Упатство за постапување по DDoS напади

април 18, 2020 Бизнис корисници 3,036 Views

Овој документ содржи насоки за справување со (Distributed) Denial of Service тип на напади.

Постапката за справување со DDoS напади ја следи стандардната процедура за справување со било кој тип на напади, поделена во следните фази:

  • Подготовка
  • Идентификација
  • Спреување на понатамошно ширење
  • Санација
  • Заздравување
  • Последици

Оваа методологија за одговор на инциденти содржи конкретни чекори како дел од процедура што треба да се прилагоди и имплементира во организацијата, и е наменета за:

  • Администратори
  • Центри за безбедносна оперативна поддршка (SOC – Security Operations Centre)
  • Лица одговорни за информациска безбедност во организација (CISO – Chief Information Security Officer) и невни заменици
  • CERT тимови (тим за одговор при компјутерски или сајбер инциденти)

Запомнете: Ако се соочите со инцидент, можете да ја следите процедурата во продолжение, по нејзино претходно прилагодување на вашата организација.

Не паничете!

Пријавувајте инциденти до MKD-CIRT на info@mkd-cirt.mk

Подготовка

Цел: Воспоставете контакти, дефинирајте процедури и и соберете информации за да заштедите време во тек на нападот.

Поддршка од давателот на Интернет услуги / (ISP,Интернет провајдер)

  • Контактирајте го вашиот интернет провајдер за да се запознаете со услугите за ублажување на DDoS напади што ги нуди (бесплатни и платени) и која е постапката што треба да ја следите за користење на тие услуги. Повеќете ISP како дел од услуга за користење на дедицирани јавни IP адреси и Интернет пристап, нудат и можност за користење на дополнителни услуги за заштита на корисниците вклучително и заштита од преоптоварување на инфраструктурата преку која ја давате вашата услуга со огромен број на барања како DDoS напади.
  • Ако е можно, користете редундантна Интернет конекција, по можност од друг ISP.
  • Ако е можно, претплатете се на услуга за превенција на DDoS напади кај вашиот ISP.
  • Воспоставете контакти со вашиот интернет провајдер и органите за спроведување на законот. Осигурете се дека имате можност да користите дополнителни (out-of-band) канали за комуникација со нив, како на пример фиксен и мобилен телефонски број.

Инвентар

  • Креирајте список на т.н. whitelist (дозволени или добри) IP адреси и протоколи што мора да ги пропуштите и на тој начин да воведете приоретизирање на сообраќајот за време на напад. Не заборавајте да вклучите вашите критични клиенти, клучни соработници и други корисници на услугите кои треба да имаат приоритет во користење и достапност.
  • Документирајте ги деталите за ИКТ инфраструктурата, вклучително и сопственици на деловни активности, IP адреси, поставки за рутирање (AS, итн.); Подгответе дијаграм за мрежна топологија и попис на ИКТ средства.

Мрежна инфраструктура

  • Дизајнирајте ја мрежната инфраструктура на тој начин што ќе се избегне постоење на единствена точка за прекин (анг. Single Point of Failure) и тесно грло заради недоволен капацитет за пренос на податоци.
  • Дистрибуирајте ги вашите DNS сервери и другите критични услуги (SMTP, итн.) низ различни AS.
  • Зголемете ја безбедноста (анг. Hardening) на конфигурацијата на мрежата, оперативните системи и делови на апликациите што може да бидат цел на DDoS напади.
  • Проценете и евидентирајте ги ефикасноста и перформансите на вашата моментална инфраструктура, за да можете побрзо и попрецизно да го идентификувате нападот. Доколку е потребно воведете дополнителни процесирачки капацитети на серверската опрема и зголемете ја пропусноста на вашата Интернет конекција (анг. bandwidth) со што ќе постигнете поголема отпорност и флексибилност во достапноста на услугата преку Интернет.
  • Ако вашата деловна активност е зависна од Интернет, размислете за купување специјализирани производи или услуги за намалување на DDoS. Побарајте ги овие услуги од вашиот Сериозен и квалитетен ISP задолжително во својата понуда има услуги за заштита од DDoS напади.
  • Проверете ги поставките за DNS time-to-live на системите што може да бидат нападнати. Доколку е потребно намалете ги вредностите за TTL, за да се олесни DNS пренасочување во случај на напад на оригиналните IP адреси. Препорака е вредноста на TTL да е 600s.
  • Во зависност од критичноста на вашите услуги, размислете за поставување резервна копија што можете да ја вклучите во случај на преоптовареност или недостапност на примарната ИКТ опрема и инфраструктура преку која се дава услугата.

