INFORME TÉCNICO DA AKAMAI

Elaboração de um plano de proteção contra DDoS

Oito práticas recomendadas

Sumário

O que esperar de um ataque DDoS 1

O que esperar quando estiver sob um ataque DDoS: pânico 1

Como o cenário de ataque DDoS mudou 1

Oito práticas recomendadas para criar e manter um plano de proteção contra DDoS 2

1. Preveja estes pontos únicos de falha 2

2. Verifique a capacidade do seu Provedor de Serviços de Internet

(ISP, Internet Service Provider) para fornecer proteção contra DDoS 2

3. Não superestime sua infraestrutura 3

4. Identifique o que você precisa proteger e o impacto comercial de sua perda 3

5. Identifique o prazo aceitável para a atenuação 3

6. Implante um serviço de proteção contra DDoS antes de precisar dele 4

7. Desenvolva um runbook de resposta contra DDoS 4

Funções e responsabilidades do pessoal-chave e o caminho de escalonamento 4

Com quem entrar em contato e como fazê-lo 4

Como gerenciar comunicações internas 4

Como gerenciar as relações públicas e os relacionamentos com cliente 4

Planeje análises pós-ataque 5

Mantenha o runbook de DDoS atualizado 5

8. Teste seu runbook de DDoS para garantir prontidão operacional 5

Conclusão 5

Elaboração de um plano de proteção contra DDoS: oito práticas recomendadas 1

O que esperar de um ataque DDoS

É fácil observar o impacto de um ataque DDoS (ataque distribuído de negação de serviço), pois

seus websites e aplicações ficam indisponíveis ou lentos. Seu call center recebe inúmeras chamadas

urgentes de clientes frustrados e insatisfeitos. Seus painéis de TI alertam e indicam uma situação

ameaçadora e confusa.

O que esperar quando estiver sob um ataque DDoS: pânicoO pânico domina organizações despreparadas quando sofrem um ataque DDoS. As equipes de TI se atrapalham tentando manter a disponibilidade dos websites e das aplicações diante de agentes mal-intencionados e vários vetores do ataque. À medida que os invasores alteram as negações dos vetores de serviço para explorar diferentes vulnerabilidades de rede, o pessoal de TI tenta fazer a triagem da situação que está acontecendo, imaginando por que as anomalias de rede estão ocorrendo, tais como:

• Por que os roteadores passam tráfego enquanto os balanceadores de carga estão travando?

• Por que o servidor web está respondendo, mas o banco de dados não?

• Por que o banco de dados está funcionando, mas o servidor da web não responde?

• Por que o tráfego está sendo desviado quando tudo parece estar funcionando?

Várias pessoas dentro da organização estão se apressando para fazer chamadas para o ISP (provedor de serviço de Internet) e para os fornecedores de aplicações, em busca de explicação e ajuda, mas ninguém sabe realmente para quem ligar primeiro e o que perguntar. Enquanto isso, os gerentes seniores querem respostas claras sobre o motivo de as operações estarem paradas e sobre quando os negócios voltarão ao normal. É aí que o pânico realmente se instala.

Quando ocorre um ataque DDoS, ter um plano de proteção contra DDoS em vigor fará a diferença entre o pânico se instalar em toda a organização e uma resposta ordenada e oportuna que mantém os negócios funcionando normalmente.

Como o cenário de ataque DDoS mudouOrganizações de todos os tamanhos com presença na Internet precisam se preocupar em ataques cibernéticos. Invasores podem atacar qualquer componente de seus sistemas voltados para a Internet, tais como:

• Website

• Aplicação web

• API

Os ataques DDoS mudaram com o passar do tempo. Algumas das tendências dos ataques DDoS do ano passado destacadas no Relatório de segurança / State of the Internet da Akamai incluem o seguinte:

• Dispositivos da Internet das Coisas (IoT)1 são uma fonte de muitos recursos de botnet. O malware Mirai e seus derivados estão evoluindo e se propagando2. Além disso, outros malwares estão sendo atualizados3 para aproveitar a proliferação de dispositivos da IoT que não são seguros.

