Marek Karczewski - Radware
Language: Polish
2014 był rokiem przełomowym w dziedzinie bezpieczeństwa. Ataki cybernetyczne osiągnęły punkt krytyczny pod względem ilości, złożoności oraz celów ataków. Sytuacja zaskoczyła nawet firmy, które posiadały “wzorcowe” systemy i mechanizmy ochrony.
Raport firmy Radware „Bezpieczeństwo Aplikacji i Sieci 2014” prezentuje kompleksowy i obiektywny przegląd ataków cybernetycznych w 2014 r. z perspektywy biznesowej i technicznej oraz określa zestaw najlepszych praktyk dla organizacji planujących ochronę przed atakami w 2015 r.
Zarejestruj się na kolejną edycję PLNOG już teraz: krakow.plnog.pl
3. Badanie ilościowe na rynku bezpieczeństwa
– 330 ankietowanych osób zajmujących się bezpieczeństwem w swojej organizacji.
– 39% dużych korporacji (roczne obroty powyżej 500M USD).
– 23 różne gałęzie przemysłu (w tym kiędzy innymi):
• Telekomunikacja/Internet/cdostawcy usług w “chmurze” (20.42%)
• Sektor usług finansowych (13.15%)
• Sektor wysokich technologii (Hi-Tech) –produkcja i usługi (12.11%), distribucja (6.57%)
– 40% ankietowanych organizacji prowadzi biznes międzynarodowy
Badanie reprezentatywne
– 11 menedżerów najwyższego szczebla odpowiedzialnych za bezpieczeństwo (różne sektory
przemysłu)
– Ankiety przeprowadzone na wyskoim poziomie szczegółowości
Emergency Response Team (ERT) – informacje z zespołu technicznego firmy Radware
Metodologia i źródła informacji
5. Kluczowe wnioski
#1 Wzrost ataków o charakterze ciągłym
#2 Nikt nie jest bezpieczny – nieoczekiwane cele ataków
#3 Łącze do Internetu najbardziej wrażliwym punktem w sieci
#4 Ataki “Reflective” największymi atakami DDoS
#5 Ataki DDoS jednymi z największych zagrożeń
#6 Ochrona w modelu Hybrydowym staje się standardem
#7 Cloud, IoT i SDN wymuszają nowe podejście do metod ochrony
#8 Bezpieczeństwo staje się domeną top menedżerów
• 2014 był rokiem przełomowym w
dziedzinie bezpieczeństwa.
• Ataki cybernetyczne osiągnęły
punkt krytyczny pod względem
ilości, złożoności oraz celów
ataków.
• Sytuacja zaskoczyła nawet firmy,
które posiadały “wzorcowe”
systemy i mechanizmy ochrony
6. 19% ataków w 2014 r. można określić jako ataki “ciągłe”
52% organizacji czuło się na siłach bronić się przed tego typu atakami jedynie przez jeden dzień lub krócej
#1 Wzrost ataków o charakterze ciągłym
Ataki stają się dłuższe, większe oraz bardziej skomplikowane. Następuje bardzo widzoczny
wzrost ataków o charakterze ciągłym
7. Wzrost ryzyka dla nowych nieoczekiwanych celów takaków:
Służba Zdrowia, Edukacja
Prawdopodobieństwo ataków znacząco wzrasta również w
branży gier sieciowych, Hostingu oraz dostawców usług ISP
Jedynie branża Usług Finansowych zanotowała spadek
zagrożenia z “wysokiego” na “średni”. Powodem jest
zastosowanie dużo lepszych zabezpieczeń w odpowiedzi na
zagrożenia z lat poprzednich
#2 Nikt nie jest bezpieczny – nieoczekiwane cele ataków
Zagrożenia rozszerzają się na nowe branże, wielkość organizacji oraz
nowe technologie stosowane w sieciach
8. Duże ataki wolumetryczne występują praktycznie codziennie
Ataki dotyczą wszystkich typów organizacji
Przyczyna: łatwiejszy dostęp do “skutecznych” narzędzi do ataków
#3 Łącze do internetu punktem krytycznym w 2014 r.