Внатрешни контакти

  • Воспоставете контакти и дефинирајте робусни канали за комуникација меѓу вашите тимови за поддршка за IDS, firewall, системска и мрежна поддршка.
  • Соработувајте внатре во организацијата за да ги разберете импликациите што недостапност на услуга заради DDoS напад може да ги има врз работењето на организацијата (на пр. загуба на пари или репутација).
  • Вклучете ги вашите тимови за BCP / DR (анг. Business Continuity Planning / Disaster recovery) во процесот за справување со DDoS напади.

Фазата на „Подготовка“ се смета за најважниот елемент во успешна реакција на DDoS инцидент.

Идентификација

Цел: Откривање на инцидентот, утврдување на неговиот опфат и вклучување на соодветните страни.

Анализирајте го нападот

  • Треба да го разберете логичкиот проток на DDoS нападот и да ги идентификувате инфраструктурните компоненти погодени од нападот. Вообичаено место за почеток на анализата се логови од активна мрежна опрема како firewall, router, како и анализа на пристапни логови на серверско и апликациско ниво.
  • Разберете дали сте цел на нападот или колатерална жртва
  • Прегледајте ги датотеките за оптоварување и најавување на сервери, рутери, firewall-и, апликации и другата погодена ИКТ инфраструктура.
  • Идентификувајте ги карактеристиките според кои мрежниот сообраќај што е резултат на DDoS напад се разликува од нормалниот (вообичаен) сообраќај, како на пример:
    • Изворни IP адреси, AS, итн.
    • Целни (дестинација) порти
    • URL адреси
    • Flag-ови на протоколи
  • Примери за алатки за мрежна анализа и преглед на сообраќај се:Tcpdump, Tshark, Snort, Argus, Ntop, Aguri, MRTG
  • Доколку е можно, креирајте т.н. NIDS (Network Intrusion Detection Systems) потпис за да ги разликувате злонамерниот и нормалниот мрежен сообраќај.

Вклучете внатрешни и надворешни соработници

  • Контактирајте ги вашите внатрешни тимови за да дознаете дали и на кој начин тие го детектираат и чувствуваат нападот.
  • Контактирајте го вашиот интернет провајдер за да побарате помош. Бидете конкретни во барањето за информација за сообраќајот што сакате да го контролирате:
    • Вклучени мрежни блокови
    • Изворни IP адреси
    • Протоколи
  • Известете го раководството и правните тимови во вашата организација.

Проверете ја позадината на нападот

  • Дознајте дали организацијата добила закани за изнуда (анг. Ransom) пред самиот напад.
  • Проверете дали некој би имал интерес да се заканува на вашата организација:
    • Конкуренти
    • Идеолошки мотивирани групи (хактивисти)
    • Поранешни вработени

Спречување на ширење

Цел: Ублажување на ефектите на нападот врз целното опкружување.

