ataques a infraestruturas críticas - uma ameaça para levar ... · ataque ao jornal satírico e...
TRANSCRIPT
www.itchannel.pt DDoS | especial
17
Entre estes ataques, o que mais cresce em nú-mero, velocidade e complexidade é o ataque DDoS (Distributed Denial of Service), visando
afetar a disponibilidade de serviço e integridade de dados. Uma das razões para o crescimento deste tipo de ataques é o facto de que serem relativamente fáceis de realizar, podendo causar sérios danos às empresas e instituições que contam com os serviços da web para a sua normal operação. Só o ano passado, os diversos tipos de ataque a DNS aumentaram mais de 216 por cento. Os Hackers pro-curam os pontos francos nos sistemas de segurança para prejudicar ou explorar ilegalmente os serviços, e os ataques são projetados para bloquear os servi-dores DNS e consumir recursos de rede, interferindo assim com aplicações críticas de TI, tais como e-mail, websites, VoIP e software como um serviço (SaaS). Também o rapto de DNS compromete a integridade e redireciona os utilizadores para um ambiente falso controlado pelos atacantes, resultando em roubo de informação sensível e perda de faturação. Ataques baseados em DNS também são usados como desvios em planos mais amplos de roubo de dados, uma prática chamada de “smoke screening”.
Infraestruturas críticasTodas as empresas e instituições governamentais estão ao alcance de um ataque deste tipo. O tema ganha especial acuidade no caso dos Sistemas de Informação mission critical – as, assim, designadas Infraestruturas Críticas. Segundo a Lei - DL 62/2011 (que transpõe a Di-retiva 2008/114/CE), uma IC (infraestrutura crítica) é “a componente, sistema ou parte deste situado em território nacional que é essencial para a manu-tenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade”.Uma IC é aquela cuja destruição total ou parcial, disfunção ou utilização indevida possa afetar, direta
Ataques a infraestruturas críticas - Uma ameaça para levar a sérioOs ataques a infraestrutura de DNS são quase tão antigos como o próprio serviço. Mas estes ataques têm crescido de forma exponencial e alarmante com motivações diversas por parte dos seus autores, que vão do crime que visa simplesmente o lucro rápido e ilegítimo a movimentos de hackers como os Anonymous, e mesmo o terrorismo contra os sistemas vitais dos países
ou indiretamente, de forma permanente ou prolon-gada, o funcionamento do sector a que pertence, ou de outros sectores; o funcionamento de Órgãos de Soberania ou de Órgãos da Segurança Nacional; os Valores Básicos, afetando, desta forma, gravemente, o Bem-Estar Social.O DL 62/2011 estabelece os procedimentos desti-nados a identificar e proteger as infraestruturas es-senciais para a saúde, a segurança e o bem-estar económico e social.Aplicam-se estes procedimentos aos sectores da energia e transportes:
❚ Produção e transporte de energia elétrica; ❚ Produção, refinação, tratamento, armazenagem e transporte de petróleo por oleodutos;
❚ Produção, refinação, tratamento, armazenagem e transporte de gás por gasodutos;
❚ Terminais para gás natural em estado líquido; ❚ Transportes rodoviários, ferroviários e aéreos;
❚ Transportes por vias navegáveis interiores; ❚ Portos e transportes marítimos.
Segundo a Autoridade Nacional de Proteção Civil, “em Portugal, a proteção de infraestruturas críticas teve início em 2004, em simultâneo com as primeiras iniciativas a nível da União Europeia…”, e prossegue: “… de acordo com o preconizado a nível europeu, considerando-se infraestrutura crítica aquela que, caso sofra uma disfunção, pode pôr em causa o funcionamento do país e o bem-estar da sua po-pulação.”“Cerca de 2,5% das 11.600 infraestruturas inven-tariadas até ao momento foram classificadas como críticas. Destas, cerca de metade pertencem aos sectores da energia e transportes. O sector das comunicações/tecnologias da informação e comu-nicação representa também uma fatia importante das Infraestruturas críticas nacionais”, acrescenta o relatório da ANPC.
www.itchannel.ptespecial | DDoS
18
A Próxima CiberguerraSegundo Ben DiPietro, Risk & Compliance Journal, in The Wall Street Journal, os custos de um ataque de DDoS podem assumir proporções dramáticas. Citando um relatório da empresa de aplicações Incapsula, revela que um ataque não mitigado de negação direta do serviço custa às empresas uma média de 40 mil dólares por hora. O mesmo relatório apurou ainda que 47% de todos os alvos de DDoS são atingidos de novo nos 60 dias seguintes ao primeiro ataque
De acordo com a opinião de Alfonso Ramirez, diretor-geral da Kaspersky Lab Ibéria, “es-tamos a falar de golpes altamente dirigidos
e que representam um risco sério para as empresas de hoje. A dificuldade em travar este tipo de ata-ques, por parte dos fabricantes de segurança, é muito elevada. Um ataque DDoS é muitas vezes uma ação transfronteiriça; o cliente encontra-se num país, o executor noutro, os servidores C&C estão alojados num terceiro e as bots que participam no ataque encontram-se dispersas por todo o mundo”.
