Embed Size (px)
Citation preview
Descubra como a Kaspersky Lab defende as empresas contra ataques DDoS
KASPERSKY DDOSPROTECTION
2
Se a sua empresa já tiver sofrido um ataque de recusa de serviço distribuída (DDoS), já tem consciência de que os custos financeiros e de reputação podem ser devastadores. No entanto, mesmo que a sua empresa tenha tido a sorte de escapar à atenção dos cibercriminosos e hackers que lançam estes ataques, a perspetiva do futuro pode não ser tão positiva.
Infelizmente, nos últimos anos, o custo de lançamento de um ataque DDoS desceu significativamente, o que significa que estão a ser iniciados mais ataques do que nunca. Simultaneamente, os ataques atuais são mais complexos e são efetuados a uma escala que pode sobrecarregar a largura de banda das comunicações da empresa-alvo em apenas alguns segundos, debilitando os processos empresariais internos vitais quase de forma imediata e desativando totalmente a presença online da empresa vítima.
Dado que as empresas de todas as dimensões dependem da respetiva infraestrutura de TI e website para sustentar quase todos os processos cruciais, um período prolongado de inatividade, que pode resultar de um ataque DDoS, não é opção. É evidente que, com o volume, a escala e a gravidade dos ataques modernos, nenhuma empresa pode esperar que a respetiva infraestrutura já esteja a ser alvo de ataque para aplicar uma solução de proteção e mitigação contra DDoS. Em vez disso, as empresas e as organizações do setor público têm de estar conscientes das ameaças e garantir a implementação de medidas de defesa adequadas contra DDoS.
É necessário que todas as empresas tenham uma estratégia anti-DDoS preparada para ser aplicada assim que for detetado um ataque. Assim, em caso de ataque, a empresa conseguirá mitigar os efeitos, sem atrasos, para:
• Minimizar o tempo de inatividade das infraestruturas e processos essenciais da empresa• Garantir que os clientes podem continuar a aceder aos serviços online• Manter a produtividade dos funcionários• Minimizar danos à reputação
O VOLUME E A GRAVIDADE DOS ATAQUES ESTÃO A AUMENTAR
"MAIS VALE PREVENIR DO QUE REMEDIAR"
OS CIBERCRIMINOSOS ESTÃO A ESCOLHER AS EMPRESAS COMO ALVO
3
Os cibercriminosos e os hackers estão a utilizar várias técnicas diferentes para implementar ataques DDoS que desativam ou sobrecarregam a infraestrutura de TI da empresa-alvo.
ATAQUES VOLUMÉTRICOS
Estes ataques são cada vez mais comuns. Ao gerar níveis de tráfego que excedem a largura de banda disponível da empresa-alvo, o ataque satura a capacidade da ligação à Internet da empresa vítima e desativa ou atrasa todas as atividades online.
ATAQUES À CAMADA DE APLICAÇÃO
Os ataques à camada de aplicação tentam provocar uma falha nos servidores que executam aplicações vitais, tais como os servidores Web essenciais para a presença online da vítima.
OUTROS ATAQUES A INFRAESTRUTURAS
Os ataques que visam desativar o equipamento de rede e/ou os sistemas operativos dos servidores podem parar completamente o funcionamento dos principais processos empresariais.
ATAQUES HÍBRIDOS
Os cibercriminosos também lançam ataques complexos que combinam vários métodos, incluindo técnicas de ataque volumétricas, à camada de aplicação e à infraestrutura.
MÉTODOS DE ATAQUE DDOS
4
O Kaspersky DDoS Protection fornece uma solução total e integrada de mitigação e proteção contra ataques de DDoS que se ocupa de todas as fases necessárias para defender a sua empresa. Da análise contínua de todo o tráfego online, aos alertas sobre a possível presença de um ataque e, finalmente, à receção do tráfego redirecionado, limpeza do tráfego e devolução de um tráfego "limpo", o Kaspersky DDoS Protection fornece tudo aquilo de que a sua empresa precisa para se defender e mitigar os efeitos de todos os tipos de ataques DDoS.
• Software do sensor da Kaspersky Lab – executado na sua infraestrutura de TI• Os serviços da nossa rede global de "centros de limpeza" de tráfego de dados• Assistência do nosso Centro de operações de segurança e especialistas em proteção contra DDoS• Análise e relatórios detalhados pós-ataque
O KASPERSKY DDOS PROTECTION INCLUI:
A SOLUÇÃO DE DEFESA E MITIGAÇÃO TOTAIS
5
O software do sensor da Kaspersky Lab recolhe informações sobre todo o tráfego de comunicações – 24 horas por dia, 365 dias por ano. O sensor é instalado o mais próximo possível do recurso que pretende proteger e recolhe de forma contínua dados sobre o tráfego, incluindo:
Assim que os nossos servidores ou especialistas em informação identificam um possível ataque à sua empresa, o Centro de operações de segurança da Kaspersky Lab recebe um alerta. Para ajudar a evitar falsos alarmes e interrupções desnecessárias para a empresa, os engenheiros da Kaspersky Lab efetuam uma verificação para confirmar se a anomalia no tráfego ou o comportamento suspeito resulta de um ataque DDoS. Em seguida, os engenheiros da Kaspersky Lab entram imediatamente em contacto com a empresa para recomendar o redirecio-namento do tráfego para a nossa rede de centros de limpeza.