  • Ако тесното грло е одредена карактеристика на некоја апликација, привремено оневозможете ја истата.
  • Обидете се да го блокирате сообраќајот на DDoS што е можно поблизу до ИКТ инфраструктурата преку која се дава услугата што е цел на DDoS напад, преку користење и подесување на рутер, заштитен ѕид, уред за балансирање на оптоварување, специјализиран уред, итн.
  • Прекинете ги несаканите поврзувања или процеси на серверите и рутерите и променете ги поставките за TCP / IP.
  • Ако е можно, префрлете се на алтернативна ИКТ инфраструктура користејќи DNS или друг механизам како sinkhole или blackhole рутирање на сообраќајот насочен кон оригиналните IP адреси.
  • Поставете алтернативни комуникациски канали помеѓу вас и вашите корисници / клиенти (на пр.: веб-сервер, сервер за е-пошта итн.)
  • Ако е можно, насочете го сообраќајот преку услуга или уред за филтрација (traffic-scrubbing) преку DNS или со измени во рутирање (на пр.: sinkhole рутирање)
  • Конфигурирајте ги филтрите за е-пошта за да го блокираат сообраќајот што вашите системи може да го испратат како одговор на сообраќајот што е резултат на DDoS нападот (на пр.: backsquatter сообраќај). Ма тој начин ќе се спречи додавање на непотребни пакети и оптоварување во мрежната комуникација.
  • Во случај на обид за изнудување (ransom) од страна на криминалци, обидете се да добиете на време. На пример, објаснете дека ви треба повеќе време за да добиете одобрение од раководството и слично.

Ако гушењето (тесно грло) е на страната на интернет провајдерот, само интернет провајдер може да преземе ефикасни активности. Во тој случај, соработувајте со вашиот интернет провајдер и осигурете се дека на ефикасен начин споделувате комплетни информации по кои ќе може да се постапува.

Санација

Цел: Преземање активности за да се запре состојбата на недостапност на услуга настаната заради DDoS напад.

  • Контактирајте го вашиот интернет провајдер и осигурајте дека спроведува мерки за санација. Следува информативна листа на мерки за санација:
    • Филтрирање (ако е можно на ниво Tier 1 или 2)
    • Филтрирање на сообраќајот (Traffic-scrubbing/ Sinkhole/ Clean-pipe)
    • Blackhole рутирање/насочување на сообраќај
  • Ако се идентификувани DDoS напаѓачите, размислете за вклучување на органот за спроведување на закон (МВР). Ова треба да се направи по насоки добиени од раководството и правниот тим во организацијата.

Во повеќето случаи, техничките активности за санација најчесто можат да бидат спроведени од страна на вашиот интернет провајдер.

Закрепнување

Цел: Враќање во претходната функционална состојба.

Проценете го крајот на DDoS нападот

  • Осигурете се дека услуги погодени од нападот се повторно достапни.
  • Осигурете се дека перформансите на вашата ИКТ инфраструктура се вратени на почетна. Т.е. нормална состојба според оптоварување и тип на сообраќај.

Вратете ги системите во режим на нормално работење

  • Вратете го сообраќајот на вашата оригинална/примарна мрежа.
  • Вклучете ги запрените услуги и сервиси.

Осигурете се дека постапките поврзани со закрепнувањето се усогласени со другите тимови вклучително и тие за ИКТ поддршка и одржување, како и тимовите за BCP и DR.  Повторното активирање на исклучените услуги може да има неочекувано влијание, затоа е потребна коориднација.

Последици

Цел: Документирајте ги деталите за инцидентот, дискутирајте за научените лекции и прилагодете ги плановите и одбраната.

  • Разгледајте кои чекори за подготовка би можеле да ги преземете за побрз и поефикасен одговор на инцидентот.
  • Доколку е потребно, прилагодете ги претпоставките што влијаеле врз одлуките донесени за време на DDoS нападот.
  • Проценете ја ефективноста на вашата процедура за одговор на DDoS напад, вклучително и активностите на луѓето и комуникацијата.
  • Размислете за односите и комуникацијата во и надвор од вашата организација и како тие може да се подобрат со цел да помогнат во справување со идните инциденти.
  • Соработувајте со правниот тим во организацијата доколку е во тек правна или законска постапка.

Извор: https://github.com/certsocietegenerale/IRM/blob/master/EN/IRM-4-DDOS.pdf 

Check Also

Насоки за безбедност на веб-сервери

Веб-серверите често се цел на напади и обиди за експлоатација. Неправилното конфигурирање и на веб-серверите …

© 2024, Национален центар за одговор на компјутерски инциденти