Eventos geopolíticos e ciberataquesWerner Thalmeier, Director Security Solutions EMEA & CALA, da Radware, estabelece uma relação direta entre acontecimentos relevantes na geopolítica e ataques cibernéticos, atribuindo uma relação causa--efeito entre uns e outros. E exemplifica:
- Operação ABABIL; Alvo: Instituições Financeiras nos USA, Fev/Jul 2013;- Spamhaus; o maior ataque de DDoS de sempre; Holanda, Março 2013;- Operation “Opindependence”; Ucrânia & Países Bálticos; de Novembro 2013 até agora;- Anonymous contra Hackers Islâmicos; França, Ja-neiro de 2015;- FIFA Worldcup; Brasil, Agosto de 2014;- Anonymous declaram guerra ao ISIS; Iraque e Síria, 2014.(ver figura 1)
O que move os HackersRichard Clark, Chairman na Good Harbor Consul-ting e antigo Special Advisor do Presidente dos Estados Unidos para a Cibersegurança, no seu livro “Cyber War: The Next Threat to National Security and What to Do About It”, destaca a “motivação, capacidade e intencionalidade” como caraterísticas principais na orientação dos Hackers. E analisa dife-rentes situações (ver figura 2).
Ao alcance de qualquer um
O número e perigosidade das ameaças aumentam na medida em que na dark net há cada vez mais “ofertas” de soluções do tipo chave--na-mão, com tabelas que permitem escolher o número de bots a usar, a duração do ataque, etc. Com uma parti-cularidade interessante: em muitos dos casos o cliente só paga se e quando o resul-tado malicioso for atingido.Alfonso Ramirez, diretor-geral da Kaspersky Lab Ibéria salienta que “as ameaças estão sempre a aumentar, com os ataques a tornarem-se cada vez mais furtivos e sofisticados, e com uma estratégia definida e objetivo específico. O número de empresas e organizações afetadas por ciberataques em 2014 foi 2,4 vezes maior do que no ano anterior, sobretudo graças aos ata-ques dirigidos e às campanhas maliciosas destinadas a empresas, governos, instituições públicas e privadas, alvos que se destacam especialmente em termos de escala e de impacto. Sabemos que, ao fazer o balanço de 2015, este cenário não será diferente.” “Só para termos uma ideia da dimensão desta ameaça, já no primeiro trimestre deste ano foram perpetrados mais de 23 mil ataques DDoS (ataques de denegação de serviço) através de botnets aos recursos
web em 76 países. Estamos a falar de um período de apenas três meses!”, sublinha o responsável.
Ciberataques como consequência de recentes ataques terroristasOs recentes ataques terroristas em França, como o ataque ao jornal satírico e humorístico Charlie Hebdo, “têm desencadeado respostas vigorosas de alguns grupos altamente organizados, como o Anonymous.Mas, neste como em outros capítulos, há grupos para todos os gostos e feitios, que têm em comum apenas a natureza das suas motivações: o dinheiro, o poder e, no limite, a guerra.
• Dinheiro• E mais dinheiro
• Largo número de grupos• Skills de básicos e avançados• Presente em todos os países do planeta
• Protesto• Vingança
• Grande número de grupos• Grupos tendem a ter skills básicas com alguns individuos com skills avançadas motivando ums potencial conjunto
• Adquirir segredos• De segurança nacional• Para benefício económico
• Crescente número de países com capacidade• Maior array de grupos apoiados ou tolerados
• Motivação para destruir, degradar ou denegar• Politica por outros meios
• Crescente número de países com capacidade• Actores desconhecidos podem mover-se aqui também
Figura 1
Figura 2
O que há para vigiar?
