Infrastruktura teleinformatyczna przeciętnej polskiej firmy atakowana jest kilkukrotnie w ciągu doby. Najczęściej są to ataki mające na celu poznanie słabych punktów i luk w zabezpieczeniach (tzw. poszerzony, aktywny information gathering). Często próba ataku wydaje się być niegroźna zaś jego skutki ograniczają się do pojedynczych zapisów w logach systemowych. Takie próby nie tylko nie są poddawane analizie ale i pozostają niezidentyfikowane. To podstawowy błąd, którego konsekwencją może być celowany i przemyślany atak na usługę, a co za nim idzie – straty.
Ewolucja ataków Denial-of-Service (DoS, atak polegający na uniemożliwieniu dostępu do usługi), w tym wykorzystanie tzw. internetu rzeczy (kamera CCTV, lodówka czy pralka czyli urządzenia posiadające system operacyjny oraz stałe podłączenie do sieci Internet) a także powszechność oprogramowania umożliwiającego jego realizację spowodowała zwiększenie nie tylko częstości ale i skali tego typu zagrożeń. Skutkami udanego ataku mogą być znaczne straty finansowe i wizerunkowe (np. odpływ klientów).
Jak pokazują analizy ekspertów BLUEsec, ataki DdoS często są tzw. zasłoną dymną służącą do rozproszenia uwagi osób odpowiedzialnych za bezpieczeństwo teleinformatyczne. Zasada działania jest prosta – odciągnięcie uwagi od faktycznego ataku. W czasie gdy następuje koncentracja sił i środków mająca na celu obsługę ataku DDoS, atakujący przeprowadzają inny, właściwy atak, np. Advanced Persistent Threat (APT). Bardzo często atak DoS i DdoS jest wstępem, dlatego kluczowa jest minimalizacja czasu wykrycia i reakcji.
Sposoby skutecznego wykrycia ataków teleinformatycznych
Miernie czyli czytamy logi i słuchamy użytkowników
Codzienny przegląd logów systemowych czy analiza zgłoszeń użytkowników to niepodważalne zadania procesu utrzymania systemów teleinformatycznych. Jednak nie gwarantują one sprawności wykrycia ataku – w tym przypadku prawie zawsze informacja o problemie trafia do administratora systemu teleinformatycznego post faktum.
Ciut lepiej ale mamy mało czasu
Monitorowanie dostępności i sprawności usług z wykorzystaniem oprogramowania (np. Nagios czy Zabix) pozwoli na zarejestrowanie obniżenia parametrów ich świadczenia (np. brak odpowiedzi na ping). A wtedy wiemy że coś, gdzieś dzieje się nie tak. Warto również zadbać o poprawną konfigurację alertowania z zabezpieczeń takich jak IDS/IPS.
Dobrze, dajemy sobie szansę na skuteczną obronę
Stała analiza i korelacja logów systemowych w dedykowany oprogramowaniu klasy SIEM umożliwi wczesne wykrycie potencjalnego ataku teleinformatycznego. Prawidłowo skonfigurowany oraz utrzymywany SIEM pozwoli nie tylko na określenie problemu w ramach jednej usługi ale również analizę złożoność i wpływu zdarzeń pomiędzy wieloma usługami. Alert w systemie SIEM da nam informacje o tym co, gdzie, kiedy, skąd, dokąd, przez kogo i jak. Co ważne, wykorzystanie SIEM
Od informacji do działania
Sama identyfikacja to dopiero początek, teraz należy zaangażować siły i środki w celu obrony przed atakiem. Skutecznym działaniem będzie wykorzystanie procedur na wypadek wystąpienia danego typu ataku i możliwie szybkie podjęcie działań w celu uniemożliwienia jego realizacji.