Wyprzedzająca ochrona przed cyberatakami, jak to możliwe?

Technologie i innowacje

cyberbezpieczeństwo, cyberprzestępca
Fot. stock.adobe.com / sasun Bughdaryan

Jak pandemia zmieniła rzeczywistość w kontekście globalnego podejścia do cyberbezpieczeństwa? Jak obronić się przed systematycznym wzrostem wielkości i częstotliwości ataków typu DDoS, który obserwujemy od wielu lat? ‒ mówią Hubert Ortyl, Business Development Manager, Advatech i Michał Nycz, Account Executive Akamai.

#MichałNycz: Systematyczny wzrost wielkości i częstotliwości ataków typu DDoS jest trendem, który obserwujemy od wielu lat #Cyberbezpieczeństwo #Cyberzagrożenia #Malware #Advatech @Akamai

Jak sprostać nowym zagrożeniom i nowym wyzwaniom stawianym przez cyberprzestępców?

Hubert Ortyl, Business Development Manager, Advatech: Patrząc z pozycji partnera handlowego i rozmawiając z klientami rysuje się potrzeba kompleksowego podejścia do zagadnień bezpieczeństwa i kierowaniu się w stronę dostawców globalnych mających szerokie portfolio rozwiązań. Podejście End-to-End Akamai oraz akcentowanie zabezpieczeń na brzegu (Edge) Internetu, a nie tylko środowisk Cloud, daje przewagę w podejściu na przyszłość mając na uwadze wprowadzanie technologii 5G.  

Michał Nycz, Account Executive Akamai: Pandemia zmieniła bardzo dużo w kontekście globalnego podejścia do cyberbezpieczeństwa. Prognozy, które jeszcze kilka miesięcy temu wydawały się być realistyczne w perspektywie kilku lat, zmaterializowały się z dnia na dzień.

W marcu cały świat przeniósł się do sfery online w każdym aspekcie życia i znalazło to swoje odzwierciedlenie w rosnącym zagrożeniu, związanym z różnymi próbami zakłócenia działania czy wyrządzenia szkód dla serwisów takich jak sklepy internetowe, aplikacje bankowe czy aplikacje wewnętrzne. W ostatnim czasie obserwowaliśmy np. ponad 400% wzrost aktywności zapytań na strony zawierające malware.

Czy sama wielkość ataku DDoS oddaje jego niebezpieczeństwo?

Michał Nycz, Account Executive Akamai: Do czerwca 2020 r. największym obserwowanym atakiem był ten na GitHub, w marcu 2018 roku o wielkości ponad 1.3 Tbps na sekundę. Dzięki temu, że w Akamai widzieliśmy ten wektor dużo wcześniej, byliśmy w stanie odpowiednio się przygotować i zablokować go od razu po przełączeniu ruchu do naszych scrubbing center.

Od jakiegoś czasu zwracaliśmy jednak uwagę, że nie wielkość, a częstotliwość i kompleksowość ataków mogą stanowić największy problem. Pod koniec maja udało nam się zablokować atak o wydajności 312 Mpps (milion packets per second) na jedną ze światowych instytucji finansowych. Dzięki predefiniowanym regułom bezpieczeństwa, zrobiliśmy to w czasie rzeczywistym, zachowując SLA zero sekund. W pierwszym tygodniu czerwca udało nam się również zmitygować rekordowy atak 1.44 Tbps / 385 Mpps na jedną z firm hostingowych, który trwał przez niemal dwie godziny.

Ciekawym faktem jest, że atak wykorzystał 9 różnych wektorów (ACK Flood, CLDAP Reflection, NTP Flood, RESET Flood, SSDP Flood, SYN Flood, TCP Anomaly, UDP Flood, UDP Fragment), pochodzących z wielu botnetów.

Ataki złożone z wielu wektorów są w tym roku wyjątkowo popularne – 33% spośród wszystkich ataków zmitygowanych przy użyciu naszej platformy Prolexic było złożonych z 3 lub więcej wektorów, a najbardziej złożony z nich – aż z 14.

Warto dodać, że dosłownie przed momentem nasz SOC poinformował o obronionym ataku na skalę 809 Mpps, wycelowanym w jeden z europejskich banków. To dotychczas największy atak obroniony na naszej platformie.

Czy możemy spodziewać się kolejnych, większych ataków?

Michał Nycz, Account Executive Akamai: Systematyczny wzrost wielkości i częstotliwości ataków typu DDoS jest trendem, który obserwujemy od wielu lat. Efektem tego jest również ciągły, proaktywny rozwój naszej platformy Prolexic.

W chwili obecnej do mitygacji ataków na warstwę sieciową posiadamy dedykowaną platformę o pojemności ponad 8 Tbps, składającą się ze scrubbing center na całym świecie, która jest cały czas rozbudowywana. Razem z naszą platformą klasy Edge to pojemność blisko 200 Tbps, która daje dużą pewność w kontekście zapewnienia ciągłości działania dla krytycznych aplikacji.

Istotnym elementem jest również możliwość skorzystania z rozwiązań hybrydowych, oferujących zarówno automatyczny zestaw reguł, jak i dostęp do odpowiednich zasobów eksperckich, jak chociażby te w naszym Security Operations Center (SOC) w Krakowie.   

Co jest ważniejsze: wydajność czy bezpieczeństwo?