Exemplo de Matriz de Dependências (baseado em Buxton, 2010)
www.itchannel.pt
19
DDoS | especial
... Em PortugalDe acordo com João Ribeiro, especialista da Comissão Nacional da Proteção de Dados, cuja apresentação em evento recente organizado pela Arrow vimos seguindo, em 2007 foi feita uma avaliação provisória, onde 60% das infraestruturas críticas foram consideradas “vulneráveis” ao ciberterrorismo (foram analisadas apenas 89 instalações críticas, não tendo sido avaliados todos os sectores de atividade)
Numa lista atualizada em 2011 (Marcelino), num conjunto de 270 infraestruturas críticas avaliadas (faltam apenas as referentes ao
sector financeiro), verifica-se que, em relação ao risco sísmico, 60% das instalações estão em zonas de alto risco (55,1% pertencem aos SEM - Sectores Estraté-gicos Nacionais ).Ainda segundo João Ribeiro, “… os resultados atin-gidos no âmbito da 1ª Fase permitiram identificar alguns factos e conclusões de uma realidade nacional preocupante: ❚ Mais de 65% das Infraestruturas Críticas Nacionais podem ser gravemente afetadas por uma ocor-rência sísmica, provável ou plausível;
❚ Mais de 300 sugerem um elevado potencial para ações mal intencionadas;
❚ Algumas infraestruturas encontram-se em zonas de elevado risco de incêndio Florestal ou em Leitos de Cheia;
(Pais et al., 2007)”
Sectores Estratégicos Nacionais e Infraestruturas CríticasA primeira etapa permitiu classificar, com base na sua importância relativa, os Sectores Estratégicos Nacionais (29) e identificar as Infraestruturas críticas (aproximadamente 12 mil).Em Portugal, de uma forma geral, as ICs são cara-terizadas por um elevado grau de intercomunicação e complexidade (interdependência), podendo pe-quenas falhas em sistemas complexos ter conse-quências dramáticas. As questões que se colocam são: ❚ os operadores das principais ICs estão sensibili-zados para as ameaças e vulnerabilidades asso-ciados às suas infraestruturas ?
❚ realizam de forma sistematizada a gestão do risco das mesmas ?
Colaboração é a chavePara João Ribeiro, as “caraterísticas das infraestru-turas podem/devem ser recolhidas com a estreita
colaboração e cooperação entre os sectores público (ex: autarquias, bombeiros, forças policiais e mili-tares, entidades de proteção civil) e o privado (ex.: empresas) para promoção da troca de informação e conhecimento. Ainda segundo este especialista “as ameaças à segurança da informação concentram-se em dois pontos:
1. as vulnerabilidades existentes nos ambientes
1. No lado rodoviário, existem mais de 3.000 km, sendo que a Brisa tem responsabilidade por 1.674 km, em 24 autoestradas, 630 videocâmaras e ainda 700 km de fibra ótica,…
2. No âmbito das ICs ferroviárias, existem três cen-tros de controlo. Mas há ainda 1.117 km de rede principal, 1.640 km com sinalização eletrónica, 1.049 passagens de níveis, 2.379 pontes, 124 tú-neis (dos quais 90 em linhas a serem exploradas), 924 estações (564 em linhas com exploração) ou 28 subestações elétricas (REFER Telecom). Neste caso, têm ainda uma rede nacional em fibra ótica redundante e três centros de dados.
3. Na água, só a EPAL (que abastece 2,9 milhões de pessoas em 34 municípios) conta com 42 reserva-
tórios, 41 estações elevatórias e 1.430 km de rede de distribuição.
4. Nas redes energéticas nacionais, contam-se 8.317 km de linhas aéreas, assentes em 17.845 apoios, 78 subestações críticas “e algumas muito críticas”, (REN). Há ainda 35 centrais hidroelétricas, oito centrais termoelétricas, torres eólicas, 4.000 km de fibra ótica e 25 torres repetidoras de trans-missão em micro-ondas (usadas para “backup”). A REN é ainda responsável por 1.300 km de ga-soduto, 195 estações de gás e três cavernas de armazenamento.
5. Do lado da distribuição, a Galp Energia detém 20 mil postos de venda em Portugal e Espanha – uma “atividade em que o risco zero não existe”.
onde a informação é processada, armazenada ou transmitida e 2. as ameaças externas e internas à segurança da informação nestes ambientes.
A gestão dos riscos para Segurança da Informação (e SI/TIC) deve ser aplicada às ICIs - Infraestruturas Crí-ticas de Informação, abrangendo todas as possíveis e potenciais vulnerabilidades e ameaças!”
Sector Água Gás Elect. Telecoms Road
Agricultura 40% 20% 100% 40% 100%
Minas 100% 20% 100% 100% 100%
Indústria 100% 20% 100% 80% 100%
Elect./Gás/Água 100% 20% 100% 60% 100%
Construção 100% 20% 100% 60% 100%
Grossistas 100% 20% 100% 100% 100%
Retalho 100% 20% 100% 100% 100%
especial | DDoS
20
Allot ServiceProtector A sua primeira linha de defesa contra os ciberataquesO Allot ServiceProtector protege contra o aumento de ciberataques inbound e outbound, cada vez mais complexos e com uma escala maior, que estão desenhados para inundar a rede e interromper a disponibilidade do serviço. Service providers do mundo inteiro dependem desta solução para abrandar ataques volumétricos DoS/DDoS e neutralizar ameaças contínuas antes que estas impactem no serviço de rede e na continuidade do negócio
O Allot Service Protector inspeciona cem por cento do tráfego da sua rede para garantir que nenhuma ameaça passa despercebida.
