Όλες οι επιχειρήσεις, και ιδιαίτερα εκείνες που βασίζονται στην διαθεσιμότητα υπηρεσιών internet, ή διαχειρίζονται “ευαίσθητα” οφείλουν να λειτουργούν θεωρώντας πως αργά ή γρήγορα θα εκτεθούν σε κάποια απειλή, εάν αυτό δεν έχει συμβεί ήδη, όπως αναφέρει ο Marco Gioanola, Consulting Engineer EMEA της Arbor Networks.
Συνέντευξη τον Γιάννη ΛΕΟΝΤΑΡΗ
EMEA.GR: Ποιοί είναι οι πιο «δημοφιλείς» διαδικτυακοί κίνδυνοι σήμερα για φορείς και εταιρίες;
Σύμφωνα με την 9η Παγκόσμια ετήσια έκθεση για την ασφάλεια υποδομών της Arbor Networks, οι επιθέσεις DDoS είναι με διαφορά οι πιο σημαντικές επιχειρησιακές απειλές που αντιμετώπισαν οι εταιρείες που συμμετείχαν στην έρευνα. Στην πρόσφατη έκθεση, συγκεντρώσαμε στοιχεία από εκατοντάδες παρόχους υπηρεσιών, από μεσαίες και μεγάλες επιχειρήσεις, από παρόχους υπηρεσιών cloud, από εκπαιδευτικούς και κυβερνητικούς φορείς κ.α. Αξίζει να σημειωθεί ότι το από το σύνολο των ερωτηθέντων, το 65% ανέφερε τις επιθέσεις DDoS στις υποδομές δικτύου και το 57% τις επιθέσεις DDoS στις υπηρεσίες DNS, ως μια από τις κύριες ανησυχίες τους για το τρέχον έτος.
EMEA.GR: Σε τί συνίστανται ακριβώς οι δικτυακές επιθέσεις τύπου DDoS, ποιά είναι τα «συμπτώματά» τους και ποιούς φορείς – εταιρείες αφορούν περισσότερο
Τα “συμπτώματα” των επιθέσεων DDoS ποικίλουν. Ξεκινούν από την “απλή” καθυστέρηση ορισμένων υπηρεσιών internet που διαθέτει η εταιρεία που έχει πέσει θύμα της επίθεσης και εκτείνονται μέχρι και σε καταστροφικές διακοπές λειτουργίας σε παγκόσμιο επίπεδο.
Οι επιθέσεις ποικίλουν ανάλογα με τη μεθοδολογία και το μέγεθος της κίνησης. Υπάρχουν δύο κύριες τάσεις αναφορικά με τη μεθοδολογία που χρησιμοποιείται: Οι “εθελοντικές” επιθέσεις και οι επιθέσεις που βασίζονται σε δίκτυα botnet.
Με τον όρο “εθελοντικές” επιθέσεις περιγράφουμε τις περιπτώσεις εκείνες όπου ένας σχετικά μικρός αριθμός επιτιθέμενων, που συντονίζεται μέσω διαφόρων online υπηρεσιών, συμφωνούν να κάνουν χρήση ενός ή περισσότερων εργαλείων με σκοπό να δημιουργήσουν κίνηση προς το «θύμα» σε συγκεκριμένο χρόνο και συνήθως για ένα προκαθορισμένο χρονικό διάστημα.
Οι επιθέσεις που βασίζονται σε botnets, από την άλλη πλευρά, χρησιμοποιούν μεγάλα δίκτυα προσβεβλημένων υπολογιστών τα οποία συχνά “ενοικιάζονται” με σκοπό να συμμετάσχουν σε επιθέσεις χωρίς καν οι νόμιμοι κάτοχοι τους να το γνωρίζουν.
Και στις δύο περιπτώσεις, ανάλογα με τον αριθμό και το είδος των πόρων που χρησιμοποιούνται, οι επιθέσεις μπορούν να έχουν τη μορφή είτε των ιδιαίτερα σκληρών ογκομετρικά επιθέσεων είτε εκείνη των “εξυπνότερων”, στοχευμένων επιθέσεων σε επίπεδο εφαρμογής. Για παρόμοιους λόγους, τα μεγέθη των επιθέσεων ποικίλουν από μερικές δεκάδες Megabits ανά δευτερόλεπτο έως μερικές εκατοντάδες Gigabits ανά δευτερόλεπτο κίνησης.
Αυτό που διαπιστώνουμε συνεχώς είναι ότι δεν υπάρχει κάποιος συγκεκριμένος τύπος επιχείρησης ο οποίος να μπορεί να θεωρηθεί ότι είναι “ασφαλής” από επιθέσεις DDoS. Όλες οι υπηρεσίες γύρω από το internet έχουν επηρεαστεί.
