Pastarosiomis dienomis per Lietuvą nusirito paskirstytųjų paslaugų trikdymo (angl. Distributed Denial of Service, DDoS) atakų banga, kurios metu įvairių įstaigų ir įmonių sistemos buvo bombarduotos užklausomis iš milijonų užkrėstų kompiuterių, telefonų ir kitų įrenginių, tokiu būdu siekiant jas padaryti nepasiekiamas teisėtiems vartotojams.
„Paskutinių dienų įvykiai leido suprasti, kad gyvename naujoje realybėje, kurioje kibernetinės atakos tampa kiekvienos šiuolaikinės organizacijos kasdienybe. Jos gali ilgam laikui sutrikdyti veiklą ir lemti nemenkus nuostolius, todėl įmonės nebegali sau leisti galvoti tik apie žalos mažinimą ir turi pasirūpinti tinkamu kibernetiniu imunitetu. Gera žinia, jog apsaugos priemonių nuo DDoS yra ir jos šias atakas gali paversti net nejuntamomis“, – pranešime spaudai teigia „Telia“ saugos komandos vadovė Odeta Baranauskienė.
Įvykdyti DDoS tampa vis lengviau
Pasak O. Baranauskienės, DDoS atakos esmę geriausiai padeda paaiškinti analogija, kurioje organizacijos internetinis puslapis ar sistema yra vieša kelis šimtus vietų turinti automobilių stovėjimo aikštelė. Kol ja naudojasi įprasti klientai, eismas vyksta tinkamai, tačiau vieną dieną piktavaliams į ją sukvietus tūkstančius ar milijonus automobilių, susiformuoja kamštis ir klientai nebeturi galimybės privažiuoti bei pasinaudoti įmonės paslaugomis.
„Praeityje suorganizuoti tokias atakas būdavo brangu, nes programišiams tekdavo nelengva užduotis užgrobti didelį skaičių pakankamai gerai apsaugotų kompiuterių, planšečių ar telefonų. Tačiau namuose ir biuruose daugėja įvairių daiktų interneto (IoT) įrenginių, tokių kaip stebėjimo kameros, išmaniosios lemputės ar garsiakalbiai, o jų apsauga dar nėra taip pažengusi, todėl DDoS piktavaliams tampa vis labiau prieinamomis“, – įspėja pašnekovė.
Nedidelę ataką, kuri galėtų reikšmingam laikotarpiui sutrikdyti smulkios įmonės veiklą, šiuo metu galima suorganizuoti vos už keletą eurų arba net visiškai nemokamai. Tuo metu didesnės apimties DDoS taip pat nėra itin brangios – jų kainos prasideda nuo kelių šimtų ar tūkstančių eurų, tačiau jų padaryta žala gali būti šimtais kartų didesnė. Tai reiškia, jog tokias atakas gali vykdyti ne tik priešiškų valstybių samdiniai, bet ir pakenkti siekiantys konkurentai.
Kita vertus, vis didesne pastarųjų dienų problema tampa ne DDoS atakoje dalyvaujančių įrenginių skaičius, bet atakos dydis, pobūdis ir infrastruktūros, į kurią taikomasi, atsparumas. Pasak „Telia“ ekspertės, IT sistemas griauna ne tik galingos atakos, jas sėkmingai paralyžiuoja ir plačiai paskleistos ar nestiprios, bet labai tikslinės atakos, kurias gali sustiprinti į vieną sumą susidėję įvairūs faktoriai. Tad tęsiant palyginimą su stovėjimo aikštele, į ją įleidžiamų automobilių skaičių galime nesunkiai padidinti, tačiau surasti kiekvienam jų stovėjimo vietą yra kur kas sudėtingesnė užduotis.
Prevencija geriau už gydymą
„Telia“ saugos komandos vadovės nuomone, turint omenyje augančias atakų apimtis ir jų sudėtingumą, šiais laikais apsauga nuo DDoS turėtų pasirūpinti kiekviena įmonė, vykdanti bet kokią veiklą internete.