Durante o ataque, um vez que todo o tráfego passa agora através de um dos nossos centros de limpeza:
• A sua infraestrutura já não está a ser sobrecarregada pelo grande volume de tráfego não solicitado• O nosso processo de limpeza elimina todo o tráfego não solicitado• O tráfego legítimo é devolvido à empresa – a partir da nossa rede de centros de limpeza
... e todo o processo é totalmente transparente para os seus funcionários e clientes.
• Dados do cabeçalho• Tipos de protocolos• Número de bytes enviados e recebidos• Número de pacotes enviados e recebidos• Atividades e comportamento – de cada visitante do seu website• Todos os metadados sobre o tráfego
EVITAR FALSOS ALARMES… E, EM SEGUIDA, LIMPAR O TRÁFEGO
FUNCIONAMENTO DO KASPERSKY DDOS PROTECTION
Todas estas informações são enviadas para os servidores baseados na nuvem da Kaspersky Lab, onde são analisadas para que seja possível criar perfis sobre o comportamento dos visitantes típicos e do seu tráfego típico, bem como para analisar de que forma o tráfego pode variar de acordo com a hora do dia e com o dia da semana, e ainda como os eventos especiais podem afetar os padrões de tráfego. Com este profundo conhecimento sobre as "condições normais de tráfego" e sobre os "comportamentos normais dos visitantes", os nossos servidores baseados na
nuvem conseguem avaliar com precisão as condições de tráfego ao vivo, em tempo real, e identificar rapidamente anomalias que podem indicar que foi lançado um ataque contra a sua empresa.
Além disso, os nossos especialistas em informações sobre ameaças monitorizam continuamente o cenário de ameaças DDoS para identificar novos ataques. Estas informações especializadas ajudam a garantir que os clientes da Kaspersky Lab beneficiam de uma resposta rápida ao lançamento de um ataque.
6
Ao escolher o Kaspersky DDoS Protection, é necessário realizar um pequeno número de tarefas de configuração antes de a monitorização diária e permanente e os canais de comunicação de "ataque em tempo real" serem estabelecidos. A Kaspersky Lab e os seus parceiros podem prestar-lhe a ajuda de que necessita para o processo de configuração.
Em condições normais, o tráfego é fornecido diretamente à sua rede empresarial, enquanto os servidores do Kaspersky DDoS Protection baseados na nuvem monitorizam quaisquer sinais de ataque DDoS. O tráfego ape-nas é redirecionado para a nossa rede global de centros de limpeza após a deteção de um ataque e de a empre-sa confirmar que pretende redirecionar o respetivo tráfego.
O Kaspersky DDoS Protection permite-lhe escolher o método de redirecionamento:
• Border Gateway Protocol (BGP)• Sistema de nomes de domínio (DNS)
Caso precise de uma solução completa, a Kaspersky Lab e os seus parceiros conseguem cobrir a vasta maioria de procedimentos de configuração, incluindo:
• Instalação do software e hardware do sensor na sua empresa• Configuração do redirecionamento de tráfego para os nossos centros de limpeza• Configuração do fornecimento de tráfego "limpo" à sua empresa
... ou seja, tudo o que tem de fazer é disponibilizar um canal de Internet separado para o sensor para que o Kaspersky DDoS Protection possa continuar a recolher dados quando o principal canal de Internet for desativado devido a um ataque.
O SENSOR PERMITE UMA MONITORIZAÇÃO DIÁRIA E PERMANENTE
REDIRECIONAMENTO DE TRÁFEGO
CONFIGURAÇÃO RÁPIDA E FÁCIL DA PROTEÇÃO
O software do sensor da Kaspersky Lab é fornecido completo com um sistema operativo Ubuntu Linux padrão. Uma vez que o software do sensor é executado num servidor x86 padrão – ou numa máquina virtual* – não existe qualquer hardware especial para manutenção.
Dado que o sensor está ligado à porta SPAN (Switched Port Analyzer), é possível obter a melhor visualização possível de todo o tráfego que entra e sai do recurso protegido.
Assim que o sensor for ligado à sua infraestrutura, começa a recolher dados sobre o tráfego de entrada
e de saída. Analisa os cabeçalhos de cada pacote e envia informações para os servidores na nuvem do Kaspersky DDoS Protection, onde criamos perfis estatísticos do "comportamento normal de tráfego" e do "comportamento normal de visitantes" para a empresa.
O sensor não captura o conteúdo de quaisquer mensagens no tráfego de comunicações para manter a privacidade das suas comunicações e para o ajudar nos seus compromissos de conformidade. O sensor apenas recolhe dados sobre o tráfego, pelo que a confidencialidade das mensagens nunca é comprometida por qualquer processo do Kaspersky DDoS Protection.
* A máquina virtual deve satisfazer ou exceder os requisitos mínimos de desempenho especificados pela Kaspersky Lab.
7
Independentemente de configurar o redirecionamento de tráfego via BGP ou DNS, a configuração vai depender em grande medida da natureza da infraestrutura de TI e de comunicações da sua empresa:
• Para o BGP, é necessário:
° Um fornecedor de rede independente – que inclui os recursos que pretende proteger
° Um sistema autónomo... e a maioria das grandes empresas consegue satisfazer esses critérios.
• Para DNS, tem de ser capaz de:
° Gerir a sua própria zona de domínio para os recursos que pretende proteger
° Definir o Tempo de vida (TTL) para registos DNS para 5 minutos
Geralmente, durante o ataque, o método BGP obtém um redirecionamento mais rápido do tráfego, pelo que normalmente é este o método preferencial para a maior parte das empresas.
TÚNEIS VIRTUAIS GENERIC ROUTING ENCAPSULATION (GRE)
ESCOLHER ENTRE BGP E DNS
Seja qual for o melhor método de redirecionamento para a sua empresa, os túneis virtuais GRE são utilizados para permitir a comunicação entre o gateway de limite (ou router) e cada centro de limpeza relevante do Kaspersky DDoS Protection.
No caso de ser lançado um ataque DDoS contra a sua empresa, é possível reencaminhar todo o tráfego para um dos nossos centros de limpeza. Os túneis virtuais GRE são utilizados para fornecer o tráfego limpo dos nossos centros de limpeza à sua empresa.
8
Internet
Centro de limpeza
1
Centro de limpeza
2
ISP
Infraestrutura do Kaspersky DDoSProtection A sua rede
Router de limite
Comutador
Sensor KDP
Servidor Web
BGP ― monitorização
Estatísticas
SPAN
Túneisvirtuais
Túneisvirtuais
No modo de monitorização, todo o tráfego é fornecido diretamente à sua empresa. No entanto, os túneis virtuais GRE estão a funcionar "em tempo real", enquanto os routers da empresa e os nossos routers BGP trocam frequentemente informações de estado e, por conseguinte, os centros de limpeza do Kaspersky DDoS Protection estão preparados para receber o tráfego redirecionado, sempre que necessário.
Quando é identificada uma anomalia no tráfego pelo sensor da Kaspersky Lab e é confirmado o início de um ataque pelos engenheiros da Kaspersky Lab, é possível optar por redirecionar todo o tráfego para um centro de limpeza do Kaspersky DDoS Protection.
Durante o ataque, o sensor da Kaspersky Lab continuará a reunir informações e a enviá-las para análise pelos servidores do Kaspersky DDoS Protection baseados na nuvem.
MONITORIZAÇÃO
DURANTE UM ATAQUE
FUNCIONAMENTO DO REDIRECIONAMENTO BGP
9
Quando o ataque terminar, o tráfego é novamente enviado diretamente para a sua empresa. O sensor continua a recolher dados sobre o tráfego e passa constantemente esses dados para os nossos servidores baseados na nuvem para podermos otimizar continuamente os perfis de comportamento para as suas condições normais de tráfego.
Os túneis virtuais continuam ativos, trocando informações entre os routers da empresa e os routers da Kaspersky Lab, para que o Kaspersky DDoS Protection esteja preparado para agir se for lançado outro ataque contra a sua empresa e se optar por redirecionar novamente o tráfego.
Os especialistas da Kaspersky Lab também fornecem análises e relatórios detalhados após o ataque sobre:
• O que aconteceu durante o ataque• Quanto tempo durou o ataque• Como é que o Kaspersky DDoS Protection resolveu o ataque
DEPOIS DE UM ATAQUE
Internet
Infraestrutura do Kaspersky DDoSProtection A sua rede
Router de limite Comutador
Sensor KDP
Servidor Web
BGP ― Mitigação
Estatísticas
SPAN
Anúncio BGPAtravés de KDP
Túneisvirtuais
Túneisvirtuais
Centro de limpeza
1
Centro de limpeza
2
10
Router de limite
Comutador
Sensor KDP
Servidor Web
Estatísticas
SPAN
Pontos DNS para IPs externos de clientes
Internet
ISP
Infraestrutura do Kaspersky DDoSProtection A sua rede
DNS ― Monitorização
Túneisvirtuais
Túneisvirtuais
Centro de limpeza
1
Centro de limpeza
2
Durante a configuração inicial, a Kaspersky Lab atribui um dos conjuntos de endereços IP do Kaspersky DDoS Protection à sua empresa. Este endereço será utilizado em caso de ataque.
