Em alguns círculos de hoje, há um equívoco sobre o tipo de ataque conhecido como negação de serviço ou DoS. Os ataques de negação de serviço não são tão exóticos ou de alto perfil como alguns dos outros tipos que fornecem manchetes hoje: malware / ransomware que retém o refém de dados, phishing / spear phishing / pharming e suas variantes, exploração de código remoto (RCE) e Portas traseiras pelas quais os atacantes podem assumir o controle total de um computador direcionado, ou mesmo velhos padrões, como injeções SQL e scripts entre sites (XSS).

Normalmente, uma negação de serviço geralmente impede temporariamente de usar a rede, o sistema e / ou aplicativos ou acessar seus dados. Assim, alguns vêem isso como menos grave do que ataques que permitem que o invasor faça alterações ou que criptografe ou exclua seus dados críticos para que ele esteja perdido para você para sempre. Na verdade, você pode achar que, em muitos casos, as empresas de software classificam seus patches para as vulnerabilidades do DoS como “importantes” enquanto que as vulnerabilidades RCE são mais freqüentemente classificadas como “críticas”.

É verdade que os ataques DoS tradicionalmente não resultaram em violação de dados – roubo ou exposição de suas informações – mas isso não significa que você não deveria se preocupar.

Entendendo DoS e DDoS

A negação de serviço refere-se a uma tentativa de tornar os recursos de computação – serviços, contas, dados ou computadores inteiros – inacessíveis aos seus usuários legítimos.Ao escrever isso, a Microsoft está apenas se recuperando de uma interrupção global do seu serviço Skype que foi causada por um ataque DDoS atribuído a um grupo de hackers chamado CyberTeam. A corretora canadense Questrade tem tido problemas de servidor web devido a DDoS, também. As empresas não são as únicas que podem ser atingidas com DDoS. Mesmo os jogadores não são imunes. Outro relatório hoje observa que os servidoresdo Final Fantasy estão sendo criticados pelo DDoS.

O DoS existe há muito tempo; Algumas fontes acreditam que um estudante do ensino médio chamou David Dennis de criar o primeiro tipo de ataque em 1974 – quarenta e três anos atrás.Um ataque DoS pode derrubar um sistema ou uma rede inteira, geralmente inundando-o com mais tráfego do que pode manipular.

Os primeiros métodos DoS envolveram o envio de excesso de pacotes de uma única fonte, mas o bloqueio dessa fonte pode interromper o ataque. Daí o DoS se transformou em uma versão mais sofisticada, o ataque de negação de serviço distribuído (DDoS) em que o tráfego é originário de várias fontes diferentes (com endereços IP diferentes), tornando difícil ou impossível bloquear facilmente. Essas fontes são, na maioria das vezes, computadores “zombis” que foram infestados de malware, tornando-os parte de uma botnet controlada pelo atacante – muitas vezes sem o conhecimento dos usuários dos sistemas zombis.

O DoS tem sido usado por atacantes em todo o espectro, desde os chamados “kiddies de script” – jovens inclinados a criar prejuízos digitais – a funcionários / ex-empregados descontentes que buscam vingança em empresas, hacktivistas visando seus inimigos políticos, cibercriminosos organizados e “ciber mercenários “Quem são armas contratadas perpetuando ataques em nome de algum outro indivíduo ou organização, por dinheiro.Independentemente da fonte, um ataque DoS / DDoS pode causar estragos nas vítimas.

Um relatório da Verisign que foi lançado recentemente para o Q1 de 2017 indica que os ataques DDoS estão ficando maiores, com um aumento de 26% em relação ao trimestre anterior no tamanho do ataque (a quantidade de tráfego enviada para inundar a rede).

Consequências da negação de serviço

Há um velho ditado de que “tudo é relativo” e é verdade que o impacto de um ataque DoS / DDoS pode ser menos catastrófico do que o Ransomware ou as façanhas RCE. No entanto, as consequências da negação de serviço, especialmente quando prolongada, podem ser muito graves. Um relatório da Neustar emitido em maio estimou que o custo médio de um ataque DDoS é de mais de US $ 2,5 milhões.

Para muitas organizações dependentes do computador, quando a rede está para baixo, você está efetivamente fora do negócio durante o período. Sua empresa pode não ser capaz de processar vendas, se comunicar com fornecedores, pagar contas, corresponder com parceiros, etc. Os clientes e potenciais clientes podem não conseguir contactá-lo com perguntas ou problemas.

Isso resulta em perda de receita das vendas que “pode ​​ter sido” durante o tempo de inatividade, mas isso não é tudo. Um ataque DoS / DDoS pode ter um impacto negativo na reputação da sua empresa, também. O público pode considerar o seu negócio como não confiável se sua presença on-line não estiver disponível quando eles precisarem, e o fato de sua rede ter sido presa de um ataque pode causar desconforto sobre a questão de saber se as informações pessoais que lhe deram são seguras.

Lembre-se, também, de que há mais de uma maneira de ser vitimada por um invasor DoS.Mesmo que a sua rede não seja removida por um ataque, os computadores da sua rede podem estar infectados e tornar-se parte da botnet, fazer o lance do botmaster enviando as inundações de pacotes que visam desabilitar alguma outra rede.

E isso não é o pior. O malware da Botnet é capaz de baixar o código executável para os computadores infectados e executá-lo neles. O relatório Neustar mencionado acima descobriu que 42% dos ataques DDoS foram acompanhados por malware, com a negação de serviço freqüentemente usada para desviar a atenção de outros ataques mais invasivos.