9. #4 Ataki “Reflective” sprawiają najwięcej problemów
W 2014 ataki cybernetyczne ponownie podzieliły się po
połowie na dwa podstawowe typy: Sieciowe i Aplikacyjne
Ataki na strony internetowe #1 w 2014 r. spośród
wszystkich ataków aplikacyjnych - w tym 75% to ataki na
HTTP a 25% na HTTPS
Nastąpił znaczący wzrost atakaów UDP (z 7% w 2013 do
16% w 2014) z uwagi na wzrost ataków “reflective”
Ataki odbiciowe (reflective) reprezentują w 2014 r.
największy pojedynczy wektor ataków. Wzrastają obawy
o tego typu ataki wraz ze wzrostem ich popularności i
dostępności narzędzi do ataków
10. Ataki DDoS były wskazywane jako
jedne z największych zagrożeń wśród
46% respondentów
41% respondentów wskazało na
zagrożenie związane z
nieautoryzowanym dostępem a 39%
na ATP (Advanced Persistent Threats)
#5 Ataki DDoS jednym z największych zagrożeń
Ataki DDoS przewodzą liście największych zagrożeń w 2014 r. Pozostałe typy ataków stanowią
również wysoki poziom zagrożeń, których rozkład uzależniony jest od rodzaju organizacji oraz
prowadzonego biznesu
11. Ponad 36% respondentów używa obecnie rozwiązań
hybrydowych – CPE zapewniające detekcję i łagodzenie ataków w
lokalizacji klienta oraz ochrona przed atakami “w chmurze”
Według ankietowanych w 2015 ponad 48% z nich zastosuje u
siebie rozwiązanie hybrydowe
Powody wdrożenia rozwiązania hybrydowego według
respondentów:
– Ochrona “w chmurze” dla dużych ataków wolumetrycznych
– CPE u klienta: dla ataków aplikacyjnych, Low/Slow oraz SSL -
z uwagi na brak konieczności transferu certyfikatów SSL na
zewnątrz (do “chumry”)
#6 Ochrona w modelu Hybrydowym staje się standardem
Bezpieczeństwo w modelu hybrydowym (Scrubbing Center + CPE)
staje się powoli standardem
Opis wykresu: organizacje, które obecnie używają lub planują ochronę w modelu hybrydowym
12. Migracja w kierunku rozwiązań chmurowych, Internetu
Rzeczy (IoT) oraz sieci SDN (Software Defined Network)
stała się faktem.
Internet Rzeczy (IoT) stwarza szerokie możliwości dla
zupełnie nowych zagrożeń (58% respondentów).
Sieci SDN radykalnie zmieniają sposób myślenia o
skutecznych mechanizmach ochrony. Główne zagrożenie
respondenci upatrują w kontrolerze sieci (48%) oraz w
niedojrzałości systemu (49%)
#7 Cloud, IoT i SDN – nowe wymuszone podejście do ochrony
Ignorowanie trendów zachodzących na rynku oraz ich
skutków może stanowić ogromne wyzwanie w
późniejszym zapewnieniu odpowiedniego poziomu
bezpieczeństwa we własnej korporacji
13. Prawie 75% menedżerów powiedziało, że zagadnienia dotyczące bezpieczeństwa angażują bezpośrednio
najwyższą kadrę kierowniczą (Prezes lub nawet członek zarządu) z następujących powodów:
– Negatywny wizerunek firmy w mediach
– Potencjalnie groźny wpływ na prowadzony biznes
– Zwiększone nakłady finansowe na bezpieczeństwo wymagające zgody zarządu
– Zwiększająca się odpowiedzialność społeczna i prawna związana z atakami i innymi zagrożeniami
30% respondentów jako przyczynę wskazało konieczność migracji w kierunku rozwiązań chmurowych i
rosnące z tym zagrożenie dla organizacji.
