DDoS-truslen: Betydningen for netsikkerhed og tilgængelighed i store virksomheder Jan Johannsen SE Manager, Nordics & Benelux
Agenda DDoS betydning Real life case stories Løsningsmuligheder Trends og anbefalinger 2
DDoS - definition DDoS = Distributed Denial of Service (attack) Ude-af-drift angreb Organisationens IT-systemer/portal sættes ud af drift i kortere eller længere tid ved at udsætte systemerne for kritiske trafikmængder. 3
Virkelighedens forretningsverden Portalen er ofte forretningskritisk Single point of contact for kunder, klienter og forretningspartnere Vigtigt aktiv ifm. kommunikation, omsætning af varer/tjenesteydelser Offentlige myndigheder Service-virksomheder Finans og forsikring Web-handel Sundhed og livsstil Interesseorganisationer NGO Potentielle kunder/brugere, konkurrenter, fjender Pålidelig indikator for liv i virksomheden Betydelige ressourcer forbundet med udvikling, drift og vedligehold Portal-afhængighed = for alle brancher 4
Virkelighedens forretningsverden Hvad sker der, når portalen rammes af DDoS? Utilgængelighed/meget lav performance Nedetid = mistet omsætning, tabt tillid, imagetab... Omtale medfører ikke altid noget positivt Retablering koster typisk mange ressourcer Igangsætning enkelt og billigt! Mange organisationer har gjort sig erfaringer 5
Case KL.dk Angrebet via DDoS, 8. april 2013 Overbelastningsangreb rettet mod organisations web-servere Svarende til 200.000 samtidige brugere (kapacitet: 8-9.000) Kun webserverne gik ned (samt blokering af udg. trafik) 4-5 timers decideret nedetid Efterdønninger (andre geeks ) Primært network-flood angreb Via ca. 850 inficerede botnet computere ~ 38Gbps data Modvirket af KL i samarbejde med ISP Afsløret via Anonymous Direkte cost: 250 tkr Motiv: drengestreger/utilfredshed Kilde: KL og www.version2.dk 6
Check Point Case story IT-driften: Én af de mest stressfyldte situationer vi har oplevet 7
Check Point Case story dag 1 Kl. 18.00: Normal drift, Installation af DDoS Protector In-line, monitor-mode only 8
Check Point Case story dag 2 Kl. 09.00: Normal drift, DDoS Event Monitor installeres 9
Check Point Case story dag 2 Kl. 09.45: Kl. 10.00: Klager fra brugere: Internettet virker langtsomt Internettet er ikke tilgængeligt! Website ikke tilgængelig for virksomh. kunder 10
Check Point Case story dag 2 Kl. 10.15: Den installerede DDoS Protector vurderes som årsag til fejl Kraftigt overbelastede firewalls 11
Check Point Case story dag 2 Kl. 10.25: By-pass switch aktiveres Ingen effekt fortsat utilgængelighed 12
Check Point Case story dag 2 Kl. 10.30: DDoS Protector, Monitor log analyseres DDoS angreb (SYN Flood) startet ca. 9.40. 13
Check Point Case story dag 2 Kl. 10.35: Det besluttes at sætte DDoS Protector i enforcement mode Kl. 10.45: Brugere har igen Internet adgang Igen adgang til webportal for eksterne brugere 14
Check Point Case story Lessons learned: Alle ringer og spørg efter status De sædvanlige IT-værktøjer er ikke tilgængelige eller responderer langsomt Igangsatte tiltag mister deres effekt fordi angriber ændrer taktik Hav en plan mod DDoS og test om den fungerer Involverer bl.a. kombination af automatiske og manuelle værktøjer og procedurer Forbered organisationen på et angreb (IT-drift, PR, medarbejdere) Vær opmærksom på om angrebet anvendes som afledning 15
Mitigation Scenario 1 No Protection Customer Target Network Internet Legal User Firewall Internal LAN DMZ Server Farm 16
Mitigation Scenario 2 CPE Customer Target Network Internet Legal User Firewall Internal LAN DMZ CPE: DDoS Protector Server Farm 17
Mitigation Scenario 3 ISP based protection Customer Target Network Firewall Internet Legal User ISP re-routing Internal LAN DMZ Server Farm 18
Mitigation Scenario 4 Scrubbing Center Customer Target Network Internet Legal User Firewall Internal LAN DMZ Server Farm Scrubbing Service 19
Mitigation Scenario 4 3-Tiered Protection Customer Target Network Firewall Internet Legal User ISP re-routing Internal LAN Server Farm DMZ CPE: DDoS Protector Scrubbing Service 20