No início deste mês, foi emitido um relatório DHS / FBI que alerta sobre o malware DDOS botnet chamado DeltaCharlie, que está sendo usado por hackers que supostamente trabalham para o governo norte-coreano.

Cobra escondida

Este grupo (conhecido pelos nomes Hidden Cobra, Lazarus Group e Guardians of Peace) não é apenas o lançamento de ataques DDoS, mas também está usando o software botnet para distribuir ferramentas de acesso remoto (RATs), keyloggers e malwares de wiper – tudo o quefaz Coloque dados em risco de exposição e exclusão. Eles gostam de explorar vulnerabilidades em software como o Adobe Flash Player e o Silverlight da Microsoft.

Embora os fabricantes de software liberem patches para corrigir essas vulnerabilidades, as versões antigas do Windows, como o XP e o Vista, estão fora de suporte e normalmente não recebem atualizações de segurança (embora a Microsoft tenha lançado recentemente patches para sistemas operacionais não suportados quando as falhas críticas estavam sendo exploradas. A atualização out-of-band para a vulnerabilidade explorada pelo WannaCry ransomware é um exemplo).

Hidden Cobra não está visando negócios de mães e pop ou avós com computadores; Está acontecendo depois de grandes instituições, incluindo instituições financeiras, redes críticas de infra-estrutura, indústria aeroespacial e similares. Isso faz parte de um problema muito maior, na medida em que os ataques patrocinados pelo estado estão aumentando em número e sofisticação, com a Rússia e a China emergindo como melhores jogadores.

Enquanto os atacantes com apoio estatal usam uma grande variedade de técnicas e táticas, o DDoS é uma ferramenta importante em seu arsenal.

Estratégias de prevenção e proteção de DoS / DDoS

Proteger sua rede de ataques DDoS – tanto como vítima de inundação quanto como participante involuntário no botnet – exige o mesmo tipo de plano de defesa em várias camadas que outras estratégias de segurança de rede direcionadas. Algumas das medidas são óbvias e básicas (embora freqüentemente ignoradas).

Como os ataques DoS / DDoS utilizam vulnerabilidades em aplicativos de software, serviços, protocolos e sistemas operacionais, a medida preventiva número um é manter todos ossistemas conectados sua rede atualizados com os últimos patches de segurança. Isso pode parecer fácil, mas por uma multiplicidade de razões, existem muitas organizações que executam sistemas não editados em suas redes, conscientemente ou não. Este é o lugar onde uma solução como o GFI LanGuard (scanner de segurança de rede e gerenciamento de parches) ou GFI OneGuard (um software de gerenciamento de rede de TI centralizado com antivírus empresarial) pode ser útil, pois essas ferramentas o ajudam a escanear suas redes para qualquer software não publicado e também Implemente o patch após a instrução.

Mesmo se você aplicar fielmente todas as atualizações lançadas pela Microsoft, Adobe, Apple, Google, Oracle, Mozilla e outros fabricantes de software populares assim que forem lançados, há uma grande “gotcha” à espreita: a Internet de Coisas (IoT). As organizações estão cada vez mais conectando uma grande variedade de dispositivos à rede, “coisas” que não são computadores tradicionais – câmeras de vigilância, impressoras inteligentes e TVs, dispositivos AI, termostatos, fechaduras de portas, controles de iluminação e, claro, muitas Internet específicas da indústria – dispositivos conectados, como equipamentos médicos.

A verdade é que muitos dispositivos IoT não são seguros. Eles executam versões antigas de sistemas operacionais e alguns fornecedores emitem remendos com pouca frequência ou não. Os especialistas prevêem que 2017 verá as primeiras brechas de segurança de IoT em grande escala na empresa. É imperativo que você inclua todos os dispositivos conectados em sua avaliação e planejamento de segurança e tome medidas para mitigar as ameaças do IoT .

Além de manter todo o software adequadamente corrigido, a prevenção do DoS / DDoS envolve a identificação e o bloqueio do tráfego malicioso no gateway com os mais recentes firewalls sofisticados de alta capacidade e dispositivos dedicados de gateway de inteligência de ameaça pré-filtragem.

Finalmente, você nunca deve assumir que todos os seus melhores esforços sempre funcionarão. Você precisa planejar como responder se e quando uma negação de serviço atinge sua rede. Simule um ataque e avalie como sua rede resiste ao volume de tráfego de DoS / DDoS. Considere o balanceamento de carga para mitigar alguns dos efeitos, mas sabe que isso provavelmente não suportará um forte ataque DDoS. Formule um processo de recuperação DoS / DDoS como parte do seu plano de continuidade de negócios.

Se a sua organização for vítima de tal ataque, lembre-se de que pode ser uma cortina de fumaça para cobrir uma tentativa de violação de dados e procurar outras atividades suspeitas que ocorrem em conjunto com o DoS.

Resumo

A negação de serviço pode parecer, na superfície, uma preocupação menos grave do que outros tipos de ataques, mas o tempo de inatividade causado por uma inundação de tráfego é apenas a ponta do iceberg. Os profissionais de TI precisam estar cientes do verdadeiro impacto de DoS / DDoS e, à medida que a incidência de tais ataques aumenta, prepare-se para a eventualidade.

Anúncios