Prezentace GTS DDoS ochrany pro setkání českého CSIRT. Komplexní pohled na bezpečnost firem, nejen DDoS útoky a obrany vůči nim. Arbor Networks, 100Gb network
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
DDoS ochrana pro setkání CSIRT.CZ
1. DDoS ochrana v
GTS
5. 12. 2013
Zasedání pracovní skupiny CSIRT.CZ
Milan Petrásek
Strategy product manager
2. Obsah
Setkání bude zaměřeno na praktické aspekty bezpečnosti z pohledu
provozovatelů rozsáhlých sítí.
Zaměříme se na:
ochranu vlastní infrastruktury z pohledu ISP
možnosti ochrany připojených subjektů (sítí) a provozovaných
služeb
připravenost a aplikaci mechanismů obrany v případě vzniklého
problému (útoku)
ochrana proti DDoS útokům
bezpečnost ve vztahu k uživatelům
apod.
2
6. Úvod – kde se bere?
Aneb motivace útočníků
• Kyberzločin
(vydírání, krádeže
informací)
• Hacktivism a
online protesty
• Konkurenční boj
• Individuální selhání
(pomsta …)
6
7. Úvod – proč je to takový problém? 1
Navíc existuje nepřeberné množství nástrojů a
návodů případně přímo „poradenských“ firem,
které s DDoS útokem „pomohou“.
8. Úvod – proč je to takový problém? 2
Existuje obrovský nepoměr mezi cenou útoku
a cenou obrany
Týdenní DDoS útok stojí 150$
Zdroj TrendMicro Research
Strana útočníka
Strana cíle
9. Motivace - kdo je zákazník (cíl útoku)
Všechny firmy mohou být cílem DDoS útoku.
Zajímavé segmenty:
• Finance (banky, burzy cenných papírů, pojišťovny, úvěrové
firmy atd.)
• Firmy s online obchodem/podnikáním (eshopy, sázkové
kanceláře, hazardní hry, cestovky)
•
•
•
•
•
•
Média (portály, poskytovatelé obsahu atd.)
Veřejný sektor (vládní orgány, politické strany)
Zdravotnictví (farmacie)
Poskytovatelé (ISP, poskytovatelé aplikací)
Vzdělávací instituce (univerzity, e-learning)
Apod.
11. Základní otázka Života, Vesmíru a vůbec?
Kolik by stál vaši společnost výpadek,
zapříčiněný DDoS útokem, za
-
hodinu
-
den
-
týden ?
11
12. Jak spočítat cenu
Cena ~
F [ Náklady výpadku × Pravděpodobnost ]
Náklady výpadku:
• Provozní náklady
• Náklady na obnovu
• Náklady na zpožděná dodání
• Přímé ztráty z nerealizovaných transakcí
• Ztráta potenciálních zákazníků
• Zhoršení reputace, jména značky
• Pokuty placené zákazníkům
~ 10 000$/h
Source: Neustar® Insights.
2012 Annual DDoS Attack and Impact Survey
12
13. Fiktivní příklady výpočtů ztrát
obrat > 7 mld Kč
výpadek 1 den ~ 2 M Kč (odhad 10% prodejů přes web)
obrat > 2 mld Kč
výpadek 1 den ~ 5 M Kč (100% prodejů přes web)
DDoS Attack Cost Calculator
http://www.neustar.biz/enterprise/resources/ddos-protection/ddos-attack-cost-calculator
13
14. Situace na trhu – Q1 2013
Srovnání Q12013 s Q42012
48 Gbps
34,5
hodiny
300+
Gbps
44% útoků proběhlo v březnu (z celého kvartálu)
Nejběžnější útok měl méně než 1Gbps, celkem se jednalo o 25% všech útoků
Průměrná
šířka
pásma
útoků
Průměrná
délka
trvání
útoku
Největší
útok
15. Situace na trhu Q2 2013 – stále rosteme
Srovnání
Q22013 s Q1
Četnost útoků podle šířky pásma (Gbit/s)
• Nejčastější útoky byly v
pásmu 1-5 Gbps, 25% z
celkového množství
• 10% nárůst průměrné
délky trvání útoku
Rok 2013
2%
Průměrná
šířka pásma
hodin
• Průměrný DDoS = 2.64Gbps
(nárůst 78% oproti 2012)
38
49
Gbps
10%
• 54% útoků přesahuje 1 Gbps
Průměrná
délka
trvání
útoku
Zdroj: Prolexic Quarterly Global DDoS Attack Report - Q2 2013 + Arbor
(nárůst 33% oproti 2012)
• 37% útoků jsou v rozsahu
2-10 Gbps (nárůst 15% oproti 2012)
15
16. Situace na trhu – typy útoků
Objemové (volumetrické) útoky (L2-L4)
Útoky na aplikační (L7) vrstvě
Navrženy na spotřebování kapacity linky (L2) nebo zdrojů
Pokročilé („nejchytřejší“) útoky, jsou atraktivní pro
stavových zařízení (Router/FW/IPS/UTM)
útočníky. Nekladou velké nároky na zdroje na straně
botnetů.