Πιο συγκεκριμένα, βλέπουμε 2 κύριες κατηγορίες “θυμάτων”. Στην πρώτη κατηγορία εντάσσονται όσοι στοχοποιούνται για πολιτικούς ή ιδεολογικούς λόγους, όπως κυβερνητικοί φορείς και τράπεζες, ενώ στη δεύτερη εκείνοι που στοχοποιούνται για λόγους οικονομικούς ή ανταγωνισμού, όπως επιχειρήσεις ηλεκτρονικού εμπορίου ή κοινότητες online gaming όπου οι παίκτες επιτίθενται ο ένας στον άλλο.
EMEA.GR: Σε τί συνίστανται οι επαναλαμβανόμενες διαδικτυακές επιθέσεις τύπου «Advanced Persistent Threats», ποιά είναι τα στοιχεία για την «αναγνώρισή» τους, και ποιούς φορείς – εταιρείες αφορούν περισσότερο;
Ο όρος «Advanced Persistent Threats» δημιουργήθηκε για να περιγράψει ένα μεγάλο φάσμα επιθέσεων οι οποίες συνήθως κάνουν χρήση μιας ευρείας γκάμας τεχνικών για μεγάλο χρονικό διάστημα και οι οποίες συχνά συνίστανται σε «αργές» διεισδύσεις στο δίκτυο του «θύματος», αξιοποιώντας zero-day ευπάθειες και στρατηγικές social-engineering.
Το κύριο χαρακτηριστικό αυτών των απειλών είναι ότι προσπαθούν με κάθε τρόπο να αποφύγουν τον εντοπισμό τους, έτσι ώστε αρκετά συχνά το “θύμα” να μην γνωρίζει ότι έχει εκτεθεί σε κάποια απειλή.
Όλες οι επιχειρήσεις οι οποίες βασίζονται στην διαθεσιμότητα υπηρεσιών internet για να λειτουργήσουν ή διαχειρίζονται “ευαίσθητα” δεδομένα όπως οικονομικές πληροφορίες, συστήματα υγειονομικής περίθαλψης, κυβερνητικά έγγραφα ή εμπορικά στοιχεία οφείλουν να είναι ιδιαίτερα προβληματισμένες για την ασφάλεια των δεδομένων τους και να σχεδιάσουν μια στρατηγική ασφαλείας βασισμένες στην υπόθεση ότι αργά ή γρήγορα θα εκτεθούν σε κάποια απειλή, εάν αυτό δεν έχει συμβεί ήδη.
EMEA.GR: Ποιές είναι οι κυριότερες ενέργειες που θα πρέπει να κάνει ένας IT manager για να αντιμετωπίσει τις παραπάνω απειλές;
Η κατάλληλη προετοιμασία αποτελεί κλειδί για την αντιμετώπιση τόσο των επιθέσεων DDoS όσο και των προηγμένων διαρκών απειλών. Προετοιμάστε συγκεκριμένες ομάδες ασφαλείας, δημιουργήστε διαδικασίες αντιμετώπισης ενδεχόμενων περιστατικών, προετοιμάστε τα εργαλεία που θα σας είναι απαραίτητα κατά τη διάρκεια που θα αμύνεστε της επίθεσης αλλά και εκείνα που θα χρειαστείτε με το πέρας αυτής. Μην αυτοσχεδιάζετε. Καθορίστε ξεκάθαρα τις αρμοδιότητες και τα budget και σχεδιάστε επενδύσεις στη σωστή τεχνολογία.
EMEA.GR: Ποιά είναι η δική σας εικόνα για την εξάπλωση των παραπάνω απειλών στην Ελλάδα τόσο στον ιδιωτικό, όσο και στο Δημόσιο τομέα;
Δυστυχώς, στην περιοχή της νότιας Ευρώπης έχουμε ακόμα πολύ δρόμο να διανύσουμε όσον αφορά την ανταλλαγή πληροφοριών σχετικά με συμβάντα ασφαλείας. Υπάρχουν πολύ λίγα στοιχεία αναφορικά με τη συχνότητα και το είδος των επιθέσεων, ειδικά για περιπτώσεις απώλειας δεδομένων ή παραβιάσεων.
Είναι κρίμα διότι ακόμα και η δημοσιοποίηση επιβλαβών εμπειριών αλλά και των προσπαθειών που έγιναν για να αντιμετωπιστούν τα προβλήματα, τελικά συνεισφέρει στο να δημιουργηθούν καλύτεροι δεσμοί εμπιστοσύνης ανάμεσα στις εταιρείες και στους καταναλωτές.
