Warunki
Sat Film świadczy usługi internetowe w oparciu o technologie DOCSIS, GPON, Wi-Fi i mobilne, oferując kilka różnych pakietów przepustowości. Jako lokalny operator ISP odpowiada za tworzenie połączeń w skali regionalnej — do jego głównych zadań należy zapewnianie klientom stabilnego dostępu do Internetu, przekierowywanie ruchu internetowego oraz utrzymanie infrastruktury technologicznej. Firma posiada rozbudowany dział techniczny wspierający ciągłość działania sieci. Z perspektywy klienta kluczowe znaczenie ma ochrona przed wszelkiego rodzaju zagrożeniami, które mogą negatywnie wpływać na działanie sieci telekomunikacyjnej i dostęp użytkowników do usług. W takiej sytuacji monitorowanie sieci stało się priorytetem, pozwalającym szybko lokalizować i neutralizować ataki.
Branża telekomunikacyjna, w której działa klient, mierzy się z rosnącym trendem cyberataków. W I kwartale 2021 r. najczęstszą formą były ataki DDoS. Dodatkowym czynnikiem wzrostu cyberprzestępczości może być malejący koszt narzędzi umożliwiających przeprowadzenie ataków — za kilka euro można kupić dostęp do tzw. botnetu i przeprowadzić wolumetryczny atak typu Distributed Denial of Service (DDoS).
Sytuacja klienta
Jednym z największych problemów, z jakimi mierzył się klient jako lokalny operator internetowy, były ataki DDoS, które prowadziły do zapychania łączy, braku dostępu do Internetu, a przede wszystkim — niezadowolenia klientów, którzy w skrajnych przypadkach mogli rozwiązywać umowy abonamentowe z powodu braku sygnału. Negatywnie odbijało się to na biznesie. Specyfika ataków DDoS wymaga stałego monitorowania, ponieważ są one trudne do przewidzenia. Wdrożenie monitoringu sieciowego, np. w oparciu o protokół NetFlow, mogłoby pomóc w zapobieganiu istotnym konsekwencjom i kosztom wynikającym nawet z niewielkiego ataku. Dotyczy to zwłaszcza lokalnych operatorów ISP, którzy — z uwagi na skalę działalności — dysponują znacznie mniejszymi budżetami niż najwięksi gracze na rynku.
Mały operator, posiadający zaledwie kilka tysięcy terminali, może odczuć poważne konsekwencje nawet jednego ataku przeprowadzonego na jego sieć. Niestety skutki ataku dotykają nie tylko ofiarę, ale wszystkich klientów danego operatora. Zapychanie routera brzegowego, będącego interfejsem między siecią a Internetem, skutkuje problemami dla wszystkich użytkowników. Jednym z głównych kryteriów, jakie klient brał pod uwagę przy wyborze rozwiązania do monitoringu, była możliwość monitorowania ruchu sieciowego zbieranego z routera brzegowego oraz szybkie wykrywanie problemów z wydajnością i incydentów bezpieczeństwa. Klient szukał narzędzia o wysokiej wydajności i atrakcyjnej cenie, które umożliwiłoby analizę całego ruchu sieciowego pod kątem wydajności i bezpieczeństwa.
Przebieg prac
Ze względu na kluczowe znaczenie monitorowania sieci i wykrywania ataków DDoS, klient zdecydował się na zakup i wdrożenie rozwiązania Sycope opartego na analizie protokołu typu NetFlow. Decyzja została poprzedzona testami przeprowadzonymi przez wewnętrzny dział IT. System nie został zintegrowany z innymi narzędziami. Rozwiązanie wdrożono w październiku 2020 r. — sam proces instalacji i uruchomienia Sycope zajął jeden dzień. Zespół docenił szybkość i sprawność instalacji. Dzięki lokalnemu wsparciu i intuicyjnemu interfejsowi, cały dział IT od pierwszego dnia mógł korzystać z pełnej funkcjonalności wszystkich modułów.
Rozwiązanie i korzyści
System Sycope umożliwił klientowi analizę ruchu sieciowego przy użyciu protokołu typu NetFlow, w tym wykrywanie i przeciwdziałanie zarówno pojedynczym, jak i wielowektorowym atakom DDoS o różnej intensywności. Sat Film rozpoczął zbieranie i analizę danych z przepływów sieciowych, diagnozowanie przyczyn problemów z połączeniami i wykrywanie ataków DDoS.
„Przydatne narzędzie, które pozwala w prosty sposób monitorować wydajność sieci i reagować na pojawiające się zdarzenia.”
— Marek Barański, administrator sieci, Sat Film
Obecnie system Sycope jest w firmie podstawowym i najważniejszym narzędziem do analizy ruchu sieciowego, w tym ataków DDoS. Klient koncentruje się przede wszystkim na wykrywaniu ataków wolumetrycznych, które ograniczają dostępność usług przez przeciążenie łącza, oraz ataków na poziomie protokołów, które wykorzystują konkretne właściwości lub luki danego protokołu. Dzięki temu klienci operatora mają zapewniony nieprzerwany dostęp do usług, co pozytywnie wpływa na ich zadowolenie.
Dział IT klienta szczególnie docenił możliwość elastycznego definiowania reguł wykrywania ataków. Podczas monitorowania przepływów, klient może wykorzystywać zarówno parametry statyczne, jak i dynamiczne. Parametry statyczne pozwalają zdefiniować wartości używane w procesie identyfikacji ataku, np. liczbę adresów IP źródłowych, bajtów, przepływów. Parametry dynamiczne umożliwiają określenie dopuszczalnych odchyleń od tzw. baseline’u, który tworzony jest na podstawie porównania bieżącego ruchu z ruchem historycznym.
Gotowe pulpity do wielowymiarowej analizy ataków ułatwiają codzienną pracę z narzędziem. W firmie Sat Film służą m.in. do określania czasu rozpoczęcia i zakończenia ataku w kontekście atakowanej usługi i grupy, do której należy host, a także do identyfikacji rodzaju atakowanej usługi. Odpowiada to na kluczowe pytanie klienta — „kto atakuje kogo?” — oraz umożliwia zaawansowaną analizę.
W najbliższych miesiącach zespół IT planuje uruchomić automatyczne łagodzenie skutków ataków po zakończeniu dodatkowych testów z ręcznym blokowaniem IP, aby chronić system przed niepożądanym ruchem.
