Komentarz firmy Fortinet w sprawie ataków typu DDoS w związku z wydarzeniami w mBanku

Firma Fortinet postanowiła wygłosić swój komentarz w kwestii bezpieczeństwo na temat ataków DDoS w związku z ostatnim atakiem Distributed Denial of Service na serwis internetowy popularnego banku mBank.

Fundamentalnym problemem, z jakim spotyka się klient atakowanego banku, jest oczywiście ograniczenie lub też wręcz brak dostępu do swoich środków finansowych. W dzisiejszych czasach bardzo często nie jest to tylko niedogodność, a raczej poważny problem. Z jednej strony, z emocjonalnego punktu widzenia, budzi to zrozumiały niepokój i powoduje nadszarpnięcie zaufania do danej instytucji. Z drugiej strony zaś, może owocować realnymi stratami finansowymi, wynikającymi choćby tylko z braku możliwości dokonania przelewu na czas.

Wachlarz możliwości ochrony przed takimi atakami, jakimi dysponują działy IT instytucji finansowych, jest bardzo szeroki. Stosowane modele ochrony koncentrują się wokół kilku głównych obszarów i kombinacji poszczególnych metod: ochrony już po stronie dostawcy łącz (wadą może być tutaj z jednej strony koszt, z drugiej zaś np. przerzucenie ciężaru potencjalnego ataku DDoS na własną infrastrukturę sieciową), wykorzystania dedykowanych usług, które mogą buforować naszą sieć w sytuacji ataku (wada: nieprzewidywalność kosztów – atakowany płaci za wolumen ruchu, przed którym jest chroniony) czy w końcu wykorzystania własnej infrastruktury sieciowej.

Problem w tym ostatnim przypadku polega na tym, że dość często (w ponad 60%), wykorzystuje się rozwiązania typu firewall, IPS oraz zwykłe routery i switche, czyli sprzęt, który ma zupełnie inne przeznaczenie i wydajność zoptymalizowaną do innego rodzaju zadań.

Po atakach w celu przywrócenia funkcjonowania serwisu i ustalenia źródła ataku, bardzo istotna jest transparentna i sprawna polityka informacyjna. Po pierwsze nawet zwykły komunikat informujący o problemach technicznych może uspokoić nieco sytuację – choćby z tej przyczyny, iż jasno pokazuje, że ktoś czuwa nad zaatakowaną infrastrukturą. W konsekwencji może to również ograniczyć pojawiającą się wówczas wzmożoną aktywność użytkowników, którzy zaniepokojeni brakiem dostępu do serwisu, co chwilę próbują się do niego odwoływać, niejednokrotnie pogłębiając i tak już kryzysową sytuację.

Trudno sobie wyobrazić lepszą ilustrację dla stwierdzenia: „czas to pieniądz” niż instytucja bankowa. Tutaj każda chwila przestoju to realne i policzalne straty finansowe, nie mówiąc już o stratach związanych z zachwianiem zaufania i osłabieniem marki. Statystyki mają dość dużą rozpiętość, natomiast w przypadku instytucji finansowych, 80% z nich twierdzi, że koszt ten przekracza 10 tysięcy dolarów na godzinę. W skrajnych sytuacjach, może osiągać nawet 100 tysięcy dolarów na godzinę.

W przypadku klientów banku kluczowe jest tutaj zachowanie spokoju i ograniczenie aktywności internetowej, skierowanej bezpośrednio w stronę atakowanej instytucji. Masowy niepokój sam w sobie może wywołać drugi, niezależny DDoS. Warto zawsze w takiej sytuacji alternatywnie skorzystać z tradycyjnych metod komunikacji i skontaktować się np. z infolinią banku.

Statystycznie rzecz ujmując, mniej niż 10% ataków to działania typu DDoS o wolumenie większym od 10 Gbps. Co ważne ponad 75% ataków generuje ruch mniejszy niż 1 Gbps. Jeśli chodzi o ich czas, to mniej niż 30% trwa ponad 24 godziny i tylko około 10% trwa ponad tydzień.

Jak pokazują ostatnie przykład, coraz rzadziej mamy do czynienia z atakami wolumetrycznymi, obecnie ataki cechują się raczej wysoką precyzją i ukierunkowaniem na konkretne systemy czy też usługi. Dlatego właśnie bardzo istotne jest stosowanie takich zabezpieczeń, które pozwolą na granularną ochronę przed atakami DDoS nawet na podstawie kryteriów warstwy 7 modelu OSI/ISO.

Źródło: Fortinet, inf. prasowa