Ponad 25% respondentów wskazało na IoT a prawie 20% na SDN
#8 Bezpieczeństwo staje się domeną top menedżerów
Nasze badania przeprowadzone wśród kadry kierowniczej najwyższego szczebla (CIO, CISO,
VP) dla różnych gałęzi przemysłu wykazały jednoznacznie, że zagadnienia bezpieczeństwa,
które były do tej pory domeną działów IT stały się również przedmiotem zainteresowania
kadry kierowniczej
15. Kompleksowe zapewnienie SLA aplikacji
Zapewnienie SLA aplikacji dla wszystkich możliwych stanów funkcjonalnych
Zapewnienie ciągłości
pracy aplikacji
Optymalizacja
podczas normalnej
pracy
Ochrona przed
obniżeniem jakości
usług
15
16. Dostarczanie aplikacji oraz zapewnienie ich bezpieczeństwa
w sposób holistyczny /całościowy - (z gr. hólos 'cały‘)
16
Kompleksowe zapewnienie SLA aplikacji
20. 2020
Alteon NG – Next Generation ADC
sssasddas
Virtual ServerApplianceCloud
DataCenter/CloudEcosystems
Hypervisor
Wirtualne maszyny
Kompletna separacja logiczna i fizyczna
Platformy od 1 Mbps do
160 Gbps
21. 21
Alteon NG – Next Generation ADC
Alteon VA
1 Mbps
– 6 Gbps
Alteon NG 5224
5 - 16 Gbps
1 - 24 vADCs
Alteon NG 6420
20 - 80 Gbps
1 - 48 vADCs
Alteon NG 5208
6 - 26 Gbps
1 - 24 vADCs
Alteon NG 8420
100 - 160 Gbps
1 - 100 vADCs
Alteon NFV
40 - 160
Gbps
Najbardziej kompletna platforma ADC – Zapewnia pełne SLA aplikacji
Enterprise Data Centers High-End Data Centers /
Carrier Core Networks
25. Attack Mitigation System (AMS)
Chroni przed wszelkimi atakami sieciowymi (L3-L4) oraz aplikacyjnymi (L7) we wszystkich punktach krytycznych sieci
IPS/IDS
“Low & Slow” DoS
attacks (e.g.Sockstress)
Large volume network
flood attacks
Syn
Floods
Network
Scan
HTTP Floods
SSL Floods App Misuse
Brute Force
Cloud DDoS protection DoS protection Behavioral analysis IPS WAF SSL protection
Internet Pipe Firewall Load Balancer/ADC Server Under Attack SQL Server
25
28. Architektura Rozproszona / Defense Messaging
Wszystkie moduły bezpieczeństwa oraz ADC wymieniają między sobą informacje
(Defense Messaging) dotyczące statystyki ruchu (Traffic Baseline), sygnalizacji
kontrolnej oraz sygnatur dynamicznych wykrytych ataków
28
Defense Messaging Defense Messaging
Security Application Delivery
*
*
31. WAN Perimeter LAN
Zapobiega wysyceniu łącza podczas ataków wolumetrycznych DDoS
Defense
Messaging
31
Architektura Rozproszona / Defense Messaging
*
Notes de l'éditeur
Data and information for the reports is collected from 3 different sources
A major contributor to the report is a quantitative survey that Radware conducts which had over 330 respondents globally from organizations of different size and across various industries.
You’ll see that its very different from other threat reports that other vendors are publishing. Those tend to be more Network/ISP focused and more US centric. With our report, we provide a very global analysis that appeals cross industry to both enterprise and carriers, ISPs and hosting providers.
Also this year we conducted for the first time a set of interviews with top security officers to gain their perspectives and experiences with cyber attacks
And finally we have data and experience gained by our Emergency Response Team.
The ERT is a dedicated group of security specialists that actively monitor and mitigate attacks in real time.
They are the first responders to cyber-attacks and help customers overcome challenges in dealing with attacks.
Imperva, Prolexic – more US
Arbor – only carrier provider responses, no insights from Enterprise
We see cyber attacks getting stronger, longer, more complex and targets are expanding so what we thought was safe before, isn’t anymore.
We boiled down a pretty substantial report to 8 key findings.
I’ll walk through each one of these in the next slides.
Attacks are continuing to evolve and getting longer, larger and more complex.
And while we still have respondents reporting week-long and month-long attacks as we did in previous years, the new thing this year is that a healthy amount – almost 20% - are reporting that they are continuously under attacks in 2014. There is no start and stop.
This trend challenges the traditional concept of incident response, which assumes a normal state without attacks.