A criação dinâmica de de regras de filtragem e de uma filtragem minuciosa de pacotes ofensivos evita over-blocking e permite que o tráfego legítimo cir-cule de forma desimpedida, mantendo o seu ne-gócio online e protegido a todo o momento.
Proteção de ameaças contínua O Allot Service Protector deteta e bloqueia auto-maticamente spam, propagação worm e scanning do tráfego das portas gerado por utilizadores bot--infected, de modo a prevenir listas negras DNS e a eliminar loads de tráfego adicionais na sua rede. A Allot identifica a infeção do host e comportamento abusivo, de acordo com atividade outbound anormal e padrões de conexão maliciosos, permitindo tratar a origem da ameaça e os seus sintomas.
CaraterísticasTanto a proteção DDoS como a proteção contínua contra ameaças são entregues através das plata-formas unificadas da Allot para segurança de rede, otimização e entrega de serviço – Allot Ser-vice Gateway e Allot NetEnforcer. O full line-rate 1GE/10GE/100GE possibilita o deployment perto do IP core e Internet exchange points, disponibilizando deteção altamente escalável e totalmente automa-tizada e soluções de mitigação que travam até os ataques DDoS de larga escala.
Deteção de ameaças precisa e mitigação cirúrgicaTecnologias de deteção e análise sofisticada NBAD/ HBAD de anomalias são concebidas para identificar qualquer número e complexidade de ataques DDoS em tempo real e para filtrar de forma cirúrgica apenas o tráfego malicioso. Ao contrário de outras soluções que analisam uma amostra dos pacotes capturados e do fluxo de dados, a Allot recolhe e analisa todos os pacotes
anómalos e metadata em tempo real para garantir precisão e robustez.
Visibilidade das ameaças e reportingOs alertas em tempo real notificam quando uma ameaça é detetada e quando foi mitigada. Logs de mitigação de ataques, detalhados e customizáveis, event analytics, host infection analytics e relatórios de distribuição/curso suportam o plano de segurança da sua empresa e as decisões operacionais e de gestão das ameaças. Uma consola de gestão unificada mo-nitoriza a rede e a atividade dos utilizadores e gere a proteção contra ameaças ao longo de toda a rede.
Performance de confiançaO tráfego capturado de forma passive não acres-centa latência ou ponto de falha à rede, pelo que as aplicações continuam a operar mesmo durante um ataque.
Reforce camadas de segurança já existentesInterfaces opcionais integram-se com dispositivos de outros fabricantes para mitigar os ataque: BGP Blackhole Mitigation and ACLs, incluindo SNORT, TCPDUMP, IPTABLES, Cisco ACL, Cisco PIX, JUNOS 9.4 e Huawei.
Deployment flexívelO Allot Service Protector suporta deployments on--premise, cloud, híbridos e virtuais, para que alcance a solução de segurança que melhor se adapte à sua rede e às suas exigências de eficiência.
Allot
www.allot.comDistribuído pela Arrow
Info
Benefícios-chave:
❚ Proteção da disponibilidade e da eficiência do datacenter ❚ Garantir os SLAs do datacenter e minimizar o risco de
interrupções ❚ Ganhar visibilidade sobre os atacantes e os seus targets,
na sua cloud
Os datacenters cloud estão desenhados para ajudar os negócios a reduzir custos e a maximizar a eficiência do IT. Isto é alcançado através da criação de piscinas de recursos virtualizados interligadas entre si, que são partilhadas
entre múltiplos datacenters, com diversas localizações. Apesar da elevada agilidade e custo-benefício, os data-centers de cloud estão mais vulneráveis a ameaças DDoS ou todas as que implique tráfego malicioso destinado a sobrecarregar e a esgotar a computação e os recursos de processamento dos servidores. Uma proteção cirúrgica DoS/DDoS neutraliza estes ataques em segundos, ao detetar, identificar e filtra rapidamente pacotes DDoS, ao mesmo tempo que permite que o tráfego legítimo circule sem impedimentos.
