Embora o acrônimo possa impor respeito, os ataques DDoS são bastante simples de executar e são amplamente usados por criminosos. A parte mais trabalhosa enfrentada por quem executa os ataques é obter um grande número de hosts e orquestrá-los para executar o ataque em um alvo simultaneamente.
Em suas versões mais simples, o ataque pode ser desencadeado por uma solicitação maliciosa forjada de forma que o servidor não consiga processá-la adequadamente, seja por seu tamanho excessivo, falta de parâmetros ou simplesmente porque o invasor se programou para não responder adequadamente às informações solicitadas pelo servidor atacado.
Ao longo dos anos, no mercado de segurança, a postura em relação a esse tipo de ataque mudou significativamente. Antes, as empresas pouco se importavam em pensar em soluções para evitá-los, mas hoje a maioria dos ambientes está em alerta para essas ameaças.
Essa mudança de percepção pode ter sido causada por diversos fatores, entre eles os dois que considero principais são a evolução da maturidade da segurança, tanto dos ambientes quanto dos profissionais que atuam na área, e a mudança na forma como esse ataque é utilizado pelos criminosos.
Atualmente, os ataques DDoS podem ser usados de forma isolada, mas muitas vezes são utilizados como complemento de outros ataques, por exemplo, para tornar mais convincente a exigência de pagamento por ransomware, afetando severamente os serviços da empresa-alvo e causando impacto direto na percepção dos clientes que tentam se comunicar com esse(s) serviço(s).
Outro ponto que podemos notar mudanças diz respeito às proteções, hoje é possível adotar proteções para esse fim com investimentos significativamente menores do que há alguns anos, algumas dessas proteções podem até estar disponíveis em alguns ambientes, precisando apenas ser habilitadas.
Como detectar e responder a ataques
A detecção nem sempre é uma tarefa trivial quando o ambiente não é monitorado por soluções pré-configuradas. Os ataques geralmente são percebidos quando alguém tenta usar o serviço e percebe sua lentidão ou indisponibilidade.
O ideal é que a detecção mais adequada seja baseada em dois pilares principais:
- uma equipe técnica capaz de identificar períodos de estabilidade;
- e a parametrização das soluções de segurança de acordo com o resultado dessa identificação.
Existem muitos tipos de soluções que permitem que o ataque seja combatido com uma taxa de sucesso muito alta, entre as principais estão:
Filtragem de tráfego
Um exemplo claro dessa possibilidade de adaptação de soluções existentes para barrar ataques DDoS é a filtragem de tráfego, seja por firewalls que as empresas normalmente já possuem em seus ambientes ou por equipamentos específicos projetados para esse fim.
Normalmente, os filtros utilizam regras predefinidas para impedir que determinados tipos de tráfego sejam permitidos, evitando, assim, solicitações excessivas de uma ou mais origens, formatos de solicitação não convencionais para determinados tipos de serviços, tamanhos excessivos de pacotes e outros tipos de abordagens maliciosas.
Uma ajuda valiosa nesse tipo de bloqueio é confiar em soluções baseadas em comportamento para realizar o bloqueio, o que permitirá que usuários legítimos acessem o serviço e, ao mesmo tempo, bloqueie os invasores.
Balanceamento de carga
Outra abordagem que pode ser bastante eficiente, especialmente em ataques de menor escala, é o balanceamento de carga distribuída para esse serviço ou servidor. O balanceamento pode ocorrer de várias maneiras, seja disponibilizando mais de um link de Internet e alternando seu acesso por meio da configuração do DNS ou usando um cluster de alta disponibilidade que direciona o serviço para um dos outros nós se o nó atual não estiver respondendo adequadamente.
Serviços especializados de proteção contra DDoS
Também conhecidos como CDNs (Content Delivery Networks), esses serviços reúnem vários recursos que são úteis para impedir ataques de negação de serviço. Entre os mais valiosos estão a segregação de tipos de acesso - mencionada acima na filtragem de tráfego -, permitindo que apenas os invasores sejam impedidos de se comunicar com o serviço, bem como uma estrutura de rede extremamente robusta capaz de suportar ataques que podem chegar a mais de 1 Terabit por segundo, algo difícil de conseguir sem uma estrutura especializada.
Adoção de serviços em nuvem
Transferir pontos críticos da infraestrutura interna para servidores ou serviços em nuvem ajuda a resistir a ataques DDoS, porém, vale ressaltar que não existe uma solução mágica, como infelizmente ainda pensam alguns responsáveis por ambientes.
O ponto positivo da estrutura em nuvem é que ela costuma ser mais capaz de lidar com uma quantidade maior de tráfego, porém, é necessário certificar-se de contratar serviços que ofereçam proteção específica contra DDoS ou permitir a contratação de serviços de terreiros que sejam capazes de fazê-lo.
A nuvem nada mais é do que pagar para que uma empresa mantenha determinadas partes do seu serviço/servidor em funcionamento - nada mais. É muito importante ler os contratos de serviço com atenção para entender até onde vai a responsabilidade do provedor de serviços no caso de um incidente e, acima de tudo, estar ciente de que a contratação da nuvem não costuma isentar os contratantes de responsabilidade.
Inteligência sobre ameaças
Se o ambiente já tiver a capacidade de obter informações de inteligência contra ameaças por conta própria ou por meio da contratação de um serviço, esse recurso pode funcionar como uma espécie de previsão do futuro.
As possíveis informações fornecidas por um processo de inteligência contra ameaças incluem IPs relacionados a botnets, servidores vulneráveis associados a cibercriminosos, vulnerabilidades usadas para acesso inicial ou movimento lateral, entre muitas outras TTPs.
Essas informações podem ser usadas como indicadores de comprometimento (IoC) ou ataque (IoA) e podem ser inseridas em soluções de segurança para evitar qualquer interação dessas fontes com antecedência; elas também podem servir como um guia para priorizar quais vulnerabilidades devem ser abordadas primeiro para evitar ataques.
Monitoramento contínuo
A proteção contra ataques DDoS, ou qualquer outro ataque, não depende apenas da inserção de alguma ferramenta avançada no ambiente ou da contratação de algum serviço extremamente especializado. É necessário que haja uma ou mais pessoas treinadas monitorando constantemente as ferramentas e os serviços disponíveis para evitar a ocorrência de um ataque.
É sempre interessante entender como o ambiente funciona em sua normalidade e assim estabelecer linhas de base para a detecção de anomalias, essa tarefa é muito facilitada com boas ferramentas, mas é fundamental que haja uma pessoa experiente e qualificada ajustando e melhorando o desempenho das soluções.
Resposta a incidentes
Incidentes invariavelmente ocorrerão, seja por software legítimo inserido no ambiente e causando indisponibilidade ou por um ataque, o importante é planejar adequadamente como agir caso eles ocorram. Defina quais serão as primeiras etapas, quem será o responsável por cada etapa e quais ações cada um tomará, quem serão os tomadores de decisão contatados se necessário, ações de contenção e recuperação, fornecedores que podem ser contatados para suporte e todos os outros recursos que foram planejados de acordo com as necessidades do negócio.
É importante testar o plano de resposta a incidentes para que as pessoas envolvidas sejam adequadamente treinadas e possam executá-lo corretamente no caso de um incidente real.
Se você tiver alguma dúvida ou sugestão sobre assuntos relacionados com a segurança digital que gostaria que abordássemos em publicações futuras, informe-nos nos comentários.