As instituições financeiras lutam contra os grandes ‘Ataques Distribuídos de Negação de Serviço’, conhecidos como DDoS,
desde o começo do ano passado. Muitos desses ataques foram realizados
por um grupo chamado Qassam Cyber Fighters (QCF) que até recentemente
publicava atualizações semanais.
Outros grupos de hackers
têm lançado seus próprios ataques DDoS contra instituições financeiras
com ataques voltados para formulários e conteúdo web. Também há relatos
de roubos virtuais patrocinados por nações contra bancos e agências
governamentais, ao lado de esforços complexos e multivetoriais que
combinavam ataques DDoS e invasão de contas online e até fraudes.
Informações
dos últimos 18 meses apontam para um nível crescente de atividade
ilícita desta natureza ainda em processo de evolução, o que resulta em
incidentes envolvendo bancos de todos os tamanhos. Os ataques incluem
invasões tradicionais via SYN e DNS, além de métodos como amplificação DNS, conteúdo direcionado e camada de aplicativos.
As atividades de Negação de Serviço (DoS)
direcionadas contra recursos e conteúdo de páginas com criptografia SSL
representam um desafio adicional. Em alguns casos os adversários
migraram para um ataque misto que incorpora métodos de camada de
aplicativo que são mais difíceis de impedir ao lado de ataques baratos e
de grande volume que podem ser filtrados e bloqueados com mais
simplicidade.
Para administrar esse nível de atividade maliciosa os CIOs,
CISOs e suas equipes devem adotar um plano e implementar várias
ferramentas de defesa que combinam tecnologias locais e serviços de
nuvem para filtrar tráfego. As empresas também devem começar a explorar e
implementar metodologias de distribuição e coleta de inteligência que
podem ajudar a desenvolver uma estratégia completa para evitar ataques DoS.
Algumas medidas que podem fazer a diferença
1.
Implementar um serviço para filtrar tráfego ou contrate um fornecedor
desse tipo de serviço para lidar com ataques de grande porte
Os volumes de dados enviados durante um ataque DDoS
chegam a 80 Gbps de tráfego, hoje considerado normal para um único
evento. Existem até relatos de ataques na faixa dos 300 Gbps. Poucas
empresas conseguem manter uma largura de banda suficiente para combater ataques desse porte. E ao enfrentar incidentes DDoS desse porte, a primeira coisa que qualquer empresa deve considerar é rotear seu tráfego de internet
por meio de um provedor dedicado que filtra o tráfego na nuvem e remove
os pacotes maliciosos do fluxo. Esses provedores são a primeira linha
de defesa contra ataques volumétricos de grande porte e possuem as
ferramentas e a largura de banda necessárias para interromper os pacotes DoS na nuvem e permitir a passagem de dados corporativos.
2. Instalar um dispositivo de mitigação de DDoS para identificar, isolar e combater os ataques
A complexidade dos ataques DDoS
e a tendência de combinar ataques baseado em aplicativos e ataques
volumétricos exigem uma combinação de defesas. A forma mais eficiente de
lidar com os aplicativos e os elementos ocultos usados durante esses
ataques multivetoriais é através de dispositivos especializados locais. Firewalls e sistemas de prevenção contra ataques são fundamentais nesse processo, e os dispositivos de segurança DDoS oferecem uma camada adicional de defesa com tecnologias especializadas que identificam e bloqueiam atividades avançadas de DoS
em tempo real. Os administradores também podem configurar suas soluções
locais para comunicar com provedores de filtragem de tráfego em nuvem
para habilitar sistemas automatizados de roteamento durante o ataque.
3. Configurar o firewall para suportar grandes volumes de conexões
O
firewall também será uma peça importante da rede durante os ataques
DDoS. Os administradores devem ajustar as configurações do firewall para
reconhecer e combater ataques volumétricos e em camadas de aplicativos.
E, dependendo dos recursos do firewall, determinadas proteções podem
ser ativadas para bloquear os pacotes DDoS e melhorar o desempenho do firewall durante um ataque.
4. Desenvolver uma metodologia ou estratégia para proteger os aplicativos contra ataques DDoS
Tecnologias seguras podem oferecer proteções robustas contra atividades DDoS.
Mas os administradores também devem configurar seus servidores web,
alterando o balanceamento de carga e as estratégias de entrega de
conteúdo para garantir a maior disponibilidade possível. Para isso,
também é importante incorporar proteções contra diversas tentativas de
login. Outra abordagem interessante é um sistema que bloqueia atividades
automatizadas ou realizadas por máquinas, incluindo páginas na Internet
com informações sobre ofertas, como oportunidades para reduzir a taxa
de juros ou receber informações sobre novos produtos, incentivando os
usuários a clicar nos botões "aceitar" ou "não, obrigado" para continuar
visualizando o conteúdo do site.
Além disso, a análise de
conteúdo também é importante. Esse trabalho pode ser tão simples quanto
garantir que não existem arquivos grandes em formato PDF hospedados em
servidores de alto valor.
Os métodos mencionados acima são peças
chave em qualquer estratégia para combater os ataques DDoS. As empresas
também devem entrar em contato com seus prestadores de serviço e ISPs e
trabalhar com eles para identificar técnicas de mitigação. Os ISPs
devem ser envolvidos em suas estratégias de mitigação. Os ataques DDoS usam a mesma internet que os clientes dos bancos e os ISPs transportam os dois tipos de tráfego.
A
necessidade de analisar e implementar estratégias de distribuição e
coleta de inteligência é muito importante. Esses esforços devem
investigar os dados que transitam nas redes empresariais e incluir
outras empresas operando no setor financeiro.
Informações sobre o
protagonista, as motivações atrás do ataque e os métodos usados ajuda o
administrador a prever e tomar medidas para evitar esses ataques. As
informações sobre o perfil do ataque podem variar, desde os protocolos
usados no ataque (SYN, DNS, HTTP)
até as fontes dos pacotes de ataques, redes de comando e controle e
horários do dia em que os ataques começam e terminam. Embora essas
informações sejam valiosas em qualquer trabalho para combater esses
ataques, não existe uma forma simples de comunicar esses dados, e os
empecilhos regulamentares dificultam ainda mais o compartilhamento de
informações sobre ataques.
Hoje, de informações são basicamente
compartilhadas entre amigos que se falam. O compartilhamento de
informações precisa evoluir para construir um sistema automatizado onde
as empresas podem acessar uma solução e ver registros básicos e
correlacionados que ofereçam dicas sobre ataques que já terminaram e que
estão em andamento. Esses sistemas também podem ser usados para
compartilhar inteligência sobre o ataque e distribuir proteções. Um
recurso usado para compartilhar informações corporativas aumentaria a
capacidade de qualquer empresa financeira a enfrentar atividades DDoS e deixaria a indústria mais bem preparada.
Nenhum comentário:
Postar um comentário