Adv
erto
rial
Mitigação de ataques DDoS em tempo real
O sensor deteta anomalias de tráfego
consistentes com ataques DDoS
Encontra padrões repetitivos e cria uma assinatura
customizada para filtrar os pacotes
ofensivos
Mitigação cirúrgica aplicada automaticamente,
ou assente em verificação manual
Relatório e estatísticas
detalhados sobre os problemas do
sistema
21
DDoS | especial
DDoS Protector Appliance da Check PointAs DDoS Protector Appliances da Check Point mantêm os negócios ativos com uma proteção customizável em multi-layer até 40Gbps, que automaticamente defende a sua rede contra ataques DDoS com uma resposta rápida mesmo nas ameaças mais sofisticadas
Checkpoint
www.checkpoint.comDistribuído pela Arrow
Info
As DDoS Protector Appliances oferecem op-ções de deployment para facilmente pro-teger qualquer dimensão de negócio numa
gestão de segurança integrada com análise tempo real, para uma proteção avançada contra qualquer tipo de ataque DDoS. A Check Point também ofe-rece suporte dedicado 24/7, dispondo de recursos que permitem intervir imediatamente, ajudando os administradores de sistemas e de redes a mitigarem este tipo de ataques.
Caraterísticas principais
❚ Protege contra ataques DDoS, tanto os já conhe-cidos como novos ataques, em poucos segundos;
❚ Defende tanto ataques à rede como as aplica-ções;
❚ Sistema único em tempo real de signature para a continuidade de tráfego legítimo;
❚ Filtros flexíveis detetam e evitam exploits ma-liciosos;
❚ Proteção contra ataques HTTP; ❚ Proteção contra ataques à rede e tráfego volu-métrico;
❚ Criação rápida de signature customizáveis.
Principais benefícios
❚ Proteção contra ataques DDoS; ❚ Tecnologia avançada que permite manter os serviços Web durante um ataque;
❚ Equipamentos chave-na-mão, prontos a fun-cionar;
❚ Integração com o Check Point Security Manage-ment para melhor visualização e controlo;
❚ Soluções DDoS de alto desempenho, com até 40Gbps de taxa de transferência;
❚ Proteção em blocos multi-layered para vários tipos de ataques;
❚ Proteção customizada para diferentes dimen-sões de negócios e necessidades de segurança.
Advertorial
Proteção Multi-Layer contra ataques à rede e volumétricos- Behavioral DoS – proteção contra TCP, UDP, ICMP, IGMP e ataques fragmentados DDoS, baseada em deteção e proteção adaptativa. - DoS Shield – proteção contra ferramentas conhecidas de ataques DDoS com filtros pré-definidos e customizados para bloquear ataques com taxas-limites por padrão.- Syn Protection – bloqueia ataques SYN-spoofed com li-miares de taxas SYN por servidor protegido; - Black List – bloqueia ataques genéricos com L3 e L4, com classificações origem-destino e regras de validade temporal; - Connection Rate Limit – bloqueia ataques aos protocolos não suportados (DNS, HTTP) e estabelece limites às aplicações em ataques volumétricos.
Proteção contra ataques DOS/DDOS a aplicaçõesProteção contra os mais complexos ataques DDoS que fazem uso dos recursos das aplicações:- SYN Protection withWeb Challenge – protege contra ataques baseados em ligações HTTP com limite de taxa e SYN, e web challenge/response por servidor protegido.- Behavioral DNS Protections – bloqueia as DNS query du-rante os ataques DoS, com deteção baseada em análise com-portamental e adaptativa da pegada DNS, limites de taxa de transferência e DNS challenge e response.- Behavioral HTTP Protections (“HTTP Mitigator”) – blo-queia ataques DoS baseados em ligações HTTP e ataques de largura de banda upstream com HTTP com deteção baseada em servidor para uma resposta adaptativa e comportamental da pegada HTTP.- Proteção Directed Aplication DOS/DDOS – repele ataques DoS e DDoS que requerem critérios de filtragem especiais. Definições de filtragem flexíveis procuram padrões de con-teúdo específicos em cada pacote. Oferece a capacidade de analisar e bloquear ataques em curso através da definição de proteções on-the-fly.
GestãoAs Appliances DDoS são integráveis com o Check Point Security Management, incluindo:- SmartEvent Segurança unificada e solução de análise que fornece infor-mações em tempo real na gestão de ameaças para as travar instantaneamente e bloquear ataques através de proteções on-the-fly. Mudança do modo de gestão para o modo de investigação em apenas três cliques.- SmartLog Analisador de logs avançado que fornece inteligência de segu-rança pró-ativa com resultados de pesquisa em frações de se-gundo, a partir de qualquer campo de log, para visionamento instantâneo de milhares de milhões de registos de log ao longo de vários períodos de tempo e domínios.- SmartView Tracker Solução abrangente de auditoria para solucionar problemas do sistema e de segurança, reunir informações para fins legais ou de auditoria, e gerar relatórios para analisar os padrões de tráfego de rede. No caso de um ataque ou outra atividades suspeitas na rede, recorra ao SmartView Tracker para encerrar temporariamente ou permanentemente conexões de ende-reços IP específicos.
Alertas SNMP V1, 2C and 3, Log File, Syslog, Email
ConfiguraçãoSNMP, V1, 2C, 3, HTTP, HTTPS, SSH, Telnet, SOAP, API, Con-sola (selecionável pelo utilizador).
