Zagrożenia w sieciach ewoluują. Obserwujemy przeniesienie zagrożeń z poziomu infrastruktury sieciowej, w kierunku stacji roboczych. Szczególne nasilenie ataków na użytkowników realizowane jest przez ataki typu phishing. Z kolei najgroźniejsze ataki na infrastrukturę sieciową oraz serwery dotyczą metod DDoS (Distributed Denial of Service).

Metody obrony przed przedstawionymi atakami są szczególnie trudne do realizacji. W wielu przypadkach środki techniczne nie pozwalają uzyskać odpowiedniego poziomu bezpieczeństwa. Niezbędnym elementem ochrony staje się zwiększenie świadomości dotyczącej wskazanych zagrożeń zarówno wśród użytkowników (AntyPhishing) oraz administratorów (AntyDoS).

Phishing – jak się bronić?

Phishing jest mechanizmem ataku realizowanym z wykorzystaniem środków socjotechnicznych. Celem jest przechwycenie danych tożsamości użytkownika oraz uprawnień do wrażliwych danych, a w szczególności danych finansowych. Zazwyczaj do próby przechwycenia wykorzystywana jest fałszowana korespondencja e-mail, która prezentuje się w sposób zbliżony do rzeczywistej korespondencji. W treści wiadomości zawarte są informacje próbujące przechwycić uprawnienia użytkownika. Często stosowane jest także umieszczenie pod adresem URL zbliżonym do rzeczywistego adresu ofiary, przykładowo strony internetowej banku, podmienionej strony próbującej wyłudzić informację. Warto podkreślić, że phishing jest atakiem dotykającym zarówno indywidualnych użytkowników, jak i kompromitującym organizacje.

Dane przedstawione w raporcie ” Phishing Activiy Trends Report 1st QUarter 2014″ organizacji APWG są jednoznaczne. Liczba ataków phishing w pierwszym kwartale 2014 roku wzrosła o 10,7% w stosunku do identycznego okresu w 2013 roku. Liczba organizacji stanowiących cel ataku wzrosła z 525 w czwartym kwartale 2013 roku do 557 w pierwszym kwartale 2014 roku. Liczba ataków w pierwszym kwartale 2014 roku osiągnęła liczbę 125215. Dodatkowo warto wspomnieć, że prawie 33% komputerów osobistych na świecie było zainfekowanych malware, aware, spyware, które pośredniczyły w atakach phishing.

Ochrona przed atakami typu phishing przeprowadzana jest centralnie przez specjalizowane urządzenia analizujące wiadomości e-mail oraz strony internetowe wykorzystywane przez użytkowników. Drugą opcją zyskującą na popularności jest integracja mechanizmów anty-phishing w oprogramowaniu antywirusowym. W każdym przypadku detekcja zagrożenia odbywa się w oparciu o filtry anty-phishing. Filtry wykrywają podejrzaną zawartość poprzez porównanie nagłówków i zawartości wiadomości z zawartością bazy danych zawierającej znane sygnatury ataków czy niebezpiecznego oprogramowania. Dodatkowo przesyłane dane są sprawdzane pod kątem określonych słów kluczowych. W przypadku wykrycia zagrożenia wiadomości lub strony są blokowane. Użytkownik otrzymuje często informacje o podjętej czynności. W małych wdrożeniach ochrona anty-phishing powinna zostać oparta o oprogramowanie bezpieczeństwa instalowane na stacjach roboczych. W dużych wdrożeniach lepszym rozwiązaniem jest wykorzystanie centralnego systemu sprzętowego, monitorującego podejrzaną aktywność.

Ataki DDoS – największy wróg operatorów

Istnieje wiele form ataków DDoS – przykładowo TCP SYN Flood, UDP Flood, ICMP Flood. Duży napływ ruchu na określony cel w krótkim czasie powoduje, że usługi sieciowe przestają być dostępne. Ruter czy zapora ogniowa połączona z systemem IPS/IDS potrafi wykrywać ataki DDoS, ale nie jest to obecnie rozwiązanie skuteczne. Nawet prawidłowe odfiltrowanie ataku na brzegu sieci, nadal powoduje przeciążenie łącz dostępu do Internetu. Co więcej, bardzo często nie ma możliwości ustalenia źródła ataku, gdy atakujący posługuje się fałszowanymi adresami źródłowymi IP. W przypadku ataku na serwery WWW problem jest równie kłopotliwy, ponieważ zabiera zasoby potencjalnie udostępnione dla innych użytkowników.

Zgodnie z danymi Arbor ATLAS „Internet Trends 2014″ w pierwszym kwartale 2014 roku zarejestrowano blisko 72 zdarzenia ataków o ruchu ponad 100 Gb/s. Największe zdarzenie wykryte w pierwszym kwartale 2014 roku miało siłę 325 Gb/s przy 94 Mp/s. Przeciętny atak osiągał poziom 1,12 Gb/s przy 272 Kp/s. Przykłady wskazują, że przeciętna skala ataku DDoS osiąga nawet kilkadziesiąt Gb/s. W większości przypadków infrastruktura organizacji nie jest w stanie przy pomocy standardowych metod (firewall, IPS), zneutralizować takiego ataku. W dodatku wysycenie całkowite pasma dostępu do Internetu powoduje, że blokadę ataku może przeprowadzić jedynie operator. Najskuteczniejsze obecnie formy ochrony DDoS są realizowane poprzez infrastrukturę zdalną usługodawcy. Takim rozwiązaniem jest właśnie usługa DDoS Protection świadczona przez IS i Orange Polska. W ramach oferty łącze klienta jest cały czas monitorowane przez ekspertów z Centrum Bezpieczeństwa Operacyjnego Orange w trybie 24/7/365 i przy wykorzystaniu technologii firmy Arbor.

Usługodawcy oferują ochronę strony lub zasobów przed atakami DDoS bez konieczności wprowadzania zmian w infrastrukturze klientów. Ochrona przed atakami DDoS usług dostępu do Internetu jest działaniem proaktywnym. Ruch kierowany do sieci klienta jest analizowany przez sondy, które w przypadku wykrycia anomalii, podejmują określone działania. Sondy działają w oparciu o przepływy, SNMP, parametry BGP. Ataki są wykrywane na podstawie analizy sygnatur, przekroczenia określonych zakresów dla danego typu ruchu, a także poprzez dynamiczną analizę ruchu. Wykrycie ataku skutkuje przekierowaniem ruchu klienta do sieci operatora z wykorzystaniem mechanizmów BGP. W ramach infrastruktury bezpieczeństwa operatora atak jest zatrzymywany, natomiast do klienta przesyłany wyłącznie prawidłowy ruch. Odfiltrowany ruch jest przesyłany do klienta za pomocą tunelu zestawionego przez operatora.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn