blog-banner

Publicado em:

09/09/2021

9 mitos sobre defesas contra ataques DDoS

Nos últimos dois anos, o tamanho dos ataques de negação de serviço distribuído (DDoS) dobrou e os vetores de ataque aumentaram significativamente. Em 2020, um ataque de 809 milhões de pacotes por segundo (Mpps) atingiu uma organização - o maior evento do gênero já registrado. Embora algumas organizações possam acreditar que são alvos de baixo risco para um ataque DDoS, os serviços essenciais para os negócios são alvos valiosos e deixam todos os negócios expostos ou com desempenho reduzido se a infraestrutura não estiver protegida. A proteção contra DDoS deve ser um princípio fundamental de sua estratégia geral de segurança. Estar ciente dos mitos pode ser crítico para sua postura defensiva contra DDoS

Mito 1: A capacidade total indica os recursos de mitigação disponíveis


Um indicador de capacidade de rede omite detalhes importantes. Veja algumas das perguntas que precisam ser respondidas: Quanta capacidade de rede é dedicada para consumir tráfego de ataque? Quantos recursos do sistema de mitigação são dedicados a impedir ataques? Quantos recursos estão disponíveis para entregar tráfego limpo para os clientes nessa plataforma? Isso não se limita à tecnologia. Se as tecnologias não estiverem funcionando de forma eficaz ou otimizando a mitigação, qual capacidade humana dedicada pode ser aproveitada para escalonamentos, tratamento de resposta a incidentes e mitigação de ajuste fino?
Dica: analise mais profundamente as diferenças entre a capacidade total de rede de um provedor e a estabilidade da plataforma, a capacidade disponível para mitigação de ataques e a utilização de entrega de tráfego limpo.

Mito 2: Todos os tempos de mitigação dos SLAs são criados iguais

O tempo para mitigar deve significar a rapidez com que o tráfego malicioso é bloqueado, sem afetar o tráfego e os usuários legítimos. Porém, há muito espaço para interpretação. Por exemplo, um fornecedor pode não considerar um aumento repentino no tráfego como um ataque DDoS até que tenha durado pelo menos cinco minutos. Assim, o cronômetro de SLA pode não iniciar antes de cinco minutos após o começo do ataque. Outros fornecedores definem o tempo para mitigar como a rapidez com que uma regra de mitigação pode ser implantada. O que importa é o tempo para colocar os ativos voltados para a Internet de volta em operação.
Dica: analise os detalhes de tempo para mitigar listados em um SLA. Eles devem estar resumidos na equação: Tempo para detectar o ataque + Tempo para aplicar os controles de atenuação + Tempo para bloquear o ataque + Qualidade da atenuação = Tempo real para interromper o ataque.

Mito 3: Blackholing e limitação de taxa são defesas aceitáveis

Blackholing é uma resposta defensiva comum de alguns provedores de mitigação de DDoS. Se um ativo está sob ataque e colocando outros clientes em risco, o provedor pode tentar evitar danos colaterais descartando o tráfego desse recurso em um buraco negro virtual. Para um invasor, blackholing significa missão cumprida - o ativo visado está efetivamente offline. Como outra resposta, muitos provedores também limitam o tráfego de clientes como uma contramedida em ambientes compartilhados. Porém, reduzir de 20% a 40% do tráfego legítimo para dar a impressão de que o ativo ou serviço ainda está ativo e em execução não é um resultado bem-sucedido para o cliente sob ataque.
Dica: pergunte ao seu provedor com que frequência eles bloqueiam ou limitam a taxa de tráfego durante o tempo de paz ou sob ataque. Determine sob quais condições um provedor irá bloquear o tráfego e quais critérios você deverá atender para restaurar os seus serviços.