Sincronização de relógioBaseado no Network Time Protocol (NTP).
Exportação de Signatures em Tempo Real Interface XML Northbound exporta parâmetros comporta-mentais.
A Check Point dispõe de 10 modelos de aplliances divididas em 3 famílias de produtos de acordo com o volume de tráfego; X06 para empresas; X412 para datacenters; X420 para grandes datacenter e operadores.
especial | DDoS
22
Os ataques DNS são as frentes de ciberataque que apresentam um crescimento mais rápido e que, por isso, exigem uma resposta à altura
Infoblox DNS Security Proteção contra o maior espetro de ataques DNS
Segurança, disponibilidade e integridade são as três principais preocupações no que respeito à infraestrutura DNA. Os cibercriminosos
procuram as ligações mais fracas e os pontos de pressão que lhes permitam atingir ou explorar de forma ilegal os negócios. E, pela sua natureza, o protocolo de Domain Name System (DNS) é fácil de violar. Como resultado, os ciberatasques a servidores DNS estão a aumentar Os ataques DDoS a infraestruturas deste género são desenhados para deitar abaixo os servidores DNS e para consumir recursos de rede, interferindo, assim, com aplicações de IT críticas, como por exemplo e--mails, websites, VoIP e software as a service (SaaS). Só o ano passado, os ataques DNS aumentaram mais de 216 por cento. Os danos têm custos avul-tados, com a consultora Forrester a estimar custos de 100 mil dólares por hora no decorrer de um ataque DDoS, sem incluir perda de clientes ou danos infli-gidos sobre a própria empresa/marca.O rapto de DNS compromete a sua integridade e re-direciona os utilizadores para um site fictício contro-lado pelos atacantes, o que resulta no roubo de infor-mação sensível e na perda de receitas. Os ataques DNS também são utilizado como distrações, cujo único pro-pósito é desviar a atenção do roubo de informação, uma prática denominada de “smoke screening”.
Mitigar o problema com o Infoblox DNS SecurityO Infoblox DNS Security protege contra a mais ampla variedade de ataques DNS, como por exemplo ata-ques volumétricos, exploits, NXDOMAIN e sequestro de DNS. Ao contrário de outras abordagens, que as-sentam num provisionamento excessivo de infraes-trutura ou numa simples limitação à taxa de resposta, esta solução deteta e mitiga ataques DNS, ao mesmo tempo que responde apenas queries legítimas. Além do mais, recorre à tecnologia Infoblox Threat Adapt para atualizar automaticamente a sua defesa contra novas e crescentes ameaças à medida que estas vão surgindo, sem necessidade de patching. O Threat Adapt utiliza uma análise e pesquisa inde-pendentes sobre as técnicas de ataque que estão a emergir, incluindo o que tenha sido observado nas redes do consumidor. O objetivo é manter a pro-teção atualizada e moldá-la de modo a que reflita as mudanças de configuração do DNS.
Caraterísticas principais
❚ Proteção com monitorização contínua, deteção e interrupção de todo o tipo de ataques DNS, incluindo volumétricos e exploit, de modo a manter a integridade do DNS;
❚ Informação sobre as ameaças recorrendo à mais recente threat intelligence e proteção que se adapta para refletir as alterações na configuração do DNS – tudo sem downtime ou patching;
❚ Visibilidade global dos ataques: sobre o tipo de ataques e das suas fontes;
❚ Limites de tráfico configuráveis de acordo com parâmetros definidos;
❚ Processadores de última geração que permitem entregar computação dedicada à mitigação das ameaças;
❚ Uma ampla família de dispositivos robustos que se adaptam a qualquer ambiente de rede;
❚ POC/trial: monitorização e deteção dos ataques sem bloqueio dos mesmos ou configuração que
As Advanced Appliances estão disponíveis em três plataformas físicas ou virtuais, que incluem pro-cessadores programáveis de última geração para entregar computação específica para a mitigação da ameaça. Oferecem opções de alimentação AC e DC. Os três modelos disponíveis são: PT- 1400, PT-2200 e PT- 4000, que tem opção para 1-GigE ou 10-GigE.
Adv
erto
rial
Infoblox
www.infoblox.comDistribuído pela Arrow
Info
O que compõe esta solução?
- Infoblox Advanced Appliance: um servidor DNS que é concebido com a segurança em mente, dado que inclui segu-rança embutida. Esta solução recorre a um computador que filtra os ataques antes que estes alcancem o servidor DNS ou aplicação.
