Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с DDoS-атаками

Перевел еще один весьма полезный и актуальный документ - Руководство по обработке инцидентов, связанных с DDoS-атаками. Автор документа Vincent Ferran-Lacome (CERT Societe Generale). В документе кратко приведены основные моменты, которые нужно учесть при обеспечении защиты от DDoS-атак, а также при реагировании на соответствующие инциденты.

В документе определены 6 этапов обработки инцидентов, связанных с DDoS-атаками:

• Подготовка: обеспечение готовности к обработке инцидента
• Идентификация: выявление инцидента
• Локализация и снижение воздействия: минимизация воздействия инцидента
• Исправление: возобновление работы
• Восстановление: восстановление нормального состояния
• Заключительный этап: анализ и совершенствование процесса

Далее приведены краткие инструкции для каждого из этапов.

1. Подготовка

Цель: Составление перечня контактных лиц с указанием их контактной информации, определение процедур, предварительный сбор всей необходимой информации, чтобы сэкономить время в случае атаки.

Поддержка со стороны Провайдера услуг доступа в Интернет

• Уточните у своего Провайдера, какие услуги в области противодействия DDoS-атакам он предлагает (платные и бесплатные) и что вам нужно сделать, чтобы воспользоваться ими.
• По возможности организуйте дополнительный (резервный) канал доступа в Интернет.
• Уточните контактную информацию ответственных лиц вашего Провайдера и в правоохранительных органах. Убедитесь, что с каждым из них у вас есть дополнительный независимый способ взаимодействия (например, стационарный и мобильный телефон).

Инвентаризация

• Создайте «белый список» IP-адресов и протоколов, трафик которых должен иметь повышенный приоритет во время атаки. Не забудьте включить в него VIP-клиентов, ключевых партнеров и т.д.
• Детально задокументируйте ИТ-инфраструктуру, включая бизнес-владельцев, IP-адреса, служебные учетные записи, настройки маршрутизации; подготовьте схему топологии сети, инвентаризацию активов.

Сетевая инфраструктура

• Правильно спроектируйте сетевую инфраструктуру, в которой нет узких мест и единых точек отказа.
• Распределите DNS-серверы и другие критичные сервисы (SMTP и т.п.) по разным провайдерам (AS).
• Используйте защищенную конфигурацию сети, операционных систем и приложений, которые могут быть целью DDoS-атаки.
• Определите базовый уровень нормальной производительности инфраструктуры, чтобы быстрее и точнее выявлять атаки, сравнивая текущую производительность с базовой.
• Если бизнес вашей компании зависит от Интернет, рассмотрите вопрос о приобретении специализированных продуктов и/или сервисов для снижения воздействия DDoS-атак.
• Проверьте настройки параметра TTL (time-to-live) на DNS-серверах для систем, которые могут быть атакованы. При необходимости уменьшите значение TTL, что будет способствовать скорейшему обновлению кэша DNS-серверов и перенаправлению запросов на резервные IP-адреса, если основной IP-адрес будет атакован. Предпочтительным значением TTL является 600.
• Исходя из степени критичности ваших сервисов, рассмотрите вопрос резервирования, чтобы в случае проблем переключиться на резервную систему.

Внутренние контакты

• Установите взаимодействие с группами контроля IDS, межсетевых экранов, систем и сети.
• Совместно с руководителями бизнес-подразделений проанализируйте воздействие (например, денежный ущерб) наиболее вероятных сценариев DDoS-атак.
• Привлеките группу планирования BCP/DR (непрерывности бизнеса и восстановления после аварий) к вопросам, связанным с DDoS-атаками.

Этап подготовки следует рассматривать как самый важный элемент успешного реагирования на инциденты, связанные с DDoS-атаками.

2. Идентификация

Цель: Обнаружение инцидента, определение его масштабов, привлечение к работе по нему необходимых сторон.

Анализ атаки

• Установите тип происходящей DDoS-атаки, определите, какие компоненты инфраструктуры подвержены ее влиянию.
• Определите, являетесь ли вы целью атаки, или воздействие на вас является лишь побочным эффектом, вызванным атакой на другую цель.
• Проанализируйте нагрузку и лог-файлы серверов, маршрутизаторов, межсетевых экранов, приложений и других компонентов инфраструктуры, подверженным влиянию атаки.
• Определите характеристики трафика DDoS-атаки, отличающиеся от обычного, полезного трафика:
• IP-адреса отправителей пакетов, их провайдеры (подсети) и т.п.
• Номера портов получателя
• Адреса URL
• Флаги протоколов
• Для анализа трафика можно воспользоваться следующими утилитами: tcpdump, tshark, snort, ntop, argus, aguri, mrtg.
• При наличии возможности, создайте сигнатуру для системы NIDS, направленную на выявленные различия между обычным трафиком и вредоносным.

Привлеките внутренних и внешних участников

• Взаимодействуйте с внутренними подразделениями вашей компании, чтобы узнать, какие у них есть сведения об атаке.
• Обратитесь за помощью к вашему провайдеру. Заранее определитесь, какие характеристики трафика вы хотите контролировать:
• Группы сетей
• IP-адреса отправителей
• Протоколы
• Уведомите руководство и юридическое подразделение вашей компании об атаке.

Проанализируйте ситуацию

• Возможно, у компании вымогали деньги или присылали угрозы, что могло быть предвестником атаки.
• Проанализируйте, в чьих интересах может проводиться атака, кто получит выгоду от этого:
• Конкуренты
• Идеологически-мотивированные группы (хактивисты)
• Бывшие сотрудники

3. Локализация и снижение воздействия

Цель: Снижение воздействия атаки на целевую среду.

• Если узким местом является отдельная функция приложения, временно отключите эту функцию.
• Попытайтесь снизить или заблокировать DDoS-трафик максимально близко к магистральному провайдеру с помощью маршрутизатора, межсетевого экрана, балансировщика нагрузки, специализированных устройств и т.д.
• Закройте ненужные соединения или процессы на серверах и маршрутизаторах, внесите изменения в настройки TCP/IP на них.
• При наличии возможности, переключитесь на другую площадку или сеть, используя DNS или иной механизм. Перенаправьте в «пустоту» (blackhole - устройство, которое уничтожает все поступающие на него сетевые пакеты) DDoS-трафик, направленный на первоначальный IP-адрес.
• Организуйте альтернативный коммуникационный канал между вами и вашими пользователями/клиентами (например, веб-сервер, почтовый сервер и т.д.).
• При наличии возможности, перемаршрутизируйте трафик с помощью DNS или настроек маршрутизации, и направьте его через сервис или продукт «очистки» трафика (traffic-scrubbing).
• Настройте фильтр для блокировки трафика, который отправляют ваши системы в ответ на DDoS-трафик, чтобы избежать передачи по сети ненужных пакетов.
• В случае вымогательства, постарайтесь выиграть время – например, сообщите мошенникам, что вам нужно больше времени, чтобы согласовать выплату денег с руководством.

Если узкое место находится на стороне провайдера или узким местом является канал связи, только провайдер может предпринять эффективные действия. В этом случае работайте в тесных взаимоотношениях с провайдером, обеспечьте эффективный обмен информацией.

4. Исправление

Цель: Выполнение мероприятий для возобновления работы атакованного сервиса.

• Свяжитесь с провайдером, чтобы убедиться, что он принял меры для исправления ситуации. Вот некоторые из возможных мер (для справки):
• Фильтрация (по возможности на уровне магистрального провайдера)
• Очистка трафика (traffic-scrubbing или clean-pipe)/перемаршрутизация трафика в сеть-приманку (sinkhole)
• Перемаршрутизация трафика в «пустоту» (blackhole)
• Если заказчики DDoS были определены, рассмотрите вопрос о привлечении правоохранительных органов. Это решение следует принимать на уровне руководства и юридического подразделения.

Основная часть технических мероприятий по исправлению ситуации может быть реализована вашим провайдером.

5. Восстановление

Цель: Возврат в первоначальное функциональное состояние.

Оценка условий завершения DDoS

• Убедитесь, что доступность сервисов, на которые было оказано влияние, восстановлена.
• Убедитесь, что производительность инфраструктуры вернулась на нормальный уровень.

Отключение мер, которые были использованы для снижения воздействия

• Переключите трафик обратно на обычный маршрут.
• Перезапустите остановленные сервисы.

Обеспечьте выполнение действий по возобновлению обычной работы во взаимодействии или с согласия группы поддержки сети. Восстановление сервисов может иметь неожиданные побочные эффекты.

6. Заключительный этап

Цель: Документация детальной информации об инциденте, обсуждение урока на будущее, внесение изменений в планы и в организацию защиты.

• Продумайте, какие подготовительные шаги вы можете предпринять, чтобы реагировать на инциденты быстрее и более эффективно.
• При необходимости внесите изменения в предположения, с учетом которых выполнялись подготовительные шаги в отношении DDoS-атак.
• Оцените эффективность процесса реагирования на произошедший инцидент, включая работу людей и коммуникаций.
• Продумайте, какие взаимоотношения внутри и вне компании могли бы помочь вам в случае возникновения подобных инцидентов в будущем.
• Взаимодействуйте с юридическим подразделением, если были инициированы какие-либо правовые действия.