InstallFest 2013 a DDoS útoky

V neděli 3.3.2013 jsem na letošním InstallFestu přednášel o naší účasti na cvičení Cyber Europe
2012. Jde o cvičení pořádané agenturou Enisa, která má pro EU na starost agendu kybernetické
bezpečnosti.
Naše účast na tomto cvičení vzešla ze spolupráce s národním týmem CSIRT.CZ s ohledem na to, že jsme doposud jediná komerční společnost v ČR, která provozuje bezpečnostní tým typu CSIRT oficiálně uznávaný mezinárodní komunitou (www.active24.cz/csirt).

Podrobný popis průběhu cvičení by vydal na delší text, ale oproti mému očekávání jsou dojmy takové, že cvičení bylo připraveno velmi dobře a jeho scénář se skládal ze zcela reálných hrozeb, které v menším měřítku řešíme v našem provozu prakticky každodenně. Simuloval se rozsáhlý distribuovaný DoS útok, který mířil na klíčové státní i komerční subjekty v EU a který nebylo možné eliminovat opatřeními na úrovni jednotlivých sítí. K řešení situace bylo potřeba intenzivní vzájemné komunikace a právě tato spolupráce byla hlavním cílem cvičení – tedy ověřit, jak funguje či nefunguje, jaké jsou hlavní překážky a co se dá udělat pro její zlepšení, aby se dala v podobných situacích přijímat rychle efektivní protiopatření. Z průběhu cvičení jsem byl plný dojmů a poznatků, které jsme si pak potvrdili v diskusi s ostatními účastníky cvičení (národní CSIRT.CZ, CESNET a Policejní akademie), aby výstupem cvičení bylo jasné pojmenování možných slabých míst. Šlo např. o to, že:

  • Některá pracoviště jsou přetížená a je potřeba, aby je v krizi obsluhoval odpovídající počet osob.
  • Během krize dojde k záplavě komunikace z nejrůznějších míst a je potřeba se naučit rozpoznávat to podstatné.
  • Klíčová pro úspěšnost je ochota komunikujících subjektů pro předávání informací, čemuž v reálném světě často brání interní směrnice organizací nebo platné zákony.

zámek

Když jsem o tomhle v neděli povídal, ještě jsem netušil, že hned druhý den ráno budeme obdobnou situaci řešit zcela reálně. Protože poskytujeme služby pro jeden z předních českých zpravodajských portálů, ocitli jsme se v pondělí kolem půl deváté ráno pod palbou intenzivního DoS útoku. Až mě zarazilo, jak vývoj situace odpovídal podmínkám, které byly simulovány v rámci Cyber Europe 2012 a jak se potvrzovala slabá místa, o kterých už jsme z tohoto cvičení věděli.

Proběhlé DoS útoky byly sice „bezprecedentní“ a „nejsilnější v historii ČR“, jak se píše v řadě médií, nicméně z mého pohledu šlo jen o promyšlenější a o něco silnější verzi útoků, které zažíváme několikrát do roka a které jsou spíše demonstrací síly než skutečnou hrozbou. Oproti ostatním zde zůstává jen otazník nad motivem, o kterém lze spekulovat. Pro nás je to ale spíše další cenná zkušenost a připomenutí faktu, že četnost a intenzita podobných incidentů setrvale roste, tedy je potřeba se z nich poučit a mít předem připraveny scénáře a postupy s protiopatřeními. Nás tyto útoky zastihly právě v závěru výběrového řízení na nové firewally, tedy v něm nové poznatky určitě zohledníme.

NAPIŠTE KOMENTÁŘ