da informação (CISOs) e os especialistas em suas equipes dispõem sim de formas eficazes para se preparar, reagir e se recuperar de ataques DDoS por meio da avaliação dos riscos dentro da organização e da criação de uma rede resiliente à altura da organização, que englobe arquitetura e procedimentos que limitem a possibilidade e os efeitos de falhas sistêmicas.

Defense By Design: How To Dampen DDoS Attacks With A Resilient Network
Até mesmo uma breve interrupção ou lentidão pode prejudicar as receitas, o atendimento ao cliente e a reputação.

Um ataque DDoS pode ser definido pelo objetivo que tem: retardar ou interromper as atividades da empresa, prejudicando a capacidade de resposta digital. Os invasores usam vários sistemas pirateados para visar um único sistema e inundá-lo com tráfego proveniente de várias direções.

Esses ataques podem afetar as camadas de aplicações ou acumular solicitações de dados falsas ou sobrecarregar um sistema com dados inúteis. Podem também induzir uma parte do sistema a sobrecarregar outra parte com solicitações de dados.

"Um ataque DDoS pode também agir como uma cortina de fumaça para outros ataques que ocorrem simultaneamente, inclusive ataques a aplicações Web que roubam dados confidenciais", disse John Summers, vice-presidente empresarial e gerente geral da Akamai Technologies.

O próximo ataque

O enorme ataque do botnet Mirai, ocorrido em outubro de 2016, foi diferente de tudo que já se tinha visto: cerca de meio milhão de dispositivos, inclusive DVRs e webcams, transformou-se em um exército de "bots” atacantes, conforme discutido no relatório State of the Internet/Security da Akamai.

Um ataque tão gigantesco como esse não é algo que aconteça todos os dias, de acordo com Eugene Spafford, diretor executivo emérito do Centro de Educação e Pesquisa em Garantia e Segurança da Informação da Purdue University. "Mas haverá mais ataques em grande escala - talvez, não sejam comuns ou regulares, mas ocorrerão", disse ele.

A crescente “área de ataque" da Internet das Coisas (IoT) desempenhará um papel fundamental nessas ações futuras. "Como temos cada vez mais usuários e mais coisas on-line, e os invasores têm a capacidade de subverter grandes quantidades deles e transformá-los em coisas como um botnet, os ataques DDoS só tendem a crescer", disse Spafford.

Ele destacou ainda que, até o momento, a maioria dos ataques DDoS conhecidos tem durado relativamente pouco, por uma variedade de motivos. Portanto, nem todos os ataques exigem resiliência significativa, mas podem ser enfrentados com paciência. "Não tenho certeza, daqui para frente, de até que ponto este continuará sendo o caso", disse ele.

Até mesmo uma breve interrupção ou lentidão pode prejudicar as receitas, o atendimento ao cliente e a reputação. Além disso, um ataque a uma empresa pode prejudicar todo o fluxo de negócios. Por exemplo, um ataque DDoS a uma transportadora significa acúmulo de caixas nos portos. Os produtos não chegam às lojas de varejo ou aos centros de distribuição. Os clientes finais procuram outro lugar, e os comerciantes perdem dinheiro por um problema que não é deles diretamente.

Avaliação de riscos

Segundo a pesquisadora de segurança cibernética Wendy Nather, principal estrategista de segurança da Duo Security, nem todas as empresas precisam se preparar para um ataque do porte ou da sofisticação de um ataque de botnet gigantesco. Em vez disso, cada empresa deve avaliar seu risco específico e "explorar as informações sobre ameaças para descobrir quem poderia estar motivado a atacá-la e quais tipos de ataques poderiam ser usados", disse ela.

Uma empresa menor, como uma loja de roupas independente, não precisa se proteger da mesma maneira que um banco, de acordo com Nather, que anteriormente liderou a segurança regional de um grande banco da Europa.

Para estar preparado, um CISO deve primeiro avaliar o porte e a natureza do perfil de risco da empresa em seu mercado principal e, em seguida, criar um plano para combater os tipos mais esperados de ataques DDoS.

Os riscos são geralmente específicos dos setores e das respectivas regulamentações, que diferem por país ou região. Spafford destacou vários exemplos do impacto das regulamentações sobre a resiliência dos negócios. Usinas nucleares precisam ter a capacidade de computação necessária para resistir a alterações não autorizadas nos códigos. O setor médico precisa dispor de redes capazes de garantir a confidencialidade dos registros. O setor financeiro precisa manter e armazenar dados com segurança para que possam ser auditados corretamente.

Não existe uma abordagem predefinida em relação aos regulamentos, de acordo com Spafford. “É preciso conhecer o contexto da sua empresa no ambiente regulamentar", disse ele.

Planejar para oferecer resiliência

A arquitetura de rede é a base da resiliência. As organizações devem evitar operar com uma rede completamente plana, ou seja, uma rede que compartilha largura de banda em sua arquitetura, tornando disponíveis todas as partes do sistema. O ataque a uma parte pode abrir acesso a tudo. "A boa prática de segurança reza que é necessário particionar a rede", disse Spafford.

Uma organização deve, em outras palavras, ser capaz de separar as diferentes seções de sua rede para evitar a disseminação de qualquer tipo de ataque. O difícil é levar isso em consideração ao criar ou expandir uma rede, quando a criação de conectividade entre diferentes seções é desejada ou necessária, mas representa um risco.

De acordo com Nather, do ponto de vista da arquitetura, uma rede resiliente deve também ter redundância em vários de seus componentes e a capacidade de redirecionar o tráfego de um conjunto de equipamentos para outro, se necessário.

