Spis treści
Czym jest atak DDoS?
Ataki DDoS (Distributed Denial of Service) należą obecnie do najprostszych i najpopularniejszych ataków wykorzystywanych przez cyberprzestępców. Ich celem jest sparaliżowanie infrastruktury sieciowej lub aplikacji poprzez przesłanie ogromnej liczby pakietów danych do sieci ofiary. Ataki rozproszonego odmówienia usługi wymagają wykorzystania tysięcy urządzeń zorganizowanych w grupy znane jako botnety. Dość często ataki DDoS skutkują nie tylko stratami finansowymi wynikającymi z przerw w działaniu usług czy kosztów okupu za przerwanie ataku, ale także szkodą wizerunkową dla organizacji.
DDoS i MITRE ATT&CK
W jednym z najpopularniejszych frameworków bezpieczeństwa, MITRE ATT&CK, opisanym w naszym artykule: „ATT&CKMITRE jako skuteczna metoda obrony przed zagrożeniami cybernetycznymi”, zagrożenia DoS są sklasyfikowane w kategorii taktyk „Impact”. Taktyka ta obejmuje techniki wykorzystywane przez cyberprzestępców do zakłócania dostępności lub naruszania integralności poprzez manipulację procesami biznesowymi i operacyjnymi. Rysunek 1 przedstawia fragment matrycy zagrożeń MITRE z zaznaczonymi na czerwono technikami ataków DoS.
NetFlow to jedno ze źródeł danych umożliwiających wykrywanie zagrożeń DoS, jak pokazano w skróconym opisie zagrożeń na Rysunku 2.
Podsumowanie
Monitorowanie poszczególnych parametrów sieciowych jest bardzo istotne nie tylko dla wykrywania, ale również dla analizy wzorców ruchu sieciowego podczas ataków. Każdy analityk incydentów powinien mieć w swoim arsenale system zapewniający widoczność sieci, aby móc analizować charakterystykę sieci, a także anomalie i zagrożenia bezpieczeństwa z perspektywy całej organizacji. Ataki DoS należą do grona zagrożeń bezpieczeństwa, które mogą prowadzić do bardzo poważnych konsekwencji dla organizacji. Monitorowanie przepływów sieciowych to doskonała metoda wykrywania tego typu ataków, szczególnie skuteczna w przypadku ataków wolumetrycznych i opartych na protokołach. Ataki wolumetryczne, które nasycają przepustowość ofiary, charakteryzują się przede wszystkim parametrem bps (bajty na sekundę). Atrybut pps (pakiety na sekundę) jest kluczowym wskaźnikiem wykorzystywanym do wykrywania ataków protokołowych, skutkujących przeciążeniem interfejsów komunikacyjnych urządzeń. Dlatego parametry sieciowe przesyłane za pomocą NetFlow stanowią istotne źródło danych wykorzystywane do wykrywania nie tylko anomalii sieciowych, ale również zagrożeń bezpieczeństwa, takich jak DoS czy DDoS.
