• Nenhum resultado encontrado

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014"

Copied!
5
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 5 páginas )

Texto

(1)

DISTRIBUÍDO DE NEGAÇÃO

DE SERVIÇO DA VERISIGN

(2)

2 RESUMO EXECUTIVO

Este relatório contém as observações e conhecimentos derivados de mitigações em nome dos clientes do DDoS Protection Services da Verisign, ou em colaboração com os mesmos. Representa uma visão única sobre as tendências dos ataques on-line referentes ao trimestre anterior, inclusive estatísticas de ataque, tendências de comportamento e perspectivas futuras.

No período de 1o de janeiro de 2014 a 31 de março, a Verisign observou as seguintes tendências: • A Verisign observou um aumento de 83% no tamanho médio do ataque, comparado com o trimestre

anterior (T1 de 2013) e um aumento de aproximadamente 6% comparado com o mesmo trimestre do ano anterior (T1 de 2013).

• Os agressores lançaram ataques de amplificação em massa com o uso de refletores de NTP e técnicas de amplificação de DNS contra clientes e fornecedores de infraestrutura. O tamanho volumétrico mais comum dos ataques ficou entre 50 e 75 gigabits por segundo (Gbps).

• Aproximadamente 30 por cento dos ataques contra clientes da Verisign estavam direcionados especificamente para a camada de aplicativos (a camada de SSL em particular), o que exigiu que a Verisign utilizasse técnicas avançadas de mitigação.

• Os agressores têm como alvo um conjunto vertical muito mais amplo do que apenas o setor de serviços financeiros. "Mídia e entretenimento" representou o setor vertical atacado com maior frequência no T1, seguido pelo setor de serviços de TI/nuvem/SaaS.

• A Verisign vê indícios de que os agressores podem explorar outros protocolos UDP para grandes ataques de amplificação no futuro próximo; isso pode ser um vetor atraente, devido à simplicidade e à natureza apátrida do UDP.

83

POR CENTO

DE AUMENTO

no tamanho médio do ataque, comparado com o trimestre anterior

(3)

3

ESTATÍSTICAS DE ATAQUE

Os dados de mitigação da Verisign do primeiro trimestre de 2014 reforçam que os ataques DDoS contra empresas on-line e aplicativos da web continuam a aumentar em tamanho e em complexidade. Durante esse período, a Verisign observou um aumento significativo no tamanho médio dos ataques DDoS direcionados aos clientes. O tamanho médio do ataque, 3,92 Gbps, foi até 83 por cento maior do que no trimestre anterior (a média do T4 de 2013 foi de 2,14 Gbps), e representou um aumento de 6 por cento comparado com o mesmo trimestre do ano passado (no T1 de 2013 ficou em 3,7 Gbps). No T1 de 2014, os ataques de reflexão de NTP e os ataques de amplificação de DNS se destacaram como os dois tipos mais comuns de ataques, observou a Verisign. O vetor mais comum no T1 de 2013 surgiu da amplificação de DNS devido a ataques com uso de itsoknoproblembro, mais conhecido como Brobot, que comprometeram as instalações da PHP e da Joomla. O tipo de ataque NTP substituiu os maiores vetores de ataque observados no ano passado. A Verisign presenciou grandes ataques de reflexão de NTP em dezembro de 2013, e essa tendência continuou no T1 de 2014, até o momento da elaboração deste documento. No T1, a Verisign mitigou vários ataques de amplificação, entre 50 e 75 Gbps, em nome dos clientes.

TENDÊNCIAS COMPORTAMENTAIS Maior capacidade de adaptação

No T1 de 2014, a Verisign observou que os agentes de ataques DDoS demonstraram um comportamento cada vez mais adaptável, similar ao observado em 2013. Em várias ocasiões, os agressores monitoraram de maneira constante a eficácia dos seus ataques em andamento, e mudaram as técnicas de ataque para trabalhar com as estratégias de mitigação aplicadas.

As técnicas dos agressores também se desenvolveram para atacar os componentes de infraestrutura dos sites das vítimas e qualquer fornecedor de mitigação contra DDoS que proteja esses sites. Normalmente, o tráfego de ataques destina-se ao endereço IP de um site alvo. Ao utilizar esses novos métodos de ataque, os agressores tinham como alvo o endereço IP dos roteadores localizados no caminho de rede até o site alvo, em busca da "conexão mais fraca".

