Teruggaan

DDoS - Een verloren strijd om verstand

NB auteur by Mark Harris Juli 12, 2017

We bevinden ons in de middeleeuwen van cyberbeveiliging, waar DDoS-aanvallen (Distributed Denial of Service) offline gaan. Zelfs de best ontworpen en best beheerde netwerken zijn nu kwetsbaar voor DDoS-aanvallen. Het lijkt erop dat we constant in een kat-en-muis-achtervolging zitten, omdat we niet in staat zijn om efficiënt te reageren op het toegenomen aantal DDoS-aanvallen.

De trend voor DDoS ziet er niet goed uit. Ten eerste werd de BBC offline gehaald door een 602 Gbps-aanval en daarna heeft DDoS zichzelf geüpgraded 1.2 Tbps opstijgen Dyn. Zowel de Miria- als de Leet-botnets waren de twee belangrijkste boosdoeners. Deze aanvallen zullen niet snel verdwijnen, waardoor het volume met de maand toeneemt. Combineer het onbeveiligde internet met de introductie van miljoenen onbeveiligde IP-enabled IoT-objecten. Het biedt een behoorlijk roekeloos startpunt, waardoor een nieuw tijdperk van Terabyte-schaalaanvallen mogelijk wordt.

De ernst van wat nog gaat komen zou qua omvang zeker gigantisch zijn dan wat we al hebben gezien. Dit niveau is niet iets waar we mee om kunnen gaan en de bestaande oplossingsmechanismen zouden dramatisch tekort schieten.

Wat hebben we nodig

We hebben een oplossing nodig die volledig integreert, het gaat niet alleen om detectie en beperking. Het laatste stukje van de puzzel is de end-to-end probleemoplossing. Teamsamenwerking is net zo belangrijk als de geavanceerde machine learning-algoritmen die worden gebruikt voor geavanceerde anomaliedetectie.

Het hele proces van een netwerk in kaart brengen en het oplossen van problemen DDoS-aanvallen moeten worden aangedreven door een API (Application Programming Interface) voor zowel detectie als beperking om één complete oplossing te vormen. Dit is de enige manier om DDoS-aanvallen efficiënt te bestrijden.

Wat is een DDoS?

De smaken van DDoS zijn er in veel verschillende vermommingen, sommige werken lager in de stapel, terwijl andere hoger op Layer 7. Veel van de nieuwere stijlen van DDoS-aanvallen werken parallel met een combinatie van aanvallen op verschillende lagen van het OSI-model.

Meer dan vaak zijn ze nooit eenzijdig en fungeren ze alleen als rook die een afzonderlijke, gevaarlijkere achterdeuraanval broeit. Een voorbeeld van zo'n aanval zou een zware volumetrische aanval kunnen zijn die de operatieteams verder in verwarring brengt, de leidingen vult en een dodelijker langzamer Hypertext Transfer Protocol (HTTP) is. aanval doet alle schade op de achtergrond.

Ongeacht het type DDoS hebben ze allemaal hetzelfde doel: de doelservice offline halen, zodat deze niet kan reageren op legitieme verbindingen. Aanvallen zijn altijd zichtbaar, zelfs de initiële taken van de BotNets het uitvoeren van de scan kan detecties in het systeem signaleren.

BotNet's

Een BotNet (ook bekend als zombieleger) is een aantal gecompromitteerde apparaten die met internet zijn verbonden en die worden gebruikt om een ​​destructieve DDoS-aanval uit te voeren. Zonder het te weten, worden de gecompromitteerde machines samengevoegd om één grote structuur van DDoS-aanvallen te vormen. Het Mirai-botnet bestaat uit duizenden onbeveiligde IoT-apparaten (Internet of Things), zoals slecht beveiligde routers en IP-camera's die megavolumes bereiken.

BotNets kunnen zelf niets doen en moeten via verborgen kanalen verbinding maken met een opdracht en de servers (C2/C&C) controleren om een ​​lijst met acties te verkrijgen. De geïnfecteerde clients maken verbinding met de server om een ​​lijst met opdrachten zoals HOLD, TCP, UDP of JUNK te ontvangen en gebruiken een payloadgenerator die tussen deze opdrachten schakelt, waardoor het moeilijk te detecteren is. Onlangs heeft a nieuw Mirai BotNet lanceerde een applicatie-aanval op een onbemande US College-server. De gemiddelde verkeersstroom was 30,000 verzoeken per seconde (RPS) met een piek van 37,000 RPS.

Wie versterkt DDoS-aanvallen?

Wie zit er achter deze aanvallen en waarom doen ze het? Er zijn twee primaire doelen: één is voor politieke of ideologische overtuigingen die bekend staan ​​als hacktivisme, vandalisme of cyberoorlogvoering. De andere wordt puur gemotiveerd door financiële redenen die bekend staan ​​als DDoS-for-hire, afpersing en losgeld.

DDoS digitale kaart

De DDoS digitale kaart geeft de DDoS-aanvallen weer die op dit moment en in realtime plaatsvinden. Aanvallen zijn gekleurd op basis van type: TCP-verbinding, volumetrisch, fragmentatie en volumetrisch. Het toont ook de meest deelnemende landen op basis van Bron en Bestemming als stippellijnen.

Primaire oorzaken?

  • Push naar de cloud: We zijn getuige van een tijdperk waarin applicaties snel veranderen terwijl ze richting het cloudtijdperk vliegen. Bedrijven profiteren van de pre-build wereldwijde voetafdruk van de cloud en stappen daarbij over op de software-as-a-service (SaaS)-benadering van IT met softwarepakketten zoals Office 365. Terwijl kritieke services naar de cloud worden verplaatst, biedt dit kostenvoordelen, flexibiliteit en verminderde latentie en verkeersadministratie. Het verandert het beveiligingsparadigma en vereist een herevaluatie van beveiliging.
  • Beveiligingsperimeter: Het model van de cloud verandert de beveiligingsperimeter en opent nieuwe wegen voor aanvalspenetratie. De veiligheidsperimeter is niet langer statisch of beperkt tot een lokaal bepaald gebied. Het wordt verspreid naar een nieuwe derde partij, waardoor een nieuwe deur en een aanvalsoppervlak voor DDoS worden geopend.
  • Ivd: Dankzij IoT kunnen alledaagse voorwerpen met elkaar communiceren. Het wordt de volgende industriële revolutie genoemd en zal ongetwijfeld de cultuur van onze communicatie veranderen. Objecten met IP-functionaliteit zouden onze individuele levens en steden efficiënter maken. Helaas hebben veel van de nieuwe IP-apparaten weinig of geen beveiliging. Een klein object zoals een gloeilamp is zo licht dat er niet al te veel beveiliging aan vast zit. Regelmatig patchen van verre apparaten die automatisch slapen, vormt ook een uitdaging. Door miljoenen IoT-objecten met weinig of geen beveiliging te combineren in een enorm botnet, wordt DDoS naar een nieuw niveau getild.
  • Licentie om te regeren: The Art of networking introduceert tal van verschillende soorten netwerkontwerpen. Er is geen licentie of regel die ertoe leidt dat sommige netwerken zijn ontworpen met uitstekende beveiliging. Dit laat kritieke componenten zoals DNS-proxy's wijd open als een doorgang voor een aanvaller om binnen te dringen en als startpunt te gebruiken. Meestal zien we de gateway van de thuisgebruiker en worden open DNS-proxy's gebruikt om DNS Amplification-aanvallen uit te voeren. DNS is afhankelijk van ongelijke pakketgroottes, een kleine DNS-query en grote antwoorden. Dit biedt een perfect speelterrein voor een aanvaller. Een aanvaller kan een aantal kleinere pakketten van spoofed hosts sturen, waardoor de DNS-server reageert met grotere DNS-pakketten die de onverwachte host overweldigen.

Een verloren strijd?