Velmi těžká detekce a identifikace.
16
17. Ochrana proti DDoS - perimetry
1.
2.
3.
4.
Šířka pásma – útoky na druhé vrstvě (L2) – obrana jen u operátora
Router/FW/IPS – útoky na třetí a čtvrté vrstvě (L3, L4)
FrontEnd Servery (např. www) – sedmá vrstva (L7)
BackEnd Servery (např. databáze) – sedmá vrstva (L7)
18. Metody ochrany + konkurence
Služby nabízené GTS pro DDoS
Služby nabízené GTS
FW/IPS
Bezpečnostní zařízení na
ochranu perimetru jsou
zaměřená na utajení, vynucení
důvěry apod. nikoliv na
DOSTUPNOST.
Tato zařízení jsou vytvořena na
jiná bezpečnostní rizika.
Firewally a IPS mohou být cíli
Specializované zařízení
Ochrana v síti
operátora
Umožňují inline detekci, mitigaci
Operátorem provozovaná detekce
a reporting
Poskytují automatickou detekci
a mitigace úzce specializovaná na
ochranu před DDoS útoky
velké šíře DDoS útoků
Ale…
šířkou pásma
Nejsou schopné zpracovat
DDoS útoků, protože jsou
aktuální útoky dosahující
stavové (stateful).
Obvykle síťově neutrální řešení
poskytované z cloudu
Nabízí rozšířenou ochranu před
DDoS
Podporovaná síťovými
Vhodné pro útoky s malou
Cloud based DDoS
ochrana
technologiemi vyladěnými na
zpracování velkých objemů
Běží na vysokokapacitních
rozprostřených centrech
Může být nastavena na čištění
provozu při DDoS útocích
na vyžádání nebo na trvalou
specifics
ochranu.
n × 10Gbps
Vyžaduje přesměrování
provozu.
Toto není ochrana
před DDoS!!!
Až 10 Gbps
Až n × 10 Gbps
Až n × 100 G
18
20. Arbor Networks
Leader na trhu
Atlas – Active Threat Level Analysis Systém
Většina internetového provozu je monitorována systémy
Arboru (80% = 70 Tbit/s viz další slide)
V GTS
-
Všechny vstupní body konsolidované sítě jsou pokryty
kolektory CP (NIX, SIX, Frankfurt, Vídeň …)
Sdílená mitigační platforma TMS
Portál PI k dispozici zákazníkům služby Bronze a Gold
20
23. Prodejem to nekončí
Každá služba DDoS ochrana zahrnuje:
Etapa 1
- Konzultační a analytické služby
- Definice Plánu ochrany a postupů
Etapa 2
- Implementace Plánu ochrany
Etapa 3
- Útoky se neustále vyvíjí, je potřeba
aktualizovat plány, procesy
23
24. Není to jen o „krabici“
Důležitou součástí je bezpečnostní tým
- Vyškolen na technologii Arbor
- Sleduje aktuálních trendy, události
- Sdílí znalostí napříč GTS CE
- Je dostupný 24×7
24
33. Aktuality z ČR (září 2013)
http://www.zive.cz/bleskovky/nektere-weby-vceranefungovaly-vshosting-celil-velkemu-ddos-utoku/sc-4-a170705/default.aspx#utm_medium=selfpromo&utm_source=
feedly
Více než 100.000 zombie
v ČR (2013). Počkejme
co se stane až bude
upload na ADSL a UPC
vyšší (a LTE v budoucnu
nevyjímaje)
33