Podle Tomáše Pluhaříka, Business development managera ze společnosti eBase (www.ebase.cz), je třeba změnit způsob, jakým provozovatelé chrání své portály a online služby.
Odhalily březnové útoky silná a slabá místa českého internetu?
Útoky bezpochyby koordinoval buď někdo přímo v Česku, nebo s výbornou znalostí našeho internetového prostředí. Cíle, které se dokázaly efektivně bránit, přitom útok obvykle poměrně dobře přestály, naopak organizacím které nebyly připravené, nebo neměly dostatečnou rezervní kapacitu, útoky jejich online služby položily. Nicméně i tak intenzita a způsob vedení naznačují, že šlo spíše o cvičný útok DOS než o velký úder DDOS.
Který z cílů u nás nejlépe útoky zvládnul?
Komunikační infrastruktura jako taková zvládala situaci poměrně dobře, v případě jednotlivých portálů a serverů se výpadky objevily – obvykle se ale jednalo o omezení dostupnosti služeb v řádu několika hodin a následky tak rozhodně nebyly fatální. Mnohem větší riziko by nastalo v případě, že by paralelně došlo k úspěšnému prolomení systémů obsahujících citlivá data. Z operátoru si, pokud vím, nejlépe vedl Vodafone, který udržel své servery v provozu.
Lze se vůbec před skutečně silným útokem bránit?
Typická ochrana se dnes děje na úrovni síťové infrastruktury. Buď pasivním navýšením ochranného valu, to ale chrání jen před menšími útoky, nebo inteligentním vyhledáváním potenciálních útoků a jejich blokováním nebo přesměrováním, což zas může vést k blokování skutečných uživatelů. Z jejich hlediska je pak situace stejná, jako v případě probíhajícího útoku DOS nebo DDOS. Jistou formou může být i nakoupení rezervní kapacity datového centra a koupit si tak „čas“ v počáteční fázi útoku – to je ale nákladné a mohou si to dovolit jen větší zákazníci.
A jiné alternativy?
V rámci našich služeb nabízíme řešení PerfAction, které využívá pronajatou kapacitu v cloudu podle preferenci zákazníka – to nám dává v případě potřeby možnost využít obrovské rezervy a zároveň topologickou distribuci trafficu. Navíc jsme naše řešení navrhli tak, aby nedošlo k odepření služby z pohledu zákazníka. Toho dosáhneme tak, že síťový provoz, který detekujeme jako problematický, přesměrujeme mimo infrastrukturu zákazníka. Na naší cloudové infrastruktuře provedeme dodatečnou identifikaci či autentikaci jako je třeba captcha, která umožní odlišit skutečného uživatele či návštěvníka – toho pak vrátíme zpět na vlastní server, zatímco veškeré závadné dotazy a provoz přesměrujeme do cloudové „černé díry“. Toto celé nabízíme společně s prověřením celé infrastruktury formou penetračních a performance testů a simulací.
Černou dírou je v tomto případě stále Amazon?
Standardně je to cloud Amazonu, ale může to být i libovolný jiný cloud dle zadání zákazníka. Výhodou našeho řešení ochrany před DDOS je, že zákazník platí za využívání kapacity podle potřeby a nikoliv pořád. V rámci testů a přípravy jsme schopni pomoci naškálovat zákazníkovi řešení podle potřeby.
Co tedy řešení PerfAction obnáší a jaké investice do infrastruktury například v případě ISP, banky nebo etailu vyžaduje?
Jedná se o řešení, které může být umístěno před i za routery a kontroluje příchozí síťový provoz. Pokud je detekován probíhající útok, je provoz automaticky přesměrován do ověřovacího cloudu, kde lze odlišit skutečné návštěvníky či uživatele od botů nebo malware. To má velký význam například pro e-shopy, které musí čelit sofistikovanějším útokům, kdy jsou například zahlcována pole ve formulářích nákupního koše, čímž lze poměrně rychle zaplnit paměť serveru a vyřadit tak e-shop z provozu. Je to řešení, které dokáže velmi efektivně ochránit před častými útoky menší nebo střední intenzity, s nimiž jsme se v Česku zatím moc nesetkávali, ale je jen otázka času, kdy se u nás, například v rámci konkurenčního boje, objeví.
A co ochrana před rozsáhlými útoky? Existuje vůbec nějaká?
Bylo by například možné vytvořit kompletní zrcadlo systému na cloudové infrastruktuře a útok přesměrovat kompletně na tuto „zálohu“. Výhodou je, že i inteligentní útok, který se vyvíjí a mění lze takto efektivně odklonit.
Jaké jsou náklady na ochranu pomocí PerfAction? S čím vším musí zákazník počítat – investiční náklady, provozní náklady, zaškolení zaměstnanců? Například u středně velkého eshopu?
V rámci řešení dodáváme kompletní instalaci řešení PerfAction na infrastrukturu zákazníka, pronájem základní kapacity cloudu pro případ útoku, zaškolení, penetrační testy, simulaci útoků a reporty. Cena pochopitelně závisí na typu a velikosti infrastruktury. Pro menší e-shop se bavíme o částce v řádech desítek až stovek tisíc. Základní měsíční poplatky jsou pak v řádu tisícikorun. Nabízíme ale pochopitelně i řadu doplňkových služeb jako je dohled, průběžný reporting a podobně. Služba je škálovatelná a nabízí podporu od pouhé notifikace, až po komplexní řízenou ochranu a monitoring.
Naším zákazníkem může být v podstatě libovolná webová služba, jejíž business case je postaven na dostupnosti. Naše řešení je cenově přístupnější a nabízí velmi efektivní způsob zabezpečení. Určitě je ale vhodné kombinovat jej s dalšími bezpečnostními prvky – například s volbou renomovaného ISP, který provádí kvalitní správu síťového přístupu. PerfAction je řešení, které nahrazuje sílu důmyslem. Když budete opevňovat hrad, nestačí jen zvyšovat hradby. Mnohem účinnější je postavit před nimi vodní příkop a do hradu dát katapult.
Na otázky odpovídal Tomáš Pluhařík (tomas.pluharik(at)ebase.cz), Business development manager ve společnosti eBase (www.ebase.cz).
Lukáš Erben
PŘEDPLATNÉ
ČLÁNKY DO MAILU