На прошлой неделе многочисленные европейские интернет-провайдеры (ISP) подверглись атакам распределенного отказа в обслуживании (DDoS). Атаки затронули интернет-провайдеров во Франции, Бельгии и Нидерландах. Некоторые эксперты предположили, что отключение CenturyLink на прошлой неделе в США могло быть вызвано DDoS-атакой; В двух отдельных аналитических отчетах говорится, что отключение CenturyLink произошло из-за проблемы с инструментом, который обычно используется для предотвращения DDoS-атак.По словам главного администратора парламента Норвегии, на прошлой неделе норвежский парламент стал жертвой кибератаки, а электронные письма нескольких правительственных чиновников были взломаны.Частные компании и правительственные учреждения Новой Зеландии находятся в состоянии повышенной готовности после того, как фондовая биржа страны стала целью серии распределенных атак типа «отказ в обслуживании» (DDoS).В связи с этим были опубликованы: Общие рекомендации по безопасности: продолжающаяся кампания DoS-атак, затрагивающих новозеландские организации
Рекомендации
Рекомендуется следовать приведенным ниже инструкциям, воспроизведенным в Центре кибербезопасности Австралии1.
Он отражает передовую практику, разработанную в ответ на предыдущий отказ в обслуживании.Подготовка к атакам типа "отказ в обслуживании"Прежде чем принимать какие-либо меры по подготовке к атакам типа «отказ в обслуживании», организации должны определить, существуют ли бизнес-требования к их онлайн-сервисам, чтобы противостоять атакам типа «отказ в обслуживании», или приемлемо ли для организации временный отказ в доступе к онлайн-сервисам.Если организации желают повысить свою способность противостоять атакам отказа в обслуживании, им следует, где это целесообразно и практически, принять следующие меры до начала любых атак типа отказа в обслуживании:
• Определите, какие функциональные возможности и качество обслуживания приемлемы для законных пользователей онлайн-сервисов, как поддерживать такую функциональность и без каких функциональных возможностей можно жить во время атак типа «отказ в обслуживании».
• Обсудите с поставщиками услуг детали их стратегий предотвращения и смягчения атак типа «отказ в обслуживании». В частности, поставщик услуг:
- способность противостоять атакам типа «отказ в обслуживании»• любые расходы, которые могут понести клиенты в результате атак типа «отказ в обслуживании»
- пороговые значения для уведомления клиентов или отключения их онлайн-сервисов во время атак типа «отказ в обслуживании»
- предварительно утвержденные действия, которые могут быть предприняты во время атак типа «отказ в обслуживании»
- договоренности о предотвращении атак типа «отказ в обслуживании» с вышестоящими поставщиками (например, поставщиками услуг уровня 2) для блокирования вредоносного трафика как можно дальше в восходящем направлении.
• Защитите доменные имена организации с помощью блокировки регистратора и подтверждения правильности данных регистрации домена (например, контактных данных).
• Обеспечьте круглосуточное ведение контактных данных поставщиков услуг и предоставление поставщикам услуг круглосуточной контактной информации для своих клиентов.
• Установите дополнительные внешние контактные данные (например, номер мобильного телефона и неорганизационный адрес электронной почты), чтобы поставщики услуг могли использовать их при выходе из строя обычных каналов связи.
• Внедрить мониторинг доступности с предупреждениями в реальном времени для обнаружения атак типа «отказ в обслуживании» и измерения их воздействия.
• Отделите важные онлайн-сервисы (например, почтовые сервисы) от других онлайн-сервисов, которые с большей вероятностью будут нацелены (например, услуги веб-хостинга).
• Предварительно подготовьте статическую версию веб-сайта, которая требует минимальной обработки и полосы пропускания, чтобы обеспечить непрерывность обслуживания при атаках типа «отказ в обслуживании».
• Используйте облачный хостинг от крупного поставщика облачных услуг (желательно от нескольких крупных поставщиков облачных услуг для обеспечения избыточности) с высокой пропускной способностью и сетями доставки контента, которые кэшируют нединамические веб-сайты.
• При использовании сети доставки контента избегайте раскрытия IP-адреса веб-сервера, находящегося под контролем организации (называемого исходным веб-сервером), и используйте брандмауэр, чтобы гарантировать, что только сеть доставки контента может получить доступ к этому веб-серверу.
• Используйте службу предотвращения атак типа «отказ в обслуживании».Реагирование на атаки типа "отказ в обслуживании"Организации, которые хотят попытаться противостоять атакам типа «отказ в обслуживании», но не подготовились заранее, должны, где это уместно и практически, принять следующие меры, отмечая, что они будут гораздо менее эффективными, чем если бы они были в состоянии надлежащим образом подготовиться заранее:
• Обсудите с поставщиками услуг их способность немедленно реализовать любые ответные действия, отметив, что поставщики услуг могут быть не в состоянии или не желать этого или могут взимать дополнительную плату за услуги, не предусмотренные контрактами.
• Временно переносить онлайн-сервисы на облачный хостинг, размещенный у крупного поставщика облачных услуг (желательно от нескольких крупных поставщиков облачных услуг для обеспечения избыточности) с высокой пропускной способностью и сетями доставки контента, которые кэшируют нединамические веб-сайты. При использовании сети доставки контента избегайте раскрытия IP-адреса исходного веб-сервера и используйте брандмауэр, чтобы гарантировать, что только сеть доставки контента может получить доступ к этому веб-серверу.
• Используйте службу предотвращения атак типа «отказ в обслуживании» на время атаки типа «отказ в обслуживании».• Намеренное отключение функций или удаление контента из онлайн-сервисов, которые делают текущую атаку типа «отказ в обслуживании» эффективной (например, реализация заранее подготовленной версии веб-сайта с низким уровнем ресурсов, удаление функции поиска или удаление динамического контента или очень больших файлов) .