- Infoblox DNS Security Service: software com tecnologia Threat Adapt, que proporciona ao servidor DNS proteção contínua contra novas ameaças e contra as já existentes; monitoriza de forma contínua, deteta e interrompe diversos tipo de ataques DNS – incluindo ataques volumétricos e não volumétricos, enquanto responde a solicitações legítimas. Mantém a integridade do DNS, que pode ficar comprometida por ataques que pretendam raptá-lo. Através de relatórios
recorre a port mirroring para detetar ameaças; ❚ Infoblox Grid patenteda: automatiza todas as configurações e atualizações dos dispositivos, disponibilizando uma política de segurança rápida e automatizada a todas as Infoblox Advanced Appliances .
Principais benefícios
❚ Serviços DNS de confiança e resilientes, através da identificação e bloqueio dos ataques DNS;
❚ Negócio protegido contra a perda de receitas e dos danos causados à empresa devido ao down-time da rede;
❚ Observação dos ataques ao longo da rede à medida que estes surgem e atuação com base em informação detalhada;
❚ Customização da proteção com base nos pa-drões de tráfego únicos do seu DNS;
❚ Manutenção dos serviços DNS a funcionar, mesmo quando sob ataque.
e alertas abrangentes, o DNS Security disponibiliza visua-lizações detalhadas sobre pontos de ataque ao longo da rede e sobre fontes do ataque, entregando o conhecimento necessário a uma tomada de ação. Os relatórios podem ser acedidos através do Infoblox Reporting Server. O DNS Secu-rity distingue-se por ser rápido de instalar e fácil de utilizar. Depois de instalado, começa imediatamente a bloquear ata-ques – mesmo se estes estiverem já a decorrer.
Deixe a ARROW ajudá-lo a proteger a Infraestrutura dos seus clientes.
Zero Day
APTsDDoS
Botnet
ARROWECS PORTUGAL - SOC. UNIPESSOAL, LDAAv. D. João II, 1.17.03 2° C / D – Central Office | 1990-084 Lisboa - Parque das Nações | Tel. +351 21 893 31 00 | [email protected] | www.arrowecs.pt
especial | DDoS
24
Como analisa o nível de ameaça de um ataque DDoS?Estamos a falar de golpes altamente dirigidos e que representam um risco sério para as empresas de hoje. A dificuldade em travar este tipo de ata-ques, por parte dos fabricantes de segurança, é muito elevada.
Um ataque DDoS é muitas vezes uma ação trans-fronteiriça; o cliente encontra-se num país, o exe-cutor noutro, os servidores C&C estão alojados num terceiro e as bots que participam no ataque encontram-se dispersas por todo o mundo. Isto faz com que seja mais complicado investigar os ataques, derrubar botnets e deter os responsáveis. Embora os cibercriminosos não limitem os seus kits DDoS a ferramentas para redes de bots, estas continuam a ser uma ferramenta muito usada e pe-rigosa, e exige medidas preventivas de protecção por parte dos possíveis alvos, ou seja, dos recursos web.
Só para termos uma ideia da dimensão desta ameaça, já no primeiro trimestre deste ano foram perpetrados mais de 23 mil ataques DDoS (ataques de denegação de serviço) através de botnets aos recursos web em 76 países. Estamos a falar de um período de apenas três meses!
Considera, então, que é uma batalha perdida?Nem pensar! As empresas de segurança TI lutam contra os ataques DDoS e as botnets em particular, encontrando e agre-gando às bases de assinaturas novos programas maliciosos, protegendo os servidores contra ataques e os ordena-dores contra as infecções, impondo limites às ac-tividades dos servidores de administração, etc. É verdade que, apesar de tudo isto, os ataques DDoS
continuam a ser dos instrumentos mais populares para os cibercriminosos e, por isso, não devemos travar esta luta sozinhos, mas termos a colabo-
ração das potenciais vítimas, ou seja, das empresas. Estas têm o dever, cada vez mais, de tomar as medidas adequadas para se defenderem.
Que ferramentas e métodos são mais adequadas quando se descobrem tentativas de ataques DDoS? As ferramentas mais fortes tanto para clientes como para grandes ISPs é, sem dúvida, a implementação de filtros efi-cazes. Mas para implementar
isso há que investigar a ameaça. É por isso que é importante capturar a bot responsável pelo ataque DDoS e analisá-la cuidadosamente. A so-
Para termos uma ideia desta ameaça,
só no primeiro trimestre deste ano foram perpetrados
mais de 23.000 ataques DDoS em
76 países
A Kaspersky Lab conta com os melhores investigadores do mundo para estar sempre um passo à frente dos cibercriminosos que, muitas vezes a soldo, procuram atacar alvos específicos de empresas, organizações e países, em busca de informação sensível e valiosa. Alfonso Ramirez, Diretor-Geral da Kaspersky Lab Ibéria, fala sobre esta permanente batalha contra os ataques dirigidos
Nenhuma empresa está a salvo
Adv
erto
rial
www.itchannel.pt
25
DDoS | especial
lução final é ter o controlo do mecanismo da botnet e neutralizá-la partir do centro. É esta a abordagem da Kaspersky Lab e é assim que temos neutralizado muitos dos piores ataques DDoS jamais detetados.