DDoS angreb efter type Application Layer Attacks TCP SYN Flood Network Layer Attacks Stigende andel af angreb er af typen Application Layer Radware 2011 21
DDoS angreb efter type Cloud/Scrubbing center solution Application Layer Attacks TCP SYN Flood Network Layer Attacks Stigende andel af angreb er af typen Application Layer Radware 2011 22
DDoS angreb efter type CPE solution Application Layer Attacks TCP SYN Flood Network Layer Attacks Stigende andel af angreb er af typen Application Layer Radware 2011 23
Check Point DDoS Protector Customized multi-layered DDoS protection Protects against attacks within seconds Integrated security management and expert support CPE or xsp placed 24
Where to Protect Against DDoS Scenarios: 1 2 3 On-Premise Deployment DDoS Protector Appliance + Off-Site Deployment DDoS Protector Appliance 25
Løsningsvalg Service Brancheeksempler Ingen Ukritisk Ukritisk Ukritisk Mindre virksomheder CPE ISP Kritisk Kritisk e-commerce sites, alm. virksomheder Ukritisk Ukritisk Scrubbing Kritisk Ukritisk Ukritisk Update-services (Spamhaus), e-commerce sites, alm. virksomheder CPE+ISP CPE+Scrubbing (+ISP) Tilgængelighed Reaktionstid Følsomhed Mediumkritisk Mediumkritisk Medium- Kritisk kritisk Kritisk Advokat, sundhedsportaler Kritisk Kritisk Kritisk Større financielle virksomheder, nationale services, børs-sensitive virksomheder CPE = DDoS mitigerende udstyr placeret foran virksomhedens firewall ISP = Ordning hvor serviceudbyder hjælper med at begrænse trafikmængden Scrubbing = Cloudbaseret service, hvortil trafikken redirigeres og renses for DDoS trafik 26
DDoS Status Primære mål for angreb: Offentlige services/instanser Finansielle institutioner (Netbank, hovedsites, filialer, datacentre) CFCS: Hosting centre (webhosting) Organisationer For at kunne (faglige, forsvare offentlige, netværket ideologiske) i dag Detail har (netbutikker) virksomhederne behov for at implementere DDoS-sikkerhed i flere lag, fra netværksperimeteren til Karakteristika: Ca. 2 ISP ens timer i snit backbone. 3Gbps Kan ikke mærkes markant i backbone infrastrukturen http://www.slideshare.net/arbor_networks/arbor-networks-atlas-data-for-q2-2013 http://fe-ddis.dk/cfcs/cfcsdocuments/situationsbillede%20-%20april%202013.pdf 27
DDoS Status 28
DDoS status 33% af virksomheder er særdeles bekymret for at blive sat ud af drift af DDoS angreb NemID nedlagt min. 5 gange af DDoS siden 24/3-13 (bl.a. fra Danish LulzTeam) Har inddirekte ramt alle services afh. af NemID Meget få konkrete tal Flere rapporterede nedbrud har haft rod i DDoS angreb http://www.dkr.dk/sites/default/files/kriminalitet%20i%20en%20digitaliseret%20verden%20samlet%20rapport.pdf http://www.version2.dk/artikel/nemid-ramt-af-nyt-ddos-angreb-51590 29
DDoS trends Tendenser: Kraftig stigning i layer 7 angreb (application layer) Bedre organisering af de målrettede angreb Ideologisk, politisk og kriminelt baserede motiver Konkrete DKCERT: angrebsstrategier Distribuereret mellem flere ISP ere Low Flere & slow virksomheder angreb mod DNS-leverandører og organisationer vil Koordinerede blive udsat angreb for overbelastningsangreb mod kunder med samme DDoS i scrubbing center fremtiden. Angreb mod mobile infrastrukturer identitets tyveri Næste generations DDoS beskyttelse Vanskeliggøre og fordyre angreb http://www.darkreading.com/attacks-breaches/nexusguard-white-paper-mitigating-next-g/240157945 http://blog.radware.com/security/2013/09/moving-to-mobile-the-changing-face-of-ddos/ https://www.cert.dk/artikler/artikler/cw03052013.shtml 30
Konklusion Netsikkerheden En strategisk DDoS beskyttelse modvirker: Nedetid Nedbrud og skade på firewall + portaler og platforme bag Mindsker risiko for frontal- og bagdørsangreb Sikrer adgangen til kritiske date Reducerer trykket på IT-staben i kritiske situationer Øger tilgængeligheden via Fjernelse af floodbasede og målrettede application angreb mod portalen (CPE) Tillader den legale trafik at passere (CPE) Fjerner load fra internet-forbindelsen ved at dumpe uønsket trafik i provider-strukturen (ISP+Scrubbing center) 31