Počuli ste o DDoS, však? Stručne povedané, záťažové testovanie DDoS je špecifická služba, ktorá vašej organizácii pomôže pochopiť, ako dobre ste pripravení na rôzne vektory útokov DDoS, ktoré vám, bohužiaľ, môžu prísť do cesty. Služba pozostáva zo simulácií DDoS alebo vysokého zaťaženia vášho IT a vykonáva sa prísne kontrolovaným a vopred naplánovaným spôsobom. Získate podrobnú správu, ktorá vás informuje o problémoch siete a serverov súvisiacich s odolnosťou voči DDoS. Získate tiež rady na nápravu a zmiernenie, ako posilniť svoje riešenie na zmiernenie DDoS alebo ako ho implementovať v prípade, že ho ešte nemáte.
PREČO BY STE SI MALI ZAOBSTARAŤ ZÁŤAŽOVÉ TESTOVANIE DDOS?
V súčasnosti je spôsobenie DDoS obeti rovnako jednoduché ako nákup pizze online. Je to aj lacné a účinné. Záťažovým testovaním svojej IT infraštruktúry budete môcť identifikovať a naplánovať zmiernenie problémov súvisiacich s DDoS skôr, ako k útokom dôjde a poškodia vás. Získate tiež prehľad o svojich postupoch reakcie na incidenty a zlepšíte ich alebo jednoducho získate lepšiu kontrolu nad riešením na zmiernenie DDoS, ktoré môžete mať. Ak si chcete takéto riešenie zakúpiť, záťažové testovanie vám môže pomôcť vybrať správneho dodávateľa.
AKO TO FUNGUJE?
Proces záťažového testovania sa zvyčajne začína postupom overovania a prispôsobovania. Vektory útoku DDoS v reálnom čase sú nasmerované na verejne prístupnú infraštruktúru IT organizácie zvonku (scenár v reálnom prostredí) alebo v uzavretom prostredí (simulácia na mieste). Simulácie útoku DDoS by sa mali vykonávať na všetkých príslušných vrstvách modelu OSI jemne kontrolovaným spôsobom s možnosťou "Stop" v každom okamihu. Na proces musí po celý čas dohliadať člen podpory poskytovateľa služieb a zástupca testovanej organizácie.
MIESTO V BEZPEČNOSTNOM PROCESE
Dôvernosť, integrita a dostupnosť, známe aj ako triáda CIA (alebo triáda AIC, ak sa chcete vyhnúť asociácii s istou spravodajskou agentúrou), sú základom informačnej bezpečnosti a spolupracujú na tom, aby vaše údaje a systémy zostali bezpečné. Je nesprávne predpokladať, že jedna časť triády je dôležitejšia ako druhá. Každý informačný systém si bude vyžadovať iné uprednostnenie týchto troch častí v závislosti od údajov, komunity používateľov a aktuálnosti potrebnej na prístup k údajom. Existujú protichodné sily ku koncepciám triády a sú to zverejnenie, zmena a zničenie. O odhalenie ide vtedy, keď čelíte neoprávnenému zverejneniu informácií, zmena predstavuje neoprávnenú modifikáciu údajov a zničenie je zneprístupnenie systémov.
Existujú protichodné sily ku koncepciám triády, a to sú odhalenie, zmena a zničenie. Odhalenie nastáva vtedy, keď čelíte neoprávnenému zverejneniu informácií, zmena predstavuje neoprávnenú modifikáciu údajov a zničenie je zneprístupnenie systémov.
Dostupnosť udržuje informácie k dispozícii, keď sú potrebné. Všetky systémy musia byť použiteľné (dostupné) na bežnú prevádzku. Typickými útokmi na dostupnosť sú útoky typu DoS (Denial of Service) alebo DDoS (Distributed Denial of Service), ktorých cieľom je odmietnuť službu (alebo dostupnosť) systému. Pripravenosť a informovanosť o slabých miestach systému proti útokom DDoS zahŕňa záťažové testovanie.
AKÝ ROZSAH ZÁŤAŽOVÉHO TESTOVANIA POTREBUJETE?
Určenie pripravenosti IT infraštruktúry vašej organizácie na útoky DDoS prostredníctvom záťažového testovania musí zahŕňať všetky známe vektory útokov a možné zdroje. Pamätajte, že DDoS je dnes lacný a účinný, preto musia byť k dispozícii nasledujúce charakteristiky metódy a prístupu testovania:
Vektory útoku simulujúce záplavy generované skutočnými známymi botnetmi;
objemové útoky s neobmedzenou veľkosťou a nastaviteľným prírastkom;
výber záplav zameraných na služby na aplikačnej vrstve;
flexibilné načasovanie útoku a možnosť kombinovaných vektorov;
Rozsah útoku je veľmi dôležitý a musí (i.) byť schopný ukázať aspoň základné slabiny cieľových serverov a (ii.) byť v súlade s vašimi bezpečnostnými politikami a stratégiou.