50 A 75

G B PS

Tamanho médio dos ataques de amplificação no T1 DESCRIÇÃO

As empresas utilizam o protocolo de transferência de rede (NTP) para sincronizar seus dispositivos de rede, roteadores, comutadores, firewalls, sistemas de detecção de invasão, servidores, estações de trabalho, sistemas VoIP e dispositivos dos clientes que entram na rede dessas empresas. O NTP funciona com o protocolo de datagrama do usuário (UDP), utilizando a porta 123 como fonte e como destino que, por sua vez, funciona com o IP, conforme descrito no documento de pedido de comentários (RFC) 5905 para a versão atual do NTP, a versão 4. O NTP proporciona ao potencial agressor informações sobre o sistema, entre elas o pptime, o tempo desde a última reinicialização, estatísticas da memória e listagens similares de NTP.

EXPLORAÇÃO

Um agressor que utiliza ferramentas comuns como Metasploit e Nmap pode determinar os servidores NTP que suportam monlist. O sucesso desse ataque depende na exploração do recurso monlist do NTP. Esse recurso é ativado como padrão em dispositivos mais antigos que suportam NTP. Esse comando envia uma lista dos últimos 600 endereços IP conectados ao servidor NTP da vítima. Devido ao endereço falso de origem, quando o servidor NTP envia a resposta, ela é enviada para o endereço de destino, em vez do endereço falso que fez o pedido. Como o tamanho da resposta é muito maior do que o pedido, o agressor consegue amplificar o volume do tráfego direcionado na rede da vítima.

MITIGAÇÃO

Uma forma de diminuir os efeitos de um ataque NTP em andamento é limitar a quantidade de tráfego NTP permitido a entrar na rede. Uma forma de contornar o problema é desativar o monlist no servidor NTP ou fazer um upgrade para a última versão do NTP (4.2.7), que desativa a funcionalidade de monlist.

O QUE É NTP?

0 ... 4 2,14 Gbps 3.7 Gbps 3,7 Gbps 3.92 Gbps 3,92 Gbps T1 de 13 de 13T4 de 14T1

(4)

4 ALVO NA CAMADA DE APLICATIVOS

Dos ataques mitigados pela plataforma do DDoS Protection Services, a Verisign observou que

aproximadamente 30 por cento tinham como alvo as camadas de aplicativos, principalmente a camada SSL. Esses agressores visavam aplicativos web específicos, cabeçalhos de protocolos e parâmetros de aplicativos para afetar a disponibilidade da vítima. Ao mesmo tempo que esses ataques eram menores em tamanho geral, representavam ataques mais complexos, exigindo que a Verisign utilize técnicas sofisticadas de mitigação que muitas vezes incluem uma combinação de geração de assinaturas em tempo real, inspeção de pacotes e a administração de várias capacidades dos clientes e técnicas de gestão de recursos. A plataforma de mitigação contra DDoS da Verisign, Athena, suportada por uma inteligência contra ameaças internamente compartilhada do iDefense Security Intelligence Services da Verisign, se mostrou muito eficaz na mitigação desses ataques complexos.

ALVO AMPLIADO PARA VÁRIOS SETORES

Conforme também foi observado no T1 de 2014, os agressores, cada vez mais, tiveram como alvo outros setores além dos serviços financeiros. A Verisign observou que os clientes de mídia e entretenimento foram os atacados com maior frequência, seguidos pelo setor de serviços de TI/nuvem/SaaS (ver Figura 1). O número de mitigações da Verisign em nome dos clientes de serviços financeiros diminuiu 34 por cento no T1 de 2014, comparado com todo o ano de 2013. A porcentagem de mitigações realizadas para os setores de mídia/entretenimento e comércio eletrônico aumentou 33 por cento, comparado com 2013. O setor vertical de serviços de TI/nuvem/SaaS sofreu os maiores ataques, de até 64 Gbps, comparado com o tamanho dos maiores ataques a clientes da Verisign em 2013, que chegaram a mais de 160 Gbps, e tinham como alvo os clientes de serviços financeiros.

PARA COMBATER O DDOS, O TAMANHO IMPORTA

A mitigação eficaz contra ataques volumétricos exige uma cobertura de rede sofisticada e experiência dos prestadores de serviços. O tráfego de ataque DDoS pode surgir de qualquer região do mundo, e qualquer perfil de ataque pode inundar os centros de mitigação do fornecedor regional sem as capacidades e a flexibilidade de um backbone interconectado globalmente.

A rede de mitigação contra DDoS da Verisign foi estrategicamente desenvolvida para administrar cargas de tráfego nominal, além de grandes picos de tráfego que ocorrem em condições de ataque DDoS. A configuração MPLS flexível permite que os engenheiros de DDoS da Verisign projetem de maneira seletiva e façam o roteamento dos fluxos de tráfego em resposta à dinâmica global de ataques DDoS, para que nenhum componente seja sobrecarregado.

Segundo a Verisign

30

POR CENTO

dos ataques tinham como alvo a camada de aplicativos 0 200 160 Gbps 3.7 Gbps 64 Gbps Saas/ Nuvem/ Serviços de TI Verisign Serviços financeiros Clientes

(5)

PERSPECTIVAS FUTURAS

O cenário do ataque DDoS muda a cada dia, e os agressores implementam novas técnicas, visando um grupo muito mais amplo de empresas e tornando-se mais sofisticados. Com base na análise de tendências, a Verisign prevê que os ataques DDoS continuarão a aumentar em tamanho e complexidade nos próximos trimestres e em todo o ano de 2014.

Enquanto os ataques de amplificação de DNS ainda são comuns, e os ataques de reflexão de NTP se desenvolveram, a Verisign prevê que novos tipos de ataques de amplificação e reflexão apareçam e proliferem. Provavelmente, esses ataques explorarão protocolos adicionais e tipos de portas e, em pouco tempo, podem pegar de surpresa as empresas despreparadas e até mesmo os fornecedores de mitigação contra DDoS. Outros protocolos UDP que são alvos potenciais são o SNMP e IKE, que podem ser usados para lançar os tipos de ataque de IP falso de origem e têm potencial para serem amplificados, como o DNS e NTP.

Para mais informações sobre os ataques DDoS, melhores práticas para defesa e os DDoS Protection Services da Verisign, acesse VerisignInc.com/DDoS.

"A Verisign prevê que novos tipos de ataques de amplificação e reflexão apareçam e proliferem."

VerisignInc.com

© 2014 VeriSign, Inc. Todos os direitos reservados. VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciais registradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais pertencem a seus respectivos proprietários.

Material público da Verisign 201405

MITIGAÇÕES VERTICAIS NO T1 DE 2014

0

35%

100

23%

16%

11%

9%

6%

Figura 1: Mitigações da Verisign por setor do cliente

Mídia e entretenimento Serviços de TI/Nuvem/Saas Telecomunicações Financeiro Fabricação

Comércio eletrônico/ Publicidade on-line

Referências

Descarregar agora ( PDF - 5 páginas - 6.88 MB )

Documentos relacionados

IDAAP Ano IV - Edição nº 86-2ª quinzena de março de 2013

Promovido pelo Sindifisco Nacio- nal em parceria com o Mosap (Mo- vimento Nacional de Aposentados e Pensionistas), o Encontro ocorreu no dia 20 de março, data em que também

Tentativa.doc 2.0: aspectos tecnopoéticos de uma pesquisa criação na cena intermedial

Nessa situação temos claramente a relação de tecnovívio apresentado por Dubatti (2012) operando, visto que nessa experiência ambos os atores tra- çam um diálogo que não se dá

MECANISMO ANTI-SPAM BASEADO EM AUTENTICAÇÃO E REPUTAÇÃO. Danilo Michalczuk Taveira

O valor da reputação dos pseudônimos é igual a 0,8 devido aos fal- sos positivos do mecanismo auxiliar, que acabam por fazer com que a reputação mesmo dos usuários que enviam

CORREÇÃO DA FICHA DE REVISÕES DE 8.º

8- Bruno não percebeu (verbo perceber, no Pretérito Perfeito do Indicativo) o que ela queria (verbo querer, no Pretérito Imperfeito do Indicativo) dizer e, por isso, fez

FICHA DE REVISÕES DE LÍNGUA PORTUGUESA

A Sementinha dormia muito descansada com as suas filhas. Ela aguardava a sua longa viagem pelo mundo. Sempre quisera viajar como um bando de andorinhas. No

Correção da ficha de revisões de 9.º ano

5- Bruno não percebeu (verbo perceber, no Pretérito Perfeito do Indicativo) o que ela queria (verbo querer, no Pretérito Imperfeito do Indicativo) dizer e, por isso, fez

Formação geral no SESI-PE e qualificação profissional no SENAI-PE: o projeto EMEP (Ensino Médio e Educação Profissional)

dois gestores, pelo fato deles serem os mais indicados para avaliarem administrativamente a articulação entre o ensino médio e a educação profissional, bem como a estruturação

Steel reinforcement for tires - Test method development to assess the adhesion of steel reinforcements to rubber under dynamic conditions

The focus of this thesis was to determine the best standard conditions to perform a laboratory-scale dynamic test able to achieve satisfactory results of the