היערכות כנגד תקיפות מניעת שירות מבוזרות (DDoS) - המלצות ליישום [טיוטה]

רשתות
1

המלצות לישום של מערך הסייבר הלאומי להתמודדות עם מתקפות מניעת שירות מבוזרות. מצב המסמך הוא טיוטה ואפשר להעביר הערות עד ה-10 בנוב’.

Gov.il - המלצות ליישום לארגונים במשק לטובת היערכות ושיפור יכולת התגובה למול מתקפת DDoS

קבצים:

  1. היערכות כנגד תקיפות מניעת שירות מבוזרות (DDoS) v1.022.pdf (1.1 מ״ב) [סריקה]
  2. היערכות כנגד תקיפות מניעת שירות מבוזרות (DDoS) v1.022.xlsx (33.4 ק״ב) [סריקה]
2

קודם כל מושלם, בדיוק מה שאני צריך! נתבקשתי לכתוב נוהל DDOS לארגון בו אני עובד. התחלתי לכתוב כמה נקודות על איך אני ניגש לזה והייתי רוצה לקבל חוות דעת.

מבנה הנוהל לטיפול באירועי DDOS\ DOS שחשבתי עליו:

  1. הקדמה + מהות הסיכון (הסבר על מה זה + DDOSאיך זה נראה + חלוקה לסוגים + איך זה יכול להזיק לארגון)
  2. מטרת ההוראה (להגדיר את חלוקת האחריות?)
  3. אחריות ביצוע (חלוקה לגרומים – עד לאיזה רמה לעשות זאת? SOC + וזהו או שלהמשיך לצוות תקשורת ועד לתורן הISP ? )
  4. שיטת עבודה (חלוקה של מה נעשה אוטומטי {מערכות SOAR} ומה נעשה ידני)
  5. בקרה וקישקושים

בגדול ממה שאני מכיר וממה שקראתי אלו השיטות להתכוננות מהתקפות DDOS:

  1. הגנה מבוססת ספקית אינטרנט
  2. התקנת ציוד ייעודי – למשל: DefensePro, ASM (יש לנו) שירותים נוספים: cloudflare, imperva
  3. Black hole routing – פעולה המנתבת לNull0 וכתוצאה מזה הנגישות לנכסים היא רק בתוך הטווח של הספקית (בדרך כלל גם בכל הספקיות בארץ)
  4. אחסון בענן

לפני שאני אכתוב “עוד מסמך” שבסופו של דבר יהיה עוד משהו בארכיון זה מה שחשבתי לעשות:

  1. מיפוי נכסים חיצוניים – להכין רשימה כזו רשימה כזו, אולי קיימת איפשהו? מה הכנסים ששווה להגן עליהם? האם יש דירוג לפי רמת קריטיות?
  2. איך עובדות המערכות \ רכיבים של ASM ו – DefensePro , מי יכול לעבור איתי על זה? האם יש עוד מערכות רלוונטיות?
  3. כמה איכותיים החוקים שקיימים כרגע?
  4. אם רוצים לסמלץ DDOS עם מי ניתן לדבר?
  5. האם קיים שירות חיצוני שנותן לנו מענה? מה גודל ההתקפה שספק השירות מתחייב לעצור?
  6. מי הם אנשי הקשר בזמן התקפה מתוך החברה? בספק שירות ?
  7. האם אנחנו יודעים להבדיל בין “עומס יתר לגיטימי” לבין התקפה?
  8. האם יש אפשרות לבצע תרגול שבו מעורבים כל הגורמים הרלוונטים – למשל סימלוץ התקפת :DDOS

אפשרות א’:

שירות חיצוני שמסמלץ DDOS > מענה ראשוני על ידי SOC > המשך תחקור על ידי אנליסטים LVL3> העברת פרטים לצוות תקשורת > פנייה לספק אינטרנט ולבקש לחסום כתובת ספציפית בNULL0 (למי מתקשרים? כמה זמן זה לוקח? מי מאושר לבקש)

אפשרות ב’:

שירות חיצוני שמסמלץ DDOS > מענה ראשוני על ידי SOC > המשך תחקור על ידי אנליסטים LVL3> העברת פרטים לצוות תקשורת > להעביר את האתר לענן (מי מפעיל אותו שם? עם מי מדברים אם לא עובד כמו שצריך בענן? מי דואג לשנות רישומים בDNS.?)

  • בהנחה והנוהל הקיים מיושן וספק אם רלוונטי
  • הנוהל יכנס לפורמט של כל הנהליים הארגוניים
  • לתוך הפורמט יתווספו הסבר כלי על מערכות ההגנה וההתראה לנושא DOS\DDOS
  • כמובן שיש המון שיטות שונות לDOS - וDDOS זה רק חלק קטן מהם - הדגש הוא על תקיפות DDOS
לייק 1
3

התשובה להתמודדות עם DDoS היא לא תמיד אצל ה-ISP, במקרה של מתקפות אפלקטיביות, יש סיכוי מסויים שהבקרים של הספקית לא יזהו מתקפה ובמקרה הזה התתמודדות היא על-ידי WAF, caching ו-scaling. אז השלבים הם:

  1. הכנות. מדבר על כתיבת מדריכים, הבנת יכולת של התשתיות והאפלקציה, יעדים שעלולים להיות לתוקפים, ישום הגנות, אנשי קשר (בתוך הארגון בצד הספקית רשת, ספקית WAF וכיוצ"ב).
  2. זיהוי. איזה מערכות זיהוי יש ברשות הארגון, האם יש לוגים ברמת התשתית? לוגים מהאפליקציה? היכן הם נמצאים ואיזה התראות הם מייצרים ומתי.
  3. הכלה. יכולת של האפליקציה לגדול כשלב ראשוני (scale up/out) להתמודדות, האם יש מספיק מנגנוני cache בשביל למזער את הנזק.
  4. מניעה. יצירת קשר עם הספקים השונים (ספקית אינטרנט, ספק WAF).
  5. התאוששות. אימות הפסקת המתקפה, חזרה לשגרה.
  6. דין וחשבון. סיכום האירוע, מה היה טוב, מה לא היה טוב, מה אפשר ללמוד ואיך משתפרים.

מקורות:

  1. CERT-EU - DDoS Overview and Incident Response Guide