Dobrý dodávateľ záťažových testov bude mať odborné znalosti a schopnosť použiť širokú škálu vektorov útoku, ktoré budú zahŕňať okrem iného rôzne metódy a kombinácie HTTP/HTTPS (GET, POST, HEAD, PUT, DELETE, TRACE, CONNECT, OPTIONS, PATCH atď. ), rôzne útoky na protokol WebDAV, SYN-ACK Floods, ACK alebo ACK-PUSH Floods, Fragmented ACK Floods, RST/FIN Floods, Same Source/Destination Floods (LAND Attack), Fake Session Attacks, UDP Floods, UDP Fragmentation, ICMP Floods, ICMP Fragmentation Floods, Ping Floods, TOS Floods, IP NULL/TCP NULL Attacks, Smurf/Fraggle Attacks, DNS Floods, NTP Floods, rôzne zosilnené (reflexné) útoky, útoky na pomalé relácie, útoky na pomalé čítanie, Slowloris, HTTP Fragmentácia, rôzne typy nadmerných verb (HTTP/HTTPS GET Flood), nadmerné verb - jedna relácia, viacnásobné verb - jedna požiadavka, rekurzívny GET, náhodný rekurzívny GET, rôzne špeciálne vytvorené pakety atď.
INTERNAL VS. EXTERNÉ TESTOVANIE
Na vytvorenie odolnosti perimetra voči útokom DDoS je z hľadiska riadenia rizík potrebná správna identifikácia a zoznam ohrozených aktív, po ktorých musí nasledovať posúdenie zraniteľnosti kritických aktív. Vo všeobecnosti sa záťažové testovanie DDoS vykonáva buď externe, alebo interne.
Ako už názov napovedá, externý prístup simuluje útok DDoS nasadením prostriedkov, ktoré sú svojou povahou veľmi blízke skutočnému útoku, t. j. pochádzajúcemu z internetu. Útočiaci "botnet" sa simuluje z cloudovej platformy na záťažové testovanie. Maximálny objem simulovaných testovacích útokov sa musí prediskutovať s klientom a dohodnúť pred začatím testov. Vo všeobecnosti sa implementuje typická topológia pre externé testy vrátane vzorového legitímneho klienta ( stroj používaný na vykonávanie testov dostupnosti):
Na rozdiel od externého testovania interné záťažové testovanie DDoS znamená vykonanie simulácie v mieste v rámci perimetra klientskej siete. Záplavová prevádzka sa generuje interne a smeruje na zdroje, ktoré sú zvyčajne súčasťou účelovo vytvoreného testovacieho prostredia. Nižšie je zobrazená typická topológia siete na interné testovanie, kde je internet simulovaný miestnou sieťou a zahŕňa segmentované testovacie ciele a simulovaný legitímny klientsky počítač:
Pri vykonávaní záťažového testovania DDoS je nevyhnutné, aby bol vopred k dispozícii podrobný plán testovania, ktorý vopred schvália všetky zúčastnené strany. Všetky testy sa musia vykonávať postupne, pričom každá etapa musí trvať dostatočne dlho na vykonanie testu dostupnosti a zmeranie približnej rýchlosti sťahovania z cieľového servera pripojením sa k nemu zo simulovaného klientskeho PC. Testy musia byť navrhnuté tak, aby ich bolo možné na vašu žiadosť kedykoľvek a v ktorejkoľvek fáze zastaviť. Dôrazne sa odporúča nevykonávať testy v produkčnom prostredí, pretože ich správanie a možné následné účinky závisia od špecifických nastavení cieľového servera
Na rozdiel od externého testovania znamená interné záťažové testovanie DDoS vykonanie simulácie v mieste v rámci perimetra klientskej siete. Záplavová prevádzka sa generuje interne a smeruje na zdroje, ktoré sú zvyčajne súčasťou účelovo vytvoreného testovacieho prostredia. Nižšie je zobrazená typická topológia siete na interné testovanie, kde je internet simulovaný miestnou sieťou a zahŕňa segmentované testovacie ciele a simulovaný legitímny klientsky počítač:
Pri vykonávaní záťažových testov DDoS je nevyhnutné, aby bol vopred k dispozícii podrobný plán testovania, ktorý vopred schvália všetky zúčastnené strany. Všetky testy sa musia vykonávať postupne, pričom každá etapa musí trvať dostatočne dlho na vykonanie testu dostupnosti a zmeranie približnej rýchlosti sťahovania z cieľového servera pripojením sa k nemu zo simulovaného klientskeho počítača. Testy musia byť navrhnuté tak, aby ich bolo možné na vašu žiadosť kedykoľvek a v ktorejkoľvek fáze zastaviť. Dôrazne sa odporúča nevykonávať testy v produkčnom prostredí, pretože ich správanie a možné následné účinky závisia od konkrétnych nastavení cieľového servera.