Mito 4. Não importa quem compartilha a plataforma em nuvem

Mesmo negócios polêmicos, como sites de jogos e pornografia, atraem ataques frequentes e também precisam de defesas de segurança. Até mesmo organizações que promovem atividades criminosas e terrorismo adquiriram segurança cibernética de fornecedores de nuvem legítimos. Pode parecer bobo, mas se sua empresa compartilha uma plataforma de segurança em nuvem com uma empresa ilegal ou frequentemente atacada, o potencial de danos colaterais é alto. Os recursos do fornecedor podem já estar amarrados ou sobrecarregados, deixando sua organização exposta.
Dica: Leia a política de uso aceitável de um fornecedor de segurança em nuvem com atenção para confirmar que você não compartilhará recursos da plataforma de segurança com alvos de alto risco.

Mito 5. Um multifuncional plataforma de segurança = melhor experiência de segurança

Alguns provedores oferecem uma variedade de serviços empilhados em cima de uma plataforma de nuvem única, o que pode significar complexidade técnica reduzida para implantação e integração de controles de segurança no curto prazo. Mas vários serviços que compartilham a mesma infraestrutura de back-end e redes são vulneráveis ​​a interrupções da plataforma, danos colaterais e problemas de resiliência se outras partes do ambiente forem interrompidas.
Dica: lembre-se de que você não precisa compartilhar a mesma infraestrutura para obter uma experiência de segurança unificada. Arquiteturas subjacentes podem fornecer uma experiência de usuário perfeita e mitigação de alto desempenho.

Mito 6. Uma solução local oferece mais controle

Muitas vezes, uma solução local oferece um controle ilusório. O elo mais fraco de qualquer solução local geralmente é o tamanho do link da Internet. À medida que os ataques DDoS ficam mais complexos, até um ataque típico de menos de 4 Gbps pode saturar o link da Internet e causar negação de serviço. Para implantações locais, você está “comprando tempo” para mover a atenuação de ataques graves para a nuvem. Como o talento em segurança é escasso, as organizações estão terceirizando a mitigação de DDoS para plataformas baseadas em nuvem.
Dica: você não pode estar no controle se sua rede, TI e equipe de resposta a incidentes estiverem sobrecarregados. Duplique o que você pode fazer internamente e terceirize para os especialistas.

Mito 7. Você não precisa de múltiplas camadas de defesa

Uma organização que busca reforçar sua solução de segurança local pode se atualizar adicionando uma solução baseada em nuvem do mesmo fornecedor. A compra “casada” parece boa, mas nem sempre fornece uma defesa com qualidade. Se várias camadas de defesa forem construídas com a mesma tecnologia subjacente, essas camadas terão as mesmas lacunas e pontos fracos, deixando você igualmente exposto.
Dica: Crie camadas das melhores tecnologias com diferentes pontos fortes e fracos, para que as lacunas em uma camada sejam cobertas pela defesa em outra.

Mito 8. Cada SOC oferece o mesmo nível de suporte

Muitos fornecedores anunciam suporte de centro de operações de segurança (SOC) em suas planilhas de dados. Mas ter um SOC 24/7 não é o mais importante. O que é importante é o nível de serviço e experiência que você pode esperar receber quando seus ativos estiverem sob ataque. Algumas considerações importantes ao avaliar os provedores de mitigação de DDoS devem incluir: Que tipo de suporte e análise você receberia antes, durante e depois um ataque? Como o SOC é formado para garantir a continuidade da defesa? Se você entrar em contato com o SOC, a pessoa para quem você chama de analista real está realizando a mitigação ou apenas o ponto de escalonamento? O SOC do seu provedor de segurança deve atuar como uma extensão de sua equipe de resposta a incidentes para gerar valor real.
Dica: Avalie a qualidade esperada de suporte que você receberia do SOC do provedor de serviços. Além da detecção e mitigação de ataques, determine se eles oferecem integração e teste, solução de problemas de incidentes, suporte de design para ajudar a reduzir a superfície de ataque.

Mito 9. A proteção DDoS é abrangente

Embora um preço mais baixo possa parecer atraente, podem haver custos ocultos. Alguns fornecedores oferecem um preço baixo, mas restringem o número ou o tamanho dos ataques que irão mitigar. Se você for alvo de muitos ataques ou de um ataque muito grande, eles solicitarão que você atualize para um nível de serviço superior (e mais caro) antes de interromper o ataque.

Dica: entenda o que está incluído no preço que você está cotando antes de assinar.