„Įsidiegti apsaugos nuo DDoS sistemą gali būti pakankamai brangu, o ir daugeliui organizacijų dažnai neprireikia tokios sudėtingos apsaugos. Kur kas racionalesnis sprendimas būtų pasirinkti apsaugos nuo DDoS atakų paslaugą, kurią galima įsigyti iš specializuotų debesijos sprendimų įmonių, prieglobos paslaugų teikėjo ar netgi ryšio operatoriaus. Žinoma, šios paslaugos yra skirtingos – skiriasi jų kaina, suteikiamos apsaugos pobūdis ir lygis“, – pranešime spaudai pataria ekspertė.
Dėl šios priežasties verslui svarbu įvertinti savo poreikius ir paslaugų ypatumus, srauto valdymo priemones, pajėgumą, valdomus atakų tipus bei kitus svarbius kriterijus. Pasirinkus tinkamą apsaugos nuo DDoS paslaugą, įmonės atakos gali net nepajusti. Anot O. Baranauskienės, DDoS apsaugą įsigijusių „Telia“ klientų interneto srautas yra nuolat filtruojamas ir analizuojamas, todėl nuo atakų veikla nenukenčia ar yra sutrikdoma tik minimaliai.
„Jei užfiksuojamas neįprastai didelis ar specifinis srautas bei kiti DDoS būdingi požymiai, „Telia“ sistema automatiškai kliento svetainę paverčia nepasiekiama iš šalių, kurios neaktualios, bet išlaiko ją atvirą vartotojams Lietuvoje. Klientas apie besitęsiančią ataką yra informuojamas ir kartu su juo ieškome situacijos sprendimo variantų, jei jų reikia“, – pasakoja „Telia“ saugos komandos vadovė.
Neįsigijusiems apsaugos taikomos tinkle įdiegtos bendrosios apsaugos priemonės.
Komentuoja „Hostinger” kibernetinio saugumo vadovas Egidijus Navardauskas:
Net ir nebūnant specialistu, galima prognozuoti, kad bet kurios kitos Lietuvos institucijos ar įmonės artimiausiu metu gali būti atakuojamos nedraugiškų jėgų. Gera žinia, kad tam galima ruoštis. Svarbu reguliariai tikrinti ir testuoti, ar taikomos priemonės yra pakankamos ir ar jos veikia tikslingai.
Vienas iš būtinų dalykų, kurį reikėtų padaryti visoms institucijoms – įsidiegti tinklo srauto stebėjimo įrangą bei įrankius, kurie tik prasidėjus DDoS atakai padėtų pastebėti padidėjusį ir neįprastą srautą į savo tinklalapius ar serverius. DDos atakos gali būti aptiktos ugniasienės (angl. firewall), apkrovos balansavimo (angl. load balancers) ar įsibrovimo aptikimo įrenginiais (angl. intrusion detection systems). Dauguma sistemų, kurios naudojamos DDoS atakų aptikimui, gali būti sukonfigūruotos siųsti automatinius pranešimus apie padidėjusį ar neįprastą srautą. Tai leidžia greitai sureaguoti į jau vykstančią ataką.
Žinant šių dienų aktualijas ir Europos Sąjungos bei Lietuvos politiką Rusijos atžvilgiu, būtų verta imtis ir kito žingsnio – naudojantis ugniasienėmis, blokuoti visą srautą iš nedraugiškų šalių. Tai leistų bent šiek tiek sumažinti tikimybę, jog DDoS atakai bus panaudoti įrenginiai iš šių lokacijų. DDoS atakas gali būti labai sunku suvaldyti, nes dažniausiai jos yra vykdomos iš daugybės įvairiose šalyse esančių užkrėstų įrenginių, kurie yra prijungti prie bendro zombių tinklo (angl. botnet). Todėl itin svarbus yra ir dar vienas veiksmas, kurį galima atlikti iš anksto. Reikėtų nusistatyti limitus, kiek srauto per tam tikrą laiką gali generuoti vienas vartotojas ir turėti galimybę identifikuoti bei blokuoti automatizuotą tinklo srautą ar prašyti patvirtinimo, jog užklausas siunčiantis įrenginys nėra robotas.
Svarbu pabrėžti, kad jeigu viskas tinkamai sukonfigūruota, daugeliu atveju panašias atakas galima aptikti ir suvaldyti automatiškai.