• O tamanho dos maiores ataques DDoS dobrou de ano em ano, ultrapassando os 600 gigabits por segundo (Gbps).4

• Até mesmo um típico ataque DDoS, de menos de 4 Gbps5, pode causar negação de serviço em um website desprotegido ou que dependa de um hardware de atenuação de DDOS local.

• Com duração de minutos ou dias, os ataques DDoS podem ser poderosos, atacar repetidamente o mesmo website (em média 32 ataques por vítima por trimestre6) e causar crônica degradação de resposta de baixo nível.

• O surgimento de novos vetores de ataque DDoS7 e novos tipos de infecções de malware botnet8 é frequente.

• Serviços DDoS contratados9 estão prontamente disponíveis, e qualquer pessoa, mesmo sem habilidades técnicas, pode lançar um ataque DDoS prejudicial.

• Servidor do nome de domínio (DNS)

• Servidor de origem

• Infraestrutura de rede e data center

Elaboração de um plano de proteção contra DDoS: oito práticas recomendadas 2

Muitas organizações incluem o DDoS em um plano de recuperação de desastres, mas isso é um erro. Um desastre implica a ocorrência de um evento improvável e inevitável. Os invasores lançam deliberadamente centenas de ataques DDoS todos os dias. Os ataques DDoS são comuns para muitas organizações.

Toda organização que depende de seus ativos voltados para a Internet deve ter um plano de proteção contra DDoS. Quando se está totalmente preparado para um ataque DDoS, com proteções contra DDoS em vigor e um runbook de resposta contra DDoS, é fácil responder de maneira eficaz a incidentes DDoS e atenuar rapidamente danos a operações, finanças, regulamentos e reputação.

Planejar com antecedência e estar preparado é a prática recomendada para as operações comerciais, além de ser sua melhor defesa contra ataques DDoS.

Oito práticas recomendadas para criar e manter um plano de proteção contra DDoSSe os esforços iniciais forem bloqueados, normalmente, os invasores DDoS mudarão os vetores de

ataque ou voltarão sua atenção para alvos mais fáceis. Pense como um invasor. Considere todos os

tipos de ataques DDoS e seus alvos, e entenda totalmente suas opções de proteção contra DDoS.

Desenvolva e implemente um plano de proteção contra DDoS que inclua as oito seguintes práticas

recomendadas para atenuar o impacto de ataques DDoS sobre os negócios.

1. Preveja estes pontos únicos de falha Invasores DDoS atacarão qualquer possível ponto de falha, tais como:

• Servidores de DNS (Sistema de Nomes de Domínio): a infraestrutura de DNS é um alvo perfeito para agentes mal-intencionados, porque fornece um serviço necessário para os navegadores de usuários finais que buscam seu endereço IP e encontram seu website. Saiba mais sobre ataques de DNS.

• Servidor de origem: os alvos são servidores que hospedam seus websites, aplicações e conteúdo da Web. Os invasores podem contornar suas outras proteções se conseguirem acessar diretamente seu servidor de origem, o que pode acontecer na nuvem ou em um data center.

• Website: até mesmo um simples ataque DDoS pode inundar um website desprotegido com um grande volume de solicitações que excede sua capacidade.

• Aplicação da Web: uma aplicação da Web não é capaz de identificar facilmente a diferença entre um ataque DDoS e solicitações legítimas de usuário. Normalmente, o alvo são páginas de login, pois elas acionam processos de back-end que consomem ciclos de CPU no servidor da Web, como no caso de prevenção de fraudes, acesso a bancos de dados e rotinas de autenticação.

• Interfaces de programação de aplicação (APIs): as APIs estão se tornando o alvo mais frequente, em parte, porque cada vez mais websites estão permitindo comunicações por meio delas. As APIs podem enviar informações para aplicações móveis ou obter conteúdo de fontes terceiras em uma aplicação da Web.

• Infraestrutura de data center e rede: os alvos são a infraestrutura de data center e rede, e a largura de banda da rede que entra em um data center. Se um invasor for capaz sobrecarregar suas conexões de rede ou roteadores e switches, o tráfego legítimo não conseguirá passar.

