A agência de segurança cibernética dos EUA CISA, o FBI e o MS-ISAC divulgaram orientações conjuntas atualizadas sobre como as agências federais e outras organizações podem se defender contra ataques de negação de serviço (DoS) e de negação de serviço distribuída (DDoS).

Publicada inicialmente em outubro de 2022, a orientação (PDF) foi atualizada com uma categorização de ataques DoS e DDoS em três tipos, com definições técnicas de DDoS e recomendações de mitigação para proteção contra os tipos de ataque DDoS descritos.

Ambos destinados a interromper a disponibilidade do alvo, os ataques DoS e DDoS diferem em um aspecto crítico: a origem. Um ataque DoS envolve uma única fonte de tráfego usada para sobrecarregar o alvo, enquanto um ataque DDoS usa múltiplas fontes, geralmente dispositivos comprometidos presos em uma botnet.

Os ataques DDoS, explicam as três agências governamentais dos EUA, geram volumes de tráfego significativamente maiores e podem esgotar ainda mais os recursos do alvo. Eles também podem usar técnicas, como falsificação de IP, para disfarçar a origem do tráfego.

Os ataques DoS e DDoS podem ser volumétricos (visando consumir a largura de banda disponível ou os recursos do sistema do alvo), baseados em protocolo (explorando vulnerabilidades em protocolos de rede ou serviços para interrupção) e na camada de aplicativo (visando vulnerabilidades em aplicativos ou serviços específicos).

Para minimizar os potenciais danos causados por um ataque DDoS, as organizações são aconselhadas a realizar avaliações de risco para identificar potenciais fraquezas nas suas redes, a implementar ferramentas de monitorização de rede, a analisar regularmente o tráfego, a implementar Captcha e um plano de resposta a incidentes, a avaliar a sua capacidade de largura de banda, a implementar balanceamento de carga e configurar firewalls para filtrar ou bloquear tráfego suspeito ou prejudicial.

Além disso, devem atualizar e corrigir regularmente os seus sistemas e aplicações, realizar avaliações das suas aplicações web, implementar infraestruturas de rede redundantes, fazer cópias de segurança regulares de dados críticos, educar os funcionários sobre ataques DDoS e desenvolver um plano de comunicação em caso de ataque.

Os sinais de um ataque DDoS contínuo, observam as agências de autoria, incluem sites ou serviços indisponíveis, aumento do tráfego de rede, padrões de tráfego incomuns, falhas de servidores e aplicativos, aumento do consumo de recursos de rede, um aumento repentino de spam (que pode ser parte de um ataque DDoS coordenado). ataque), interrupções de comunicação e notificações de serviços de proteção DDoS, se envolvidos.

Em resposta, as organizações devem ativar os seus planos de resposta a incidentes, notificar os fornecedores de serviços de Internet (ISP) ou fornecedores de alojamento, recolher provas, implementar filtragem de tráfego, ativar serviços de mitigação de DDoS, se disponíveis, aumentar recursos como largura de banda, ativar uma Rede de Entrega de Conteúdo (CDN) atender e manter a comunicação com equipes internas e partes interessadas externas.

O guia, de autoria em colaboração com Akamai, Cloudflare e Google, também fornece recomendações sobre as medidas a serem tomadas após sofrer um ataque DDoS e aconselha as organizações a relatar tais incidentes à CISA, ao FBI ou ao MS- ISAC.

Para saber mais, clique aqui.