No modo de monitorização, todo o tráfego é fornecido diretamente à sua empresa através dos seus endereços IP normais. No entanto, os túneis virtuais GRE estão a funcionar "em tempo real", enquanto os routers da empresa e os nossos routers BGP trocam frequentemente informações de estado e, por conseguinte, os centros de limpeza do Kaspersky DDoS Protection estão preparados para receber o tráfego redirecionado, sempre que necessário.
Quando é identificada uma anomalia no tráfego pelo sensor da Kaspersky Lab e é confirmado o início de um ataque pelos engenheiros da Kaspersky Lab, pode simplesmente alterar o endereço IP da empresa no registo A do DNS… para que a sua empresa utilize o endereço IP do Kaspersky DDoS Protection atribuído durante a configuração inicial. Enquanto isso, como os hackers podem atacar diretamente o seu endereço IP, o ISP tem de bloquear todo o tráfego para o endereço IP original, com a exceção das comunicações com a infraestrutura DDoS Protection da Kaspersky Lab.
Depois da alterar o seu endereço IP, todo o tráfego é redirecionado para os centros de limpeza da Kaspersky Lab. O tráfego "limpo" é devolvido à sua empresa a partir dos nossos centros de limpeza, através dos túneis virtuais GRE.
MONITORIZAÇÃO
DURANTE UM ATAQUE
FUNCIONAMENTO DO REDIRECIONAMENTO DNS
11
Quando o ataque terminar, pode desbloquear o endereço IP original e alterar o registo A do DNS para que o tráfego seja novamente enviado diretamente para a sua empresa.
O sensor da Kaspersky Lab continua a recolher dados sobre o tráfego e passa constantemente esses dados para os nossos servidores baseados na nuvem para podermos otimizar continuamente os perfis de comportamento para as suas condições normais de tráfego.
Os túneis virtuais continuam ativos, trocando informações entre os routers da empresa e os routers da Kaspersky Lab, para que o Kaspersky DDoS Protection esteja preparado para agir se for lançado outro ataque contra a sua empresa e se optar por redirecionar novamente o tráfego.
Os especialistas da Kaspersky Lab também fornecem análises e relatórios detalhados após o ataque sobre:
• O que aconteceu durante o ataque• Quanto tempo durou o ataque• Como é que o Kaspersky DDoS Protection resolveu o ataque
DEPOIS DE UM ATAQUE
Internet
Infraestrutura do Kaspersky DDoSProtection A sua rede
Router de limite Comutador
Sensor KDP
Servidor Web
DNS ― Mitigação
Estatísticas
SPAN
Túneisvirtuais Pontos DNS para
endereços IP KDP
Túneisvirtuais
Centro de limpeza
1
Centro de limpeza
2
NAT
Existe outro componente de defesa importante no Kaspersky DDoS Protection, e trata-se de um componente que a concorrência não consegue igualar.
A Kaspersky Lab é o primeiro fabricante de anti-malware a fornecer uma solução de proteção contra DDoS e isso significa que nenhum outro fornecedor de soluções anti-DDoS consegue igualar a experiência e a escala do nosso departamento interno de informações sobre segurança e a respetiva infraestrutura.
Como parte do trabalho inovador sobre segurança de TI que desenvolvem, os nossos especialistas em informações sobre ameaças monitorizam continuamente o cenário de ameaças para identificar malware novo e ameaças emergentes da Internet. Os mesmos peritos, e os mesmos métodos sofisticados, também são utilizados para monitorizar o cenário de ameaças DDoS. Estas informações especializadas ajudam-nos a efetuar antecipadamente a deteção de ataques DDos... por isso, a sua empresa pode beneficiar da proteção mais rápida.
PROTEÇÃO MULTICAMADAS
INFORMAÇÕES SOBRE AMEAÇAS – PARA UMA DEFESA AINDA MELHOR
Com uma combinação única de monitorização contínua do tráfego, análise estatística e análise de comportamentos, bem como as nossas informações especializadas e pró-ativas sobre ataques DDoS, fornecemos uma solução de proteção contra DDoS mais rigorosa.
Twitter.com/ Kaspersky
Facebook.com/ Kaspersky
Youtube.com/ Kaspersky
© 2014 Kaspersky Lab Iberia. Todos os direitos reservados. As marcas registadas e de serviço são propriedade dos respetivos titulares.
Kaspersky Lab Iberia, Portugal www.kaspersky.pt
Tudo sobre a segurança na Internet: www.securelist.com
Encontre um parceiro perto de si: www.kaspersky.com/buyoffline
DataSheet_DDoS/August14/Global