2. Verifique a capacidade do seu ISP (Provedor de Serviços de Internet) para fornecer proteção contra DDoSSeu ISP pode ser seu único ponto de falha. Se um ataque DDoS em seu website colocar os outros clientes do seu ISP em risco, o ISP quase certamente perderá o tráfego e seu website será derrubado indefinidamente. Portanto, aqui estão algumas perguntas a fazer ao seu ISP:

1. Você já perdeu o tráfego do website de um cliente em um ataque DDoS?

2. Quais proteções contra DDoS você tem em vigor?

3. Você é capaz de descriptografar a TLS (Transport Layer Security)/SSL (Secure Sockets Layer) para inspecionar os ataques DDoS da aplicação criptografados nas sessões SSL?

Elaboração de um plano de proteção contra DDoS: oito práticas recomendadas 3

4. Como você se prepara para ataques de dia zero e novos vetores de ataque?

5. Quanta capacidade disponível você tem em toda a rede, em excesso de tráfego de pico normal?

6. Se a rede receber 10 Gbps de tráfego de um ataque DDoS de reflexão com centenas de origens, quanto tempo levará para você bloqueá-lo usando uma ACL (Lista de Controle de Acesso)?

7. Que tamanho de ataque DDoS você tentará atenuar antes de decidir perder todo o tráfego do website em questão?

8. Se o tráfego de um cliente for perdido devido a um ataque DDoS, quais requisitos você tem antes de restaurar o serviço de Internet desse cliente?

Saiba mais sobre as opções de proteção contra DDoS e a importância da capacidade disponível no eBook “Why

Cloud: The Buyer’s Guide to Cloud Security”.

3. Não superestime sua infraestrutura Seu atual hardware de rede de borda pode atender você bem no dia a dia, mas também pode falhar rapidamente durante um ataque DDoS, se a borda de rede tiver recursos insuficientes para um evento mal-intencionado.

• Determine e garanta que sua infraestrutura tem equilíbrio suficiente com cobertura acima e além dos requisitos legítimos de pico.

• Leve sua tolerância a riscos em consideração. Um ataque DDoS comum gera menos de 4 Gbps, e um tráfego de DDoS de pico pode ultrapassar 600 Gbps.

4. Identifique o que você precisa proteger e o impacto comercial de sua perdaAs necessidades de cada organização são diferentes. Quais ativos voltados para a Internet você precisa proteger de ataques DDoS? Se você não os proteger e eles ficarem indisponíveis, que impacto sobre os negócios e quais custos serão incorridos, incluindo custos de operação, finanças, regulamentos e reputação?

• Você se importa apenas em proteger seu website? Aplicações Web? APIs?

• E o seu servidor de origem? Servidores de DNS?

• É possível criar um caso de negócios para proteger seu data center e infraestrutura de rede?

Saber o que você precisa proteger afetará o tipo de proteção contra DDoS. Nem todos os ataques visam as portas 80 e 443.

• Proteger um data center, infraestrutura de rede e outros ativos que não são do website, como servidores de e-mail, requer uma rede de depuração de DDoS.

• Uma CDN (Rede de Entrega de Conteúdo) com atenuação de DDOS e recursos de web application firewall podem proteger os ativos da Web, incluindo websites, aplicações Web e APIs. Uma CDN também pode proteger os servidores de origem e as infraestruturas de DNS primária e secundária.

5. Identifique o prazo aceitável para a atenuação Alguns serviços de proteção contra DDoS estão sempre ativados: você nem sequer notará a maioria dos ataques DDoS. Outros são ativados sob demanda: após uma solicitação manual ou detecção automatizada de DDoS. Com que rapidez você precisa que seu serviço de proteção contra DDoS seja ativado?

Serviços de depuração de DDoS normalmente funcionam sob demanda, ou seja, seu tráfego de rede só é direcionado pelo centro de depuração quando necessário. Com o monitoramento de fluxo profissional e uma conexão direta de alta largura de banda para a rede de depuração de DDoS, a comutação pode ser tão rápida que o ataque DDoS teria pouco ou nenhum impacto sobre a disponibilidade do website. Outras organizações optam por reduzir os custos ao confiar em sua própria equipe para identificar um ataque DDoS e ativar o serviço de depuração manualmente. Os serviços de proteção contra DDoS baseados em CDN estão sempre ativados e são instantâneos, mas protegem apenas os websites e não os data centers ou a infraestrutura. Fornecedores oferecem flexibilidade, portanto é importante compreender a tolerância a riscos do seu negócio e utilizá-la para guiar suas escolhas arquitetônicas.