Als we goed kijken, vinden we overal kuilen in de beveiliging. De problemen liggen in de fundamenten van netwerken en hoe het is beveiligd. Het internet is gebaseerd op wereldwijde toegankelijkheid en de protocollen waaruit het bestaat, zijn oorspronkelijk ontworpen zonder het oog op veiligheid.

Wereldwijde toegankelijkheid betekent toegang hebben tot het IP-adres van iemand die zich op een verre locatie bevindt. Dit is de basis van communicatie en helaas, als je het IP-adres van iemand hebt, kun je ook een aanval op hun systeem sturen. Dit plaatst de aanvalsoppervlakken op een zeer groot wereldwijd platform waar iedereen een aanval kan plannen als men dat wil.

De beveiligingsmechanismen die later zijn toegevoegd, fungeren alleen als kludges voor het netwerk, waardoor de complexiteit toeneemt. IPsec is een Zwitsers leger boordevol functies die gepaard gaan met veel bagage die kan worden geabstraheerd.

Hoe gaan we ermee om?

Dus wat zijn de veranderingen die kunnen worden aangebracht in zowel het netwerk als de beveiliging om de pijn van deze storingen te verzachten? Welnu, er zijn veel nieuwe interessante mechanismen op het gebied van DDoS-detectie en -beperking die de leemte kunnen opvullen. Laten we een paar mechanismen bekijken die zijn bedacht om aanvallen te beperken.

Vooruitgang in DDoS-mitigatie

Op het gebied van mitigatie introduceren nieuwe concepten, zoals desaggregatie van beveiliging, nieuwe technieken om de status van mitigatieapparaten te verwijderen. Het verwijderen van de status maakt adequate bescherming mogelijk voor deze schaal en daarbuiten. Het hebben van een status in een mitigatieapparaatapparaat verslechtert de prestaties tot een niveau waarop het niet in staat is om te beschermen.

Om ergens in het netwerk een status te hebben, remt de prestaties, maar vooral om het in een apparaat te hebben dat het niet nodig heeft om pakketten door te sturen, heeft geen zin. Beveiligingsdesaggregatie verplaatst de status buiten het apparaat naar buiten de daadwerkelijke doorzending.

Vooruitgang in DDoS-detectie

Op het gebied van detectie helpen geavanceerde machine learning-technieken bij snelle detectie. De huidige op anomalie gebaseerde detectiesystemen zijn beperkt en kunnen het nieuwere type aanvallen niet detecteren. Machine learning-technieken zoals Navies, Bayes, C4.5, SVM, KNN, K-means en Fuzz bieden een geavanceerde manier om aanvallen te detecteren. Zullen deze wijzigingen in oplossingen voldoende zijn?

De behoefte aan efficiënte probleemoplossing

Al deze nieuwe mechanismen zijn interessant maar nutteloos als je het probleem niet op tijd effectief kunt oplossen. Problemen oplossen is niet alleen een technische handeling; het is een bedrijfsbrede hulpbron die veel teams combineert tot een gestroomlijnd proces.

De meest geavanceerde detectieoplossing kan een gebeurtenis binnen enkele seconden signaleren, maar als het een paar uur duurt om het probleem op te lossen, kunt u net zo goed geen detectiesysteem hebben. Evenzo, in het geval van een krachtige mitigatieoplossing, als u het probleem niet kunt oplossen, heeft het geen zin om al het vermogen in uw netwerk te hebben.

De vooruitgang op het gebied van DDoS-detectie en -mitigatie is cruciaal, maar we moeten ook afstappen van de handmatige benaderingen van netwerkmapping en het oplossen van problemen om te voorkomen dat de hele DDoS-oplossing naar beneden wordt gesleept.

Closing Comments

We verliezen de DDoS-strijd en we zullen blijven verliezen, tenzij we alle componenten aan elkaar knopen. Een complete oplossing moet de beveiliging vanuit alle hoeken aanpakken. Het is niet alleen vanuit het oogpunt van de mitigatie- of detectie-appliance, maar ook het probleemoplossingsproces van het bedrijf is vereist om een ​​DDoS-aanval efficiënt te stoppen.

Relevant