Ήδη αποτελεί τεράστια πρόκληση για τους επαγγελματίες της δικτυακής ασφάλειας να ανιχνεύουν, αφήστε το να μπλοκάρουν, κάθε εισβολή. Αυτό που είναι ανησυχητικό είναι ο χρόνος που μπορεί να πάρει για να συνειδητοποιήσουν σε έναν οργανισμό ότι το σύστημα δικτυακής ασφάλειας που διαθέτουν έχει παραβιαστεί.
Στην τελευταία έκθεση της, που σχετίζεται με τις τάσεις στον κυβερνοχώρο και έχει τον τίτλο “M-Trends 1016”, η FireEye ανακάλυψε ότι κατά μέσο όρο χρειάζονται περίπου 146 μέρες ωσότου ένας οργανισμός αναγνωρίσει ότι η ασφάλεια του παραβιάστηκε (να αναφέρουμε σε αυτό το σημείο, ότι τα συγκεκριμένα στατιστικά στοιχεία βασίζονται στην εμπειρία της εταιρείας της FireEye, Mandiant, να αντιμετωπίζει παραβιάσεις. Οι εταιρείες που ανίχνευσαν μία παραβίαση από μόνες τους, χωρίς την συμμετοχή της Mandiant δεν περιλαμβάνονται στον μέσο όρο).
Μερικές περίφημες παραβιάσεις της ασφάλειας δεν ανιχνεύθηκαν για μήνες, όπως στην περίπτωση της παραβίασης δεδομένων του United States Office of Personnel Management. Χρειάστηκε να περάσει σχεδόν ένας χρόνος για να αντιληφθεί την παραβίαση το προσωπικό της κρατικής υπηρεσίας των Ηνωμένων Πολιτειών της Αμερικής.
Η παραβίαση επίσης στην TalkTalk, ήταν μία ακόμα που βρέθηκε στα πρωτοσέλιδα και έγειρε ερωτήματα σχετικά με το χρονικό διάστημα που απαιτήθηκε για να γίνει αντιληπτή από το προσωπικό ασφαλείας. Στο συγκεκριμένο περιστατικό “οι κυβερνοεγκληματίες απέκτησαν πρόσβαση σε λεπτομέρειες 156.959 λογαριασμών και σε 15.656 τραπεζικούς λογαριασμούς” σύμφωνα με πληροφορίες.
Το γεγονός ότι ορισμένες παραβιάσεις πέρασαν απαρατήρητες για μέρες ή και για μήνες αποτελεί σημαντική αιτία ανησυχίας. Πρόκειται για πολύ μεγάλο χρονικό διάστημα, λαμβάνοντας υπόψη ότι οι κυβερνοεγκληματίες και χάκερ μπορούν να διεισδύσουν σε ένα δίκτυο και να αποκτήσουν κρίσιμης σημασίας δεδομένα και πληροφορίες σε διάστημα μόλις μερικών λεπτών.
Γιατί χρειάστηκε τόσος πολύς χρόνος για την TalkTalk να ανιχνεύσει την παραβίαση του συστήματος ασφαλείας της; Ένας σημαντικός παράγοντας είναι η κατανεμημένη επίθεση άρνησης εξυπηρέτησης υπηρεσιών (DDoS) που δέχτηκε – δηλαδή μία επίθεση που κατέκλυσε μία ιστοσελίδα με κίνηση, που την οδήγησε να βρεθεί εκτός σύνδεσης – και η οποία λειτούργησε ως προπέτασμα καπνού για την παραβίαση.
Οι επιθέσεις Dark DDoS λειτουργούν ως προπετάσματα καπνού
Έρευνα της Corero που βασίστηκε στην πελατειακή της βάση αποδεικνύει ότι το 95% των επιθέσεων DDoS έχουν διάρκεια κατά μέσο όρο περίπου 30 λεπτών, ενώ το 93% των επιθέσεων είχαν μέγεθος 1Gbps ή μικρότερο. Τέτοιες επιθέσεις μερικού κορεσμού συχνά αποκαλούνται “Dark DDoS attacks” επειδή χρησιμεύουν ως προπέτασμα καπνού για την παραβίαση των συστημάτων ασφαλείας και την εξαγωγή ευαίσθητων πληροφοριών και κρίσιμης σημασίας δεδομένων.
Μία σκοτεινή επίθεση DDoS αποσπάει την προσοχή του προσωπικού ασφαλείας IT, ουσιαστικά “πλημμυρίζοντας” τα online συστήματα με άχρηστη κίνηση, και την ίδια ώρα χάκερ διεισδύουν σε άλλες δικτυακές υπηρεσίες που βρίσκονται ακόμα online και συνεχίζουν να λειτουργούν αλλά είναι ευάλωτες σε επιθέσεις.
Ακόμα και αν έχετε στην διάθεση σας μία παραδοσιακή λύση μετριασμού των επιθέσεων DDoS (όπως κάποια υπηρεσία καθαρισμού στο cloud) δεν είστε πλήρως προστατευμένοι από κάποια επίθεση Dark DDoS, επειδή οι λύσεις καθαρισμού συνεχίζουν να εξαρτώνται από την ανθρώπινη παρατηρητικότητα και παρέμβαση, η οποία αναγκαστικά οδηγεί σε χρονική καθυστέρηση. Μία λύση scrubbing center ενεργοποιείται συνήθως μετά από 30 λεπτά αφότου έχει πραγματοποιηθεί η επίθεση – και ως τότε κάτι ήδη πολύ άσχημο ενδέχεται να έχει συμβεί, που είτε έχει επηρρεάσει το δίκτυο ή την ιστοσελίδα ή έχει σχέση με την κλοπή ευαίσθητων δεδομένων.
Ακριβώς για αυτό τον λόγο, είναι περισσότερο σημαντικό από ποτέ να έχετε στην διάθεση σας μία αυτοματοποιημένη, inline συσκευή μετριασμού DDoS στην υποδομή σας, η οποία παρέχει όλο τον χρόνο και επί εικοσιτετράωρου βάσεως προστασίας από επιθέσεις DDoS. Σύμφωνα με τον Dave Larson, COO της Corero Network Security:
“Η μόνη σωστή άμυνα είναι η χρήση ενός αυτόματου, always-on, inline συστήματος μετριασμού DDoS, το οποίο μπορεί να παρακολουθεί την κίνηση σε πραγματικό χρόνο, να αποκρούει την επίθεση της κίνησης στην άκρη του Internet, να εξαλείφει διακοπές στην υπηρεσία και να επιτρέπει στο προσωπικό ασφαλείας να επικεντρωθεί στην αποκάλυψη τυχόν μεταγενέστερων κακόβουλων δραστηριοτήτων, όπως είναι οι παραβιάσεις δεδομένων”.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.