Ataques de DDoS: como identificá-los e o que fazer se for vítima

22/05/2024 mindsecblog Notícias 1

Ataques de DDoS: como identificá-los e o que fazer se for vítima. Geralmente orquestrados por botnets, os ataques de negação de serviço (DDoS) são empregados de várias maneiras pelos cibercriminosos. Saiba as principais formas de se proteger contra esse tipo de ameaça.

Um ataque de negação de serviço (DDoS) ocorre quando solicitações ilegítimas em massa são enviadas a um servidor, serviço web ou rede, sobrecarregando sua capacidade e tornando-o inacessível para os usuários. A ESET, líder em detecção proativa de ameaças, adverte que apesar de sua sigla imponente, os ataques DDoS são relativamente simples de executar e são amplamente utilizados pelos criminosos cibernéticos. Portanto, a empresa examina como identificá-los e respondê-los.

“A atitude em relação a esse tipo de ataque mudou significativamente ao longo dos anos no mercado de segurança. Antes, as empresas não se preocupavam muito em buscar soluções para evitá-los, mas agora a maioria dos ambientes está alerta para essa ameaça. Esse movimento foi impulsionado por diversos fatores, incluindo a maturidade crescente da segurança, tanto dos ambientes quanto dos profissionais que atuam na área, e a mudança na maneira como esse tipo de ataque é empregado pelos criminosos”, comenta Daniel Cunha Barbosa, pesquisador de segurança da informação da ESET América Latina.

Atualmente, os ataques DDoS podem ser realizados isoladamente, mas frequentemente são utilizados em conjunto com outros tipos de ataques, como forma de tornar mais persuasiva a exigência de pagamento de um ransomware, causando danos significativos aos serviços da empresa-alvo e impactando diretamente na percepção dos clientes que tentam usar esses serviços. Outra mudança importante refere-se às proteções disponíveis. Atualmente, é possível adotar medidas de proteção para essa finalidade com investimentos muito menores do que há alguns anos. Essas proteções podem até estar disponíveis em alguns ambientes e só precisam ser ativadas.

Detectar esse tipo de ataque não é uma tarefa simples quando o ambiente não é monitorado por soluções pré-configuradas. Geralmente, os ataques são percebidos quando alguém tenta utilizar o serviço e percebe sua lentidão ou indisponibilidade. Idealmente, a detecção mais eficaz baseia-se em dois pilares principais: uma equipe técnica capaz de identificar períodos de estabilidade e a configuração das soluções de segurança com base nos resultados dessa identificação.

Existem muitos tipos de soluções que permitem lidar com o ataque com uma taxa de sucesso muito alta. Entre as destacadas pela ESET estão:

Filtragem de tráfego: um exemplo claro de adaptação de soluções existentes para combater ataques DDoS é a filtragem de tráfego, seja por meio de firewalls comumente utilizados pelas empresas ou de equipamentos específicos para esse fim. Geralmente, os filtros usam regras predefinidas para impedir a passagem de certos tipos de tráfego, evitando assim solicitações excessivas de uma ou mais fontes, formatos de pedido não convencionais para determinados tipos de serviços, tamanhos de pacotes excessivos e outros tipos de abordagens maliciosas. Uma ajuda valiosa para bloquear esses ataques é contar com soluções baseadas em comportamento, permitindo que os usuários legítimos acessem o serviço enquanto os atacantes são bloqueados. ‌
Balanceamento de carga: o balanceamento pode ser feito de várias maneiras, seja tornando disponíveis mais de um link de Internet e alternando seu acesso por meio da configuração de DNS, ou usando um cluster de alta disponibilidade que direciona o serviço para outro nó, se o nó atual não estiver respondendo corretamente.
Serviços especializados de proteção DDoS: Também conhecidos como Redes de Distribuição de Conteúdo (CDN), esses serviços reúnem uma série de características úteis para deter ataques DDoS. Entre as mais valiosas estão a segregação de tipos de acesso, permitindo apenas que os atacantes sejam impedidos de se comunicar com o serviço, além de uma estrutura de rede extremamente robusta capaz de suportar ataques que podem atingir mais de 1 Terabit por segundo, algo difícil de alcançar sem uma estrutura especializada.
Adoção de serviços em nuvem: transferir pontos críticos da infraestrutura interna para servidores ou serviços na nuvem ajuda a resistir aos ataques DDoS. No entanto, não há uma solução mágica. Embora a nuvem geralmente seja capaz de lidar com um maior volume de tráfego, é necessário garantir a contratação de serviços que ofereçam proteção específica contra DDoS ou que permitam a contratação de serviços de terceiros capazes de fornecê-la. É muito importante ler atentamente os contratos de serviço para entender até onde vai a responsabilidade do provedor de serviços em caso de incidente e, principalmente, estar ciente de que a adoção da nuvem geralmente não isenta os contratantes de responsabilidades.
Inteligência de ameaças: um processo de inteligência de ameaças pode fornecer informações valiosas, como IPs relacionados a botnets, servidores vulneráveis associados a cibercriminosos, vulnerabilidades utilizadas para acesso inicial ou movimentação lateral, entre outros indicadores. Esses dados podem ser inseridos em soluções de segurança para evitar interações dessas origens antecipadamente, além de orientar a priorização das vulnerabilidades a serem abordadas primeiro para prevenir ataques.
Monitoramento contínuo: a proteção contra ataques DDoS, ou qualquer outro tipo de ataque, não depende apenas da implementação de ferramentas avançadas no ambiente ou da contratação de serviços extremamente especializados. É necessário que uma ou mais pessoas qualificadas monitorem constantemente as ferramentas e serviços disponíveis para evitar ataques. A ESET recomenda entender o funcionamento normal do ambiente e estabelecer linhas de base para a detecção de anomalias. Embora ferramentas adequadas facilitem a tarefa, é fundamental que haja uma pessoa ajustando e aprimorando o desempenho das soluções.

Fonte: ESET