Se uma rede depende de tráfego em alto volume entre diferentes camadas de aplicações, por exemplo, vários websites complexos, não se deve ter apenas um banco de dados no back-end, disse ela.

Nather destacou duas táticas principais: Uma rede resiliente deve ter vários pontos de controle nos quais os administradores possam fazer login e fazer alterações. E não deve contar com um único provedor de serviços de Internet, mas ter vários pontos de possível acesso por meio de diferentes provedores.

Preparação para ataques

A criação de um conjunto de procedimentos para lidar com um ataque não pode cobrir todas as variáveis que existem na face da terra, especialmente devido à criatividade dos ataques DDoS. Mas o fato de ter um protocolo estabelecido, documentado em um "runbook", pode ajudar muito a esclarecer quem faz o que em caso de um ataque.

De acordo com Nather, ao criar um procedimento de ataque, a organização precisa designar quem ficará encarregado de monitorar o tráfego de entrada em busca de possíveis padrões de ataque e garantir que esses membros da equipe tenham a capacidade de relatar as descobertas às pessoas corretas na hierarquia da organização.

No caso de um ataque real, “é preciso saber como incluir a alta gerência, o departamento jurídico e de RP e os empresários", disse Nather. "Talvez convenha até envolver a polícia".

Os operadores de sistema, disse Spafford, devem saber com antecedência como obstruir ou desativar as principais conexões de entrada do sistema e, depois, proceder ao restabelecimento das conexões de serviço necessárias.

No tocante aos ensaios de ataques, "empresas de sucesso fazem isso regularmente", disse Nather. Dependendo do cenário específico do ataque, representantes das unidades de negócios e de tecnologia da empresa devem se reunir, por teleconferência ou em reunião, para rever a função e a reação de todos a um ataque DDoS.

"O ato de praticar é como o de desenvolver um músculo", disse Nather.

Resiliência em ação

Quando ocorre um ataque, e a empresa está preparada o suficiente para não ser pega totalmente desprevenida, a reação essencial é responder com maior largura de banda e mais potência de máquina, em questão de instantes. "Se eu tiver mais largura de banda e máquinas do que o ataque que estou sofrendo, essa é a solução", disse Spafford.

A infraestrutura pode estar na nuvem. "Até mesmo as maiores organizações não têm capacidade de repelir os maiores ataques", alertou Summers. "A única maneira de garantir resiliência é com uma camada de capacidade sob demanda e altamente escalonável na nuvem".

Uma organização precisa também ter agilidade para alterar endereços IP, nomes de domínio e roteamento de modo que, dependendo da natureza do ataque, o sistema visado possa mudar para endereços diferentes e para hardware diferente, disse Spafford.

E não ignore a qualidade do sistema de nomes de domínio (DNS) que você usa. O DNS padrão que vem com seu provedor de serviços pode não apresentar a capacidade necessária quando está sob ataque. Quando possível, use provedores de DNS de backup para os quais você possa mudar se o seu principal sofrer um ataque DDoS que afete o seu negócio.

Às vezes, um organização consegue colocar um ataque no “buraco negro”. Ou seja, canalize o tráfego de ataque de forma que o invasor pense que o tráfego está indo para o alvo pretendido, mas está realmente sendo enviado para um espaço controlado onde pode ser analisado.

Em seguida, se você tiver tecnólogos na equipe de sua empresa ou puder acessá-los por meio de um aliado terceirizado, poderá fazer uma análise criminológica em tempo real para encontrar e tirar proveito de uma fraqueza na própria aplicação de ataque, de acordo com Nather, e danificar ou eliminar sua funcionalidade.

Análise pós-ação

Depois de desarmar o ataque, Spafford recomenda uma análise pós-ação com as seguintes perguntas:

  • Detectamos o ataque com rapidez suficiente?
  • Tomamos as medidas adequadas para prosseguir com os serviços que nossa empresa considera críticos?
  • Nossa resposta funcionou?
  • Houve aspectos do ataque que passaram despercebidos?
  • Há algum tipo de efeito colateral que passou despercebido?

Compartilhe as informações da revisão pós-ação com os parceiros e aliados que devam ter conhecimento, tais como seu serviço de proteção contra DDoS ou uma consultoria de segurança. E se um aliado "lhe tiver fornecido informações antes ou durante o ataque, você as utilizou adequadamente?" Disse Spafford.

Vantagens da resiliência

A resiliência afeta os resultados da empresa, de acordo com Summers. "O ato de resistir efetivamente a um ataque DDoS significa menos tempo de inatividade, o que se traduz em continuidade no atendimento ao cliente e nas operações de negócios, e menos risco de perda de receita", disse ele.

A resiliência permite cumprir a promessa de uma experiência de qualidade para o cliente. Seus clientes conseguem encontrar rapidamente o que querem, comprar e fazer negócios. Em uma era de clientes naturalmente digitais que esperam excelente desempenho em e-commerce, até mesmo uma pequena desaceleração pode prejudicar os negócios.

Por fim, uma rede resiliente pode impedir que o nome da sua empresa apareça na lista das mais recentes vítimas de DDoS. Se a sua reputação depender da sua capacidade de continuar as operações e comunicações, disse Spafford, então você precisa de uma rede que possa derrotar ou neutralizar os efeitos de um ataque.

Scott Bowen é escritor e editor freelance tendo publicado para a True/Slant.com, ForbesTraveller.com e Fortune Small Business. Sua ficção foi reunida em Tight Lines: Ten Years of the Yale Anglers' Journal.

Conteúdo relacionado ao CIO