Hubert Ortyl, Business Development Manager, Advatech: Siłą Akamai jest doświadczenie w udrażnianiu niewydajnego światowego Internetu zapoczątkowane 20 lat temu, obecność w dziesiątkach tysięcy lokalizacji na świecie (w naszym kraju jest to ponad 1000 serwerów Akamai w 20 lokalizacjach), nie mówiąc już o jednym z pięciu światowych Akamai SOC (Kraków).

Obecny i trwający od kilku lat kierunek to rozbudowa rozwiązań z zakresu bezpieczeństwa, akwizycje i powiększanie infrastruktury tak, aby móc obsługiwać największych światowych klientów i zapewniać im ochronę na najwyższym poziomie wraz z gwarancjami działania usług na poziomie 100% SLA,mitygacji ataków w 0-sekund, czy zapewnienia wsparcia poważanych w branży ekspertów security.

Michał Nycz, Account Executive Akamai: Kwestie wydajnościowe zawsze były priorytetem Akamai. 21 lat temu w Cambridge (US) zaczynaliśmy swoją historię jako firma skupiona tylko i wyłącznie na poprawie wydajności w Internecie. Tak naprawdę byliśmy pionierami rozwiązań klasy CDN, które z założenia miały służyć do tego, aby Internet działał szybciej, aby jak najbardziej odciążyć warstwę infrastruktury i zaproponować alternatywę do archaicznego protokołu BGP.

Jednym z naszych pierwszych projektów było globalne dostarczenie trailera do jednej z części Gwiezdnych Wojen. Obecnie kwestie związane z wydajnością są dla nas w dalszym ciągu krytyczne, co przekłada się również na możliwość oferowania rozwiązań security typu WAF, czy anty-DDoS, bez poświęcania wydajności aplikacji krytycznych dla naszych klientów, a bardzo często z pozytywnym wpływem na pozytywny UX użytkowników końcowych.  

Jaka jest przyszłość rozwiązań chmurowych?

Hubert Ortyl, Business Development Manager, Advatech: Obecnie na znaczeniu zyskują rozwiązania, które czerpią wiedzę ucząc się zachowań występujących w światowym Internecie. Akamai widząc 2/3 wszystkich zapytań DNS i 30% dziennego światowego ruchu internetowego jest w stanie precyzyjnie określać pochodzenie, wektor ataku i działać bardziej proaktywnie niż pozostali gracze na rynku security.

Przykładowo Akamai jest w stanie ostrzec klientów przed atakiem na infrastrukturę i zagwarantować zmitygowanie ataku w zero sekund na podstawie predefiniowanych reguł, jest też w stanie chronić zaczynający się atak z dala od Data Center klienta, już w miejscu powstawania ‒ z dala od kontynentu geograficznego, na którym jest obecna serwerownia klienta. Mając na względzie szybkość, wydajność i przekazywanie bazy wiedzy o zagrożeniach w czasie rzeczywistym wraz z dostarczaniem schematów i zautomatyzowanych procedur obronnych, oferowane przez Akamai usługi są dostępne bez jakiejkolwiek potrzeby inwestycji w sprzęt fizyczny ze strony klientów, co upraszcza uruchomienie i utrzymanie serwisów.

Tym samym nie martwimy się o odświeżanie zasobów hardware, nie martwimy się o miejsce w serwerowni, klimatyzację, zasilanie itp., a z drugiej strony mamy gwarancję działania 24/7/365.  

Jak wygląda mechanizm objęcia ochroną klienta i ile czasu to zajmuje?

Hubert Ortyl, Business Development Manager, Advatech: Aby zacząć korzystać z rozwiązań Akamai można to zrobić równie szybko, jak samo podjęcie decyzji biznesowej, w niektórych przypadkach kilka, kilkanaście, a w pozostałych kilkadziesiąt minut.

Jeśli klient jest „pod atakiem”, Akamai oferuje m.in. specjalną gorącą linię i integrację w trybie emergency, która gwarantuje zmitygowanie ataku w czasie, od kilku do kilkudziesięciu minut. Istnieje również możliwość dostosowania modelu umowy do wymogów biznesowych danej organizacji (CAPEX / OPEX).

Jak wygląda proces biznesowy implementacji takiego rozwiązania?

Hubert Ortyl, Business Development Manager, Advatech: Większość rozwiązań Akamai można przetestować w ramach PoC na żywym organizmie klienta. Zazwyczaj rozpoczynamy od rozmowy i zebrania wymagań technicznych, później eksperckich sugestii i podania przykładów zastosowania rozwiązań u największych klientów na świecie.

Istotną zaletą jest możliwość skorzystania z doświadczeń klientów, którzy używają rozwiązań Akamai od kilkunastu czy kilkudziesięciu lat i do tej pory nie znalazły się atrakcyjniejsze propozycje zamiany dotychczasowych rozwiązań ‒ ani pod kątem finansowym, ani technologicznym, mając tutaj na względzie szczególnie bezpieczeństwo działania usług.

Często pada pytanie: kto jest klientem referencyjnym?

Michał Nycz, Account Executive Akamai: W tym miejscu akurat Akamai ma bardzo szeroki wachlarz zadowolonych klientów (ponad 7000 ), a mając na uwadze tylko wycinek oferty, na którym się skupiamy czyli Enterprise Defender można powiedzieć, że klientami są największe instytucje finansowe świata, jeden z największych producentów samochodów w USA, jedna z największych europejskich sieci kolejowych, jeden z największych operatorów i dostawców gazu w Europie, czy większość największych linii lotniczych na świecie.

Udostępnij artykuł: