Como se defender de ataques DDoS com botnets

Como se defender de ataques DDoS com botnets – zero trust e inteligência de ameaças.

Oferecendo uma base maciça e distribuída de dispositivos conectados à Internet, uma rede de bots é ideal para lançar um ataque de negação distribuída de serviço (DDoS). Um botnet é um conjunto de dispositivos conectados à Internet sob o controle de criminosos cibernéticos, e de fato, os ataques DDoS praticamente sempre alavancam uma rede de bots DDoS. Ao enviar um alto volume de tráfego falso de cada dispositivo zumbi, a rede de bots pode rapidamente sobrecarregar a rede alvo. Como o servidor web luta para lidar com o aumento de solicitações, seus ciclos de processamento, interfaces de rede e memória usada para o processamento de comunicações se esgotam, fazendo com que as conexões do tráfego normal sejam desaceleradas ou mesmo excluídas.

Em um ataque DDoS volumoso, o botnet DDoS usa técnicas de força bruta para inundar o alvo com pacotes de dados para consumir largura de banda e recursos. Cada vez mais, os hackers procuram multiplicar o impacto de um ataque DDoS alavancando os fatores de amplificação dos protocolos e serviços comuns usados em toda a Internet. Com esta abordagem de amplificação refletida, o atacante envia múltiplas solicitações a estes serviços falsificando o endereço IP da vítima, enganando os servidores para que respondam com grandes respostas amplificadas.

Um ataque DDoS depende das fraquezas e complexidade dos protocolos de comunicação da Internet para comprometer a rede alvo. Por exemplo, o BGP (Border Gateway Protocol) é usado por operadores de rede para anunciar a outras redes como seu espaço de endereçamento está configurado. Ao enviar uma atualização fraudulenta do BGP, um hacker pode redirecionar o tráfego da rede para sobrecarregar e esgotar recursos direcionados, tais como roteadores e firewalls. Em 2018, os hackers usaram o hijacking BGP em conjunto com um botnet DDoS para redirecionar o tráfego destinado ao MyEtherWallet, um serviço que gerenciava contas de criptomoeda Ethereum, para servidores russos para facilitar o roubo de carteiras de criptomoeda.

A Ascensão do Botnet IoT

A Internet das Coisas tem sido um terreno fértil para um ataque de negação de serviço. Os dispositivos IoT são notórios por sérios problemas de segurança, desde senhas fracas ou padrão e configurações de segurança confusas, até acesso aberto a sistemas de gerenciamento e controles administrativos. Os patches de segurança são frequentemente negligenciados, especialmente no caso de dispositivos de consumo. As redes pelas quais eles se conectam à Internet, tais como sistemas Wi-Fi domésticos, são tipicamente não monitoradas. Essas vulnerabilidades tornam muito fácil para os hackers recrutar esses dispositivos para uma rede de bots IoT, permanecendo sem detecção por um  longo período.

A partir do final de 2016, foi lançada uma série de ataques DDoS que estabeleceram recordes que os pesquisadores acabaram atribuindo ao botnet Mirai IoT. Estes incluíam ataques de botnet DDoS ao KrebsOnSecurity cybersecurity blog e Dyn DNS (Domain Name Service), e atingiram o então inédito nível de tráfego de um terabit por segundo. Projetado para identificar dispositivos não seguros na Internet, o Mirai tentaria primeiro invadir usando senhas padrão comuns antes de recorrer à  (força bruta. A posterior liberação pública do código fonte do Mirai ajudou a tornar o malware um dos mecanismos mais comuns para recrutar uma rede de bots IoT. Nos anos seguintes, as variantes do Mirai continuaram a proliferar, registrando milhares de ataques DDoS de botnet IoT contra vítimas nos setores financeiro e de serviços de informação.

 Fortalecendo o zero trust e a threat Intelligence para a proteção DDoS

A medida que a proliferação de redes de bots – especialmente de bots IoT – intensifica a ameaça de negação de serviço, as organizações estão redobrando seu foco na proteção DDoS. A estrutura do zero trust é um elemento importante deste esforço, ajudando a garantir que as redes estejam sendo protegidas utilizando a filosofia de “nunca confiar, sempre verificar”.

Verificações contínuas em toda a rede ajudam a garantir que os recursos sejam acessados somente por usuários e contas autenticadas e autorizadas, complementadas por micro segmentação, micro perímetros, visibilidade abrangente, análise e automação, e uma stack de segurança bem integrada.

Além do zero trust, a inteligência de ameaças é crucial para evitar um ataque de negação de serviço. Dados oportunos sobre a atividade DDoS atual, tais como os endereços IP de botnets DDoS e servidores vulneráveis disponíveis comumente usados para ataques DDoS, aproveitados em conjunto com a detecção de ameaças em tempo real, capacidades de inteligência artificial (IA/machine learning) e extração automática de assinaturas, podem permitir que as organizações adotem uma abordagem de proteção para a mitigação de ataques DDoS.

Por: Ivan Marzariolli, country manager Brasil da A10 Networks

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!