Visā pasaulē liela daļa uzņēmumu ik dienas saskaras ar maziem, lieliem vai pat pilnībā biznesu paralizējošiem kiberuzbrukumiem. Un liela daļa no šiem uzņēmumiem par savu IT sistēmu ievainojamībām un drošības riskiem atskārst tikai tad, kad uzsāk analizēt notikušā uzbrukuma veidu, realizētā uzbrukuma ceļu un atstāto ietekmi uz uzņēmuma IT ekosistēmu, kā arī radīto postu tā saimnieciskajai darbībai kopumā. Īpaši populāri ir liela apjoma pakalpojumu atteices uzbrukumi jeb DDoS (Distributed denial-of-service attacks).

Kas ir DDoS uzbrukums, un kāpēc par to ir vērts zināt?

Jau izsenis mums ir pazīstami vairāki uzbrukumu scenāriji kā, piemēram, sūtīt inficētus un mērķētus e-pastus, pētīt un izmantot infrastruktūras drošības caurumus vai arhitektūras nepilnības u.c. Šie pieminētie uzbrukuma veidi prasa salīdzinoši lielu sagatavošanos, kompetenci un līdzekļus, savukārt, DDoS uzbrukums ir ātrs, precīzs un bieži sasniedz savu mērķi – klienta serviss, interneta vietne vai DNS serveris nav pieejams. Tas tiek panākts, pārslogojot klienta datu kanālus, ugunsmūra vai serveru jaudas, un, lai šo mērķi sasniegtu, uzbrucējam nav jāveic padziļinātas izpētes, jo noskaidrot klienta, kurš sniedz publiskus servisus, IP adreses ir salīdzinoši vienkārši. Īpaši satraucoši, ka tieši pēdējo nedēļu laikā vairākās Eiropas valstīs, tostarp Latvijā, fiksēti tieši šādi uzbrukumi, kuru mērķis ir naudas līdzekļu izspiešana, draudot apturēt uzņēmumu mājaslapu vai citus uzņēmumu darbībai svarīgus resursus.

Arī Latvijā uzņēmumi cieš no DDoS uzbrukumiem arvien biežāk

Latvijā uzņēmumi arvien biežāk piedzīvo DDoS uzbrukumus, turklāt, pēdējā laikā pēc ļoti līdzīga scenārija – iesākumā tiek veikts neliels uzbrukums, pirms kura vai pēc kura uzņēmumam tiek nosūtīta draudu vēstule ar pieprasījumu veikt samaksu, lai brīdinājuma uzbrukumam nesekotu vēl lielāki un apjomīgāki uzbrukumi, kuri visdrīzāk pilnībā paralizētu uzņēmuma darbībai svarīgus resursus – tiešsaistes pakalpojumu, mājaslapu, internetveikalu un citu veidu resursu darbību.

Ja uzbrukt ir tik vienkārši, kā uzņēmums var aizstāvēties?

Kā iepriekš minējām, DDoS uzbrukumiem raksturīgākā īpašība ir to apjomīgums. Piemēram, ja uzņēmuma interneta savienojums ir 1Gbps, tad jāņem vērā, ka DDoS uzbrukuma apjoms parasti ir mērāms vairākos desmitos vai pat simtos Gbps. Lai uzņēmums spētu sevi pasargāt no šāda veida uzbrukumiem, ir jāizstrādā DDoS aizsardzības stratēģija. Būtiski ir ņemt vērā, ka katra uzņēmuma IT infrastruktūra ir dažāda, tāpēc DDoS aizsardzības stratēģijas var atšķirties, un tās jāizstrādā, cītīgi izanalizējot gan uzņēmuma IT infrastruktūru, gan publiskajā interneta vidē sniegto pakalpojumu specifiku.

Uzskatāms piemērs DDoS uzbrukumam:

Kā rīkoties, ja tomēr uzbrukts?

Ja ir aizdomas vai skaidri zināt, ka noticis uzbrukums, svarīgi būtu nekavējoties sazināties ar savu interneta pakalpojuma sniedzēju. Iespējams, pakalpojuma sniedzēja monitoringa sistēma šāda veida uzbrukumus fiksē un var sniegt detalizētas atskaites, kuras viennozīmīgi palīdz uzbrukuma analizēšanas procesā un DDoS aizsardzības stratēģijas izstrādē. Iesakām apzināt DDoS aizsadzības risinājumu nodrošinātājus, jo pieredze rāda, ka DDoS uzbrukumi nav nejauši un noteikti atkārtosies.

DDoS aizsardzība ir komplekss risinājums

Mēdz būt situācijas, kad uzņēmums jau ir ieviesis kādu aizsardzības risinājumu, tomēr DDoS uzbrukumi mēdz atšķirties pēc to apjoma, veida, taktikas vai mērķa, ko nav iespējams iepriekš paredzēt, un dažkārt uzbrukuma gadījumā var atklāties arī kāda jauna IT infrastruktūras vājā vieta, ko ieviestais aizsardzības risinājums nepasargā. Paturot prātā šādu iespējamību, ir svarīgi apzināties, ka DDoS aizsardzība ir komplekss risinājums, tas nav viens konkrēts serviss. Tāpat ir būtiski analizēt uzbrukumus, un vajadzības gadījumā veikt nepieciešamās izmaiņas infrastruktūrā vai pārskatīt aizsardzības stratēģiju, papildinot to ar vēl kādu aizsardzības komponenti.

Arī Telia kā IKT pakalpojuma sniedzējs arvien biežāk novēro dažāda apjoma DDoS uzbrukumu skaita palielināšanos, tāpēc saviem klientiem piedāvā vairākus aizsardzības mehānismus, ņemot vērā katra klienta individuālo IT ekosistēmas uzbūvi.

Telia, kā galvenās aizsardzības metodes DDoS uzbrukumu novēršanai, saviem klientiem nodrošina:

• Aizsardzību pret DDoS uzbrukumiem, kura ir realizēta vairākos līmeņos – pirmais no tiem ārpus Latvijas robežām, līdz ar to garantējot, ka uzbrukums neskars ne klienta, ne Telia infrastruktūru.
• Kritisko servisu (WEB, DNS, u.c.) aizsardzības nodrošināšanu, izmantojot CDN (Content Delivery Network) tehnoloģiju. CDN ir ģeogrāfiski attālināti izvietots serveru tīkls, kas ne tikai nodrošina klienta servisa pieejamību liela apjoma pieprasījumu gadījumā, bet arī labāku servisa sasniedzamību pakalpojuma lietotājiem tuvākajā ģeogrāfiskajā reģionā. Vienkāršāk paskaidrojot, šis risinājums pildīs ne tikai aizsardzības funkciju, bet nodrošinās arī ātrāku un pieejamāku servisu klienta gala lietotājam.

Jāsaprot, ka uzbrukumi netiek veikti pēc iepriekš izstrādātiem standartiem, bet ar korekti ieviestu DDoS aizsardzības modeli ir iespējams panākt, ka par šiem uzbrukumiem uzņēmums uzzinātu no atskaitēm, nevis no savu klientu sūdzībām par servisa nepieejamību.

Telia Drošības inženieru komanda ir gatava izstrādāt rekomendācijas un palīdzēt tās ieviest. Vairāk par Telia drošības risinājumiem varat uzzināt šeit: Telia risinājumi IT drošībai

Jānis Kuiva, Datu pārraides nodaļas vadītājs
Phone: +371 66188888
E-mail: ask@telia.lv