Εμείς από την πλευρά μας επεκτείνουμε την πλατφόρμα ATLAS στη νότια Ευρώπη ελπίζοντας ότι σύντομα θα έχουμε περισσότερα δεδομένα για τις επιθέσεις DDoS τόσο για την Ελλάδα αλλά και για ολόκληρη την περιοχή. Η πλατφόρμα ATLAS της Arbor αποτελεί μια παγκόσμια προσπάθεια παρακολούθησης online απειλών όπου οι πελάτες μας μοιράζονται ανώνυμα δεδομένα και πληροφορίες σχετικά με τη συχνότητα και το μέγεθος των επιθέσεων.
Επί του παρόντος χρησιμοποιείται από την Google για να οπτικοποιεί τα στοιχεία των επιθέσεων DDoS που γίνονται παγκόσμια. Τα αποτελέσματα παρουσιάζονται στο website www.digitalattackmap.com.
EMEA.GR: Με ποιούς τρόπους μπορεί να βοηθήσει η Arbor Networks στην αντιμετώπιση των παραπάνω απειλών, και ποιά θεωρείτε ότι είναι τα πλεονεκτήματα της εταιρείας έναντι των ανταγωνιστών της;
Η Arbor Networks διαθέτει περισσότερα από δέκα έτη εμπειρίας με τα μεγαλύτερα εταιρικά και ISP δίκτυα παγκοσμίως, στους τομείς της ανίχνευσης απειλών και αντιμετώπισης επιθέσεων DDoS. Η τεχνολογία μας είναι μακράν η πρωτοπόρος στην αγορά αντιμετώπισης επιθέσεων DDoS. Πιστεύουμε ακράδαντα στη δύναμη που προσφέρει η ορατότητα (visibility) σε ολόκληρο το εύρος του δικτύου και αυτό διότι δεν μπορείς να προστατέψεις κάτι το οποίο δε βλέπεις.
Τα συστήματά μας παρέχουν τις δυνατότητες ορατότητας και ανίχνευσης απειλών με τέτοιο τρόπο ώστε να μπορούν να επεκταθούν ακόμα και στα πιο πολύπλοκα δίκτυα ενώ παράλληλα προσφέρουμε τις πιο ακριβείς και ισχυρές λύσεις αντιμετώπισης απειλών που κυκλοφορούν στην αγορά σήμερα.
Πριν λίγο καιρό ανακοινώσαμε την κυκλοφορία του Pravail Security Analytics, για το οποίο βασιστήκαμε σε τεχνολογίες της Αυστραλιανής εταιρείας Packetloop, που απέκτησε πρόσφατα η Arbor. Πρόκειται για ένα ιδιαίτερα ισχυρό εργαλείο ανάλυσης κίνησης ενός δικτύου, ικανό να διαχειριστεί Terabytes δεδομένων σε πρωτοφανή επίπεδα λεπτομέρειας. Ουσιαστικά είναι μια πραγματική μηχανή του χρόνου, αφού μπορεί να εξετάσει εκ νέου παλαιότερα δεδομένα κίνησης υπό το πρίσμα όμως των πιο πρόσφατων επιτευγμάτων στον τομέα της ασφάλειας.
EMEA.GR: Εκτιμάτε πως στο άμεσο μέλλον τη «θέση» των παραπάνω διαδικτυακών απειλών θα πάρει κάποια νέα μορφή απειλής, και εάν ναι, ποιές είναι οι προτεινόμενες προληπτικές ενέργειες για αυτό;
Όπως αναφέραμε και προηγουμένως, πιστεύουμε στην ορατότητα (visibility). Η δημιουργία υποδομών οι οποίες μπορούν να παρακολουθούν και να αναλύουν “συμπεριφορικά” την κίνηση σε ένα δίκτυο είναι εξαιρετικά σημαντική, διότι μόνο με αυτό το είδος πληροφοριών μπορούμε να ανιχνεύσουμε τις μελλοντικές απειλές. Θεωρούμε ότι η ανίχνευση ανωμαλιών στην κίνηση ενός δικτύου μπορεί να συμβεί με ένα τρόπο που δε θα προσβάλλει αλλά θα σέβεται την ιδιωτική ζωή του χρήστη. Το internet πρόκειται να αντιμετωπίσει μεγάλες προκλήσεις σχετικά με τις υποδομές στο μέλλον: η υιοθέτηση του IPv6, DNSSEC, οι προσπάθειες να ασφαλιστεί το BGP, η αύξηση του mobile connectivity, η εκμετάλλευση νόμιμων εφαρμογών για επιθέσεις amplification, κλπ. Για κάθε ένα από αυτά τα θέματα ανοίγεται μπροστά μας ένας τεράστιος αριθμός άγνωστων πιθανοτήτων και απειλών.