Como colaboram com as agências governamentais de cibersegurança?A Kaspersky Lab trabalha em estreita cola-boração com as agências governamentais a nível internacional para combater o ciber-crime e as ameaças emergentes, especial-mente no que se refere às ameaças a in-fraestruturas críticas para os países. Ataques como o Dragonfly, Machete ou Careto têm mostrado que os centros de inteligência, em-
baixadas e indústrias, como a energia ou os metais, são alvos preferenciais dos ataques altamente dirigidos. É muito importante, por isso, um esforço coletivo na luta contra os cibercriminosos para tornar a Internet um lugar mais seguro. Desde 2013 que a Kaspersky Lab trabalha em estreita colaboração com a Interpol, bem como agências responsáveis pela cibersegu-rança a nível local, incluindo em Portugal.
Têm notado um aumento recente no número de ameaças?As ameaças estão sempre a aumentar, com os ata-ques a tornar-se cada vez mais furtivos e sofisti-cados, e com uma estratégia definida e objetivo específico. O número de empresas e organizações afetadas por ciberataques em 2014 foi 2,4 vezes maior do que no ano anterior, sobretudo graças aos ataques dirigidos e às campanhas maliciosas desti-nadas a empresas, governos, instituições públicas e privadas, alvos que se destacam especialmente em termos de escala e de impacto. Sabemos que, ao fazer o balanço de 2015, este cenário não será diferente.
Como estão, então, a enfrentar este tipo de ataques?Na Kaspersky Lab acreditamos que é fundamental investir todos os dias em I&D e ter o melhor grupo de analistas de segurança, capaz de antecipar ci-
berameaças, tendências, alvos, formas de ataque e prevenir essas campanhas de terem sucesso. Mas lutar contra a cibercriminalidade exige também uma grande consciência por parte de empresas e utilizadores, sem isso é impossível obter uma proteção total.
Sendo a Europa um mercado dominado por PMEs, tradicionalmente menos preparadas que as grandes empresas, considera que é uma região em risco?É difícil quantificar as PME europeias que já sofreram uma quebra de segurança, mas a verdade é que estas empresas têm menos recursos para investir em TI, e como resultado são mais vulneráveis. As ciberameaças destinam-se a empresas de qualquer tamanho, e as PME não são excepção.
De acordo com os nossos dados estatísticos, ne-nhuma empresa está a salvo da ciberespionagem e até mesmo empresas muito pequenas podem tornar-se um alvo directo pelo tipo de informação sensível ou valiosa que possuem. Para as PME, é fácil descartar a ameaça potencial da ciberespio-nagem e ciberterrorismo, acreditando erradamente
É necessária a implementação de uma plataforma de segurança capaz de lidar com qualquer
dispositivo e sistema operativo
que só os países e as grandes multinacio-nais são alvos preferenciais. Esta falsa sen-sação de segurança pode levar as empresas a ter uma atitude relaxada na protecção dos seus sistemas e dados, tornando-se mais vulneráveis.
Na sua opinião, o que deveria uma empresa fazer para ter uma infraestrutura de segurança eficaz?As empresas devem adaptar as suas po-líticas de segurança tanto ao aumento das ameaças como à diversidade dos dispositivos existentes na organização, e que podem, por si só, serem vectores de ataque. A política de segurança deve in-cluir antimalware, controlo de endpoints, encriptação de dados, gestão de patches e ferramentas de administração e gestão centralizada de todas as funções para proteger toda a sua informação. Os fabri-cantes devem proporcionar às empresas suites de segurança multi-dispositivo, ca-pazes de protegerem todos os dispositivos da empresa. Estas soluções são os mais abrangentes para as empresas, mas se-gundo os nossos dados apenas 21% as usam.
É necessária a implementação de uma plataforma de segurança capaz de lidar com qualquer dispositivo e sistema operativo. Deve abranger, como já referi, todos os dispositivos, incluindo smartphones, a partir dos quais é possível aceder a informações sensíveis, para evitar a fuga ou roubo de dados, que possam causar danos à empresa. Mas não podemos esquecer os colaboradores das empresas, que devem estar cientes dos riscos a que expõem a sua organização a agir com cautela e lógica e não tornar-se o elo mais fraco na segurança das TI.
As empresas devem adaptar as suas políticas de segurança tanto ao aumento das ameaças como à diversidade
dos dispositivos existentes na organização
Alfonso Ramirez, Director-Geral da Kaspersky Lab Ibéria