Вызовы кибербезопасности требуют применения многофункциональных решений. Без этого идентификация, защита, обнаружение угроз, реагирование на них и восстановление после инцидентов не будут эффективны. ИТ-подразделениям приходится выделять существенные средства на управление безопасностью предприятия. Между тем многочисленные инциденты вновь и вновь демонстрируют, что даже организации со значительными ресурсами не используют решения в полной мере. Чтобы обеспечить требуемый уровень защиты, необходимо контролировать ее эффективность.
ИТ-руководители часто задаются вопросом: «Насколько эффективно данное решение в реальных условиях, и что можно сделать, чтобы его улучшить?» Во время инцидента — будь то попытка вторжения в сеть, фишинговая электронная почта или распределенная атака на отказ в обслуживании (DDoS) — недостаточно просто иметь и применять те или иные средства управления. Нужно также глубоко понимать, как они себя ведут и что можно сделать, чтобы их улучшить на основе объективных данных.
Интернет-аналитика (Internet Intelligence)
С этой целью Oracle развернула сеть датчиков — точек наблюдения (vantage points) — для глубокого мониторинга. Она используется для сбора общедоступных данных о работе интернета и событиях безопасности во всем мире, позволяет в режиме реального времени получать информацию об ухудшении параметров качества, изменениях в маршрутизации и аномалиях в Сети. Интернет-аналитика Internet Intelligence лежит в основе таких облачных сервисов Oracle Cloud Infrastructure как Market Performance и IP Troubleshooting.
(красные точки – сетевые датчики)
По данным телеметрии на карте Oracle Internet Intelligence Map отображается волатильность интернета в целом. Поскольку все больше организаций при реализации своих наиболее критичных сервисов полагаются на сторонних провайдеров, мониторинг общего состояния интернета может дать пользователям заблаговременное предупреждение о развивающихся атаках. Организации получают шанс предпринять меры и подготовиться заранее - до того, как опасность их настигнет.
Данные, собранные Oracle Edge Network, содержат ценную информацию об изменениях маршрутов BGP (Border Gateway Protocol) и начале DDoS-атак по всему миру. Oracle может отслеживать 250 млн обновлений маршрутов ежедневно, в том числе где активируется защита от DDoS и когда происходят атаки. Мы измеряем параметры качества облачной защиты от DDoS для большинства провайдеров соответствующих услуг почти в реальном времени. Эта информация может использоваться для оценки эффективности защиты.
Пример DDoS-атаки
Мониторинг начала DDoS-атаки позволяет увидеть, где происходят атаки, определить их продолжительность и полноту контроля за маршрутами практически в реальном времени. Показательным примером важности телеметрии для смягчения последствий DDoS является атака, имевшая место в конце лета 2018 года.
Атака, из-за которой периодически нарушался доступ к веб-сайту и сервисам компании, была легко идентифицирована в точках наблюдения Oracle и отображена на карте Internet Intelligence Map. В соответствии с принятой практикой провайдер сервиса облачной защиты от DDoS перехватил блоки IP-адресов организации, чтобы перенаправить весь трафик атаки в специализированные центры "очистки от DDoS". Во время перехвата блока IP-адресов команда безопасности Oracle провела ряд интересных статистических исследований волатильности маршрутов, скачков времени задержки и других артефактов, вызванных перенаправлением трафика.
Наблюдение за продолжительностью распространения и изменчивостью маршрутов позволяет проводить некоторые уникальные измерения качества. В этом примере AS объявляет два сетевых префикса (Autonomous System - это система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации с Интернетом, уникальный номер AS присваивается для использования в BGB-маршрутизации).
Как показано на следующей иллюстрации, несмотря на то, что объявления изменились, по-прежнему остаются незащищенные маршруты через интернет-провайдера, так что часть трафика атаки достигает адресата. Провайдер услуг защиты от DDoS перехватил блоки IP-адресов атакуемой организации около 16:00 по местному времени.
Утечка DDoS-атак
Несмотря на то, что провайдер сервиса защиты от DDoS эффективно блокировал большинство атак, анализ показал, что небольшая часть трафика все же достигла сети организации. Это называется утечкой DDoS-атак.
Интернет-ресурсы организации оставались недоступными на протяжении часа, поскольку часть трафика атаки достигла ее центра обработки данных. Дополнительное исследование трассировки маршрутов подтверждает, что не все маршруты проходили через систему защиты от DDoS-атак. Две трассировки из Лондона и Франкфурта указывают на то, что часть трафика проходила через интернет-провайдера.
Примечание:
Это не означает, что интернет-провайдер заведомо несет ответственность за утечку DDoS. Вовсе нет. Интернет в значительной степени является самонастраивающейся сетью, в которой трафик иногда направляется через магистральные узлы непредсказуемым образом. Таблицы маршрутизации нуждаются в частых корректировках (этим занимаются провайдеры 1-го уровня и интернет-провайдеры - ISP), а распространение изменений в таблицах маршрутизации занимает некоторое время, что имело место и в нашем случае.
Подобно многим экспертам по защите от DDoS, команда Oracle Security смогла измерить и оценить качество перехвата IP-адресов и стабильность перехвата с течением времени. И результаты — невысокий показатель качества перехвата — также показывают, что действительно, произошла утечка атаки.
|
Префикс |
Владелец префикса (атакуемый) |
AS или владелец префикса |
Провайдер сервиса защиты от DDoS |
AS провайдера |
Handoff Coverage |
Consistent Coverage |
|
xxx.xxx.xxx.0/24 |
[организация] |
xxxxx |
[Провайдер сервиса защиты от DDoS] |
yyyyy |
64.39 |
95.53
|
Эти статистические показатели называются Handoff Coverage и Consistent Coverage. Handoff Coverage на уровне +97% обычно означает почти идеальный перехват. Значения менее 90% могут указывать на утечку DDoS-атак.
Влияние Handoff Coverage показано на следующей иллюстрации:
Как видно из примера, Handoff Coverage и Consistent Coverage являются важными параметрами, которые аналитики и сотрудники службы безопасности могут использовать для количественной оценки эффективности облачных решений, нацеленных на предотвращение DDoS-атак. В частности, эти параметры способны помочь обнаружить остаточный трафик атаки, который все еще "просачивается" в организацию после передачи обслуживания, что нередко приводит к простою.
Заключение
DDoS-атаки продолжают досаждать организациям во всех отраслях. Средства для подавления таких атак широко доступны, но применяется не везде и не всегда. Утечка DDoS при блокировке атаки может по-прежнему негативно воздействовать на инфраструктуру организации, приводя к недоступности критически важных функций.
Отслеживание эффективности развертываемых решений имеет решающее значение для определения уровня защищенности организации и контроля за ним. Телеметрия, полученная от внешнего сервиса мониторинга, такого как предлагаемый Oracle при блокировке DDoS-атак, — один из примеров оптимизации на основе доказательной базы.
Источник: https://blogs.oracle.com