Elaboração de um plano de proteção contra DDoS: oito práticas recomendadas 4

6. Implante um serviço de proteção contra DDoS antes de precisar deleSelecione um serviço de proteção contra DDoS antes de precisar dele. Evitar o caos, atrasos e o pânico de procurar pela proteção contra DDoS quando estiver sob ataque tem várias vantagens adicionais:

• Ter tempo para escolher a melhor solução. Seu provedor de proteção contra DDoS pode explicar suas abordagens com relação à proteção contra DDoS que atendem às suas necessidades específicas. Ele pode procurar por brechas a fim de garantir que você está totalmente protegido.

• Saiba para quem ligar e o que fazer. Desenvolva um relacionamento com seu fornecedor de proteção contra DDoS e saiba o que fazer e para quem ligar quando estiver sob ataque.

• Prepare-se para a proteção contra DDoS. Estabeleça as bases e configure seu serviço de proteção contra DDoS. Por exemplo, configurar uma vida útil (TTL) de DNS para uma curta duração irá acelerar o tempo de atenuação ao rotear o tráfego para um serviço de depuração.

• Teste e otimize: trabalhe com seu fornecedor de proteção contra DDoS para testar e validar seu serviço de depuração de DDoS. Teste o processo, garanta que suas aplicações continuem funcionando conforme o esperado e otimize as configurações.

7. Desenvolva um runbook de resposta contra DDoSUm runbook de resposta contra DDoS (também chamado de manual) permite que sua organização experimente uma resposta controlada e simplificada a um ataque DDoS.

• Se você optar por atenuação sob demanda com ativação manual, sua organização precisa saber o que procurar, o que fazer e para quem ligar a fim de ativar o serviço de DDoS.

• Se você tiver um serviço de proteção contra DDoS sempre ativo ou acionado automaticamente, sua organização precisa saber como reagir se sofrer um ataque de dia zero ou um ataque DDoS que visa um ponto de falha inesperado para o qual ela está desprotegida.

Um runbook de resposta contra DDoS devem incluir processos de resposta a incidentes, caminhos de escalonamento e pontos de contato, incluindo:

Funções e responsabilidades do pessoal-chave e o caminho de escalonamentoIdentifique quais decisões e ações precisam ser tomadas e quem é o responsável por elas. Inclua membros da equipe de TI, proprietários de aplicação em cada linha de negócios, serviço de atendimento ao cliente, equipes de comunicações e executivos, entre outros. Inclua qualquer detalhe especial sobre a sua configuração. Identifique os canais de comunicação que serão abertos e quem irá participar.

Os ataques DDoS têm impacto sobre muito mais do que o setor de TI. A fim de minimizar a interrupção dos negócios, inclua o passo a passo das funções e responsabilidades de cada departamento em toda sua organização.

Com quem entrar em contato e como fazê-lo Armazenar em um só lugar todos os nomes e números de telefone dos principais contatos, na sua organização e no provedor de proteção contra DDoS, pode ajudar a economizar tempo valioso.

Como gerenciar comunicações internasAjude os funcionários da empresa e os principais parceiros a entenderem o que está acontecendo durante o ataque, de maneira que eles não entrem em pânico e criem crises internas adicionais. Tenha um único ponto de contato para transmitir informações e prepare atualizações confidenciais e curtas, no estilo do Twitter, para serem usadas em toda a organização.

Como gerenciar as relações públicas e o relacionamento com o clienteSe o ataque DDoS afeta parceiros, clientes ou o público, considere como sua organização responderá a eles e à mídia.

Elaboração de um plano de proteção contra DDoS: oito práticas recomendadas 5

Planeje análises pós-ataqueSua organização pode aprender com cada ataque. Tenha um processo de análise pós-ataque.

Mantenha o runbook de DDoS atualizadoFaça a revisão e atualização dos procedimentos do runbook e pontos de contato frequentemente, pelo menos uma vez por trimestre.

8. Teste seu runbook de DDoS para garantir prontidão operacionalA melhor maneira de determinar a prontidão operacional é por meio de testes e de uma simulação de ataque DDoS. Um teste anual pode ajudar a analisar diversos cenários de ataque com o objetivo de garantir a conformidade com os caminhos de escalonamento, práticas recomendadas e procedimentos. Ele também pode confirmar que as informações do runbook estão atualizadas e devidamente documentadas.

ConclusãoA atenuação emergencial de DDOS pode ser implantada dentro de uma hora nos casos típicos,

mas isso será depois de uma organização despreparada ter acumulado horas ou dias de tempo de

inatividade e caos. A melhor forma de evitar inatividade devido a DDoS é implementar um plano de

proteção contra DDoS antes de sua organização sofrer um ataque DDoS.

Estar preparado é um lema clássico relevante para uma organização on-line em um mundo onde os ataques DDoS e cibernéticos representam uma ameaça generalizada. Você precisa de soluções robustas, inteligentes e fáceis de usar para manter sua infraestrutura, dados, aplicações e APIs seguros, sem sobrecarregar os recursos internos.

A Akamai orienta líderes de segurança e o gerenciamento de TI a conversar com o provedor de serviços de proteção contra DDoS antes que aconteça um ataque. Faça perguntas e debata sobre todos os possíveis cenários de DDoS que sua organização poderia enfrentar. Implemente uma solução e entenda como usar os serviços de proteção contra DDoS do fornecedor da melhor forma possível. Prepare um runbook de resposta contra DDoS e teste-o.

Com o planejamento de proteção contra DDoS, em vez de pânico e caos, você pode lidar com DDoS sem que os negócios sejam afetados, como aconteceu com estas organizações:

• Um banco comercial internacional com 50.000 logins de membros por dia identificou seus requisitos de proteção contra DDoS, implementou as Soluções Cloud Security da Akamai, testou o sistema, preparou um runbook de atenuação de DDOS e fez as modificações no seu plano de resposta a incidente existente. Mais tarde, quando sofreu ataques DDoS contra sua infraestrutura de DNS, esses ataques foram atenuados e não afetaram os serviços do banco. Leia o estudo de caso em Akamai.com

• Uma agência governamental que planejava um programa de caça a bugs de colaboração coletiva entrou em contato com a Akamai antecipadamente para impedir ataques baseados na Internet e garantir a disponibilidade dos websites que oferecia para a realização de testes de vulnerabilidade. Durante a hackathon, a Akamai negou mais de 19 milhões de solicitações mal-intencionadas e um ataque DDoS proveniente de endereços IP em 83 países sem interrupção do website. Leia o estudo de caso em Akamai.com

Veja mais histórias de clientes do Cloud Security em Akamai.com.

Elaboração de um plano de proteção contra DDoS: oito práticas recomendadas 6

Fontes

1) T3 2016, Seção 2.3

2) T2 2017, Seção 4.2

3) T4 2016, Seção 2.3

4) T3 2016, Seção 2.3

5) T1 2017, Seção 1.0

6) T2 2017, Seção 2.0

7) T1 2017, Seção 2.3

8) T2 2017, Seção 2.5

9) T2 2016, Seção 2.9

A Akamai, desenvolvedora da principal plataforma de entrega na nuvem do mundo, possibilita que seus clientes ofereçam as melhores experiências digitais em qualquer dispositivo, a qualquer hora e em qualquer lugar. A escala da plataforma amplamente distribuída da Akamai é incomparável, com mais de 200 mil servidores em 130 países, oferecendo a seus clientes desempenho superior e proteção contra ameaças. O portfólio de soluções de desempenho na Web e em dispositivos móveis, segurança na nuvem, acesso corporativo e entrega de vídeo da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, 7 dias por semana. Para saber por que as principais instituições financeiras, líderes de e-commerce, provedores de mídia e entretenimento e organizações governamentais confiam na Akamai, acesse www.akamai.com, blogs.akamai.com ou @Akamai no Twitter. Encontre nossas informações de contato globais em www.akamai.com/locations. Publicado em 09/17.