It also exposes a security gap. When respondents were asked how long they could effectively fight an around-the-clock attack campaign, 52% said they could fight for only a day or less!
The Cyber-Attack Ring of Fire maps vertical markets based on the likelihood that organizations in these sectors will experience attacks.
Organizations closer to the red center more likely to experience DoS/DDoS and other cyber-attacks and to experience them at a higher frequency.
Red arrows show which verticals have changed position since last year’s report. This means that the overall number of cyber-attacks, as well as the frequency and intensity of these attacks has increased in 2014.
Two new industries were added to the Ring of Fire this year – Healthcare and Education – as we’ve seen organizations in these industries become targets of DDoS attacks this year.
Also, likelihood of attacks is also heating up for Gaming, Hosting & ISP companies.
Other verticals face consistent levels of threat, expect one – Financial Services – which actually moved from “High” to “Medium” risk. Change from OpAbabil where every financial services company was attacked to a slightly calmer 2014 so reduction in risk profile.
Now looking at the point of failures in DDoS attacks. Every year, the results have been largely consistent: Points of failure are divided among three main entities – the server that is under direct attack, the Internet pipe itself when it gets saturated, and the firewall which often fails even sooner than the server.
In our 2014 survey, we found that the Internet pipe has increased as a point of failure, and for the first time, is the #1 point of failure. This is most likely because of the increase in User Datagram Protocol (UDP) reflected amplification attacks.
Continuing a four-year trend, cyber-attacks were again split evenly between the network and application levels. That’s because attackers’ “interest” lies in multi-sector blended attacks.
Web attacks remain the single most common attack vector; for every four web-based attacks, three target HTTP and one is an HTTPS attack.
Reflective attacks started heating up in 2013 and remained a persistent threat throughout 2014.
While most of 2013’s reflected attacks targeted DNS, we saw more UDP based (NTP, CHARGEN) reflective attacks in 2014.
Which is why we see UDP attacks in general increased from 7% in 2013 to 16% in 2014.
What makes reflective attacks effective is the ease with which they can be generated— and the impact they can have on a network.
Reflected attacks make it comparatively easy not only to generate an extra-large attack but also to sustain it for an extended period.
Ddos is the #1 concern – at nearly 50%. Very closely behind were APT and unauthorized access.
Yet, with all of the threat types fairly well represented, the threat landscape appears to vary depending on each organization’s industry and business concerns.
Another trend we are following is the increased momentum with hybrid solutions. Essentially there is an acknowledgment from the market that hybrid solutions have proven themselves.
In the survey we see 36% of respondents are already using a hybrid solution and by 2015, nearly half will employ hybrid protection.
A big indication from our prospect base that a lot are asking and seeing the benefit in hybrid.
Security controls and protection is challenged by three macro IT trends. The shift toward cloud computing, the growth in the “Internet of Things,” and the rise of the software-defined network – all these are disrupting longstanding assumptions on how business and customers interact and really challenging the automated systems and security tools designed to protect.
Cloud migration continues. This essentially means that the Enterprise perimeter and traditional IT is dissolving and a new approach is required.
IoT - The ability to connect to anywhere from almost anything will drive dramatic efficiencies in the way we work and live. Yet, this “Internet of Things” will also introduce new and tremendous risk and threats. Close to 60% of respondents see IoT as increasing the attack surface and close to 50% see the need to increase detection requirements with this trend.
SDN – with the virtualization of the network, security professionals will face the need to protect information across unique and dynamic traffic routes. Nearly 50% of respondents believe that the centralized controller is a potential single point of failure during attacks and that the technology is immature and full of software vulnerabilities.
This year Radware launched our inaugural qualitative study to explore the most pressing problems and persistent challenges facing senior information security and technology executives around the globe.
In our qualitative study, nearly three-quarters of executives told us that security threats are now a CEO or board-level concern. C-levels are motivated by negative press coverage and the potential impact on their business.
In thinking about the top trends, cloud and BYOD were cited by more than one-third of executives who believe they increase security risks for their organizations. IoT was selected by more than a quarter of executives, while less than one-fifth cited SDN.
You can see here the different elements comprising AMS.
DefensePro
Anti-DoS, NBA, IPS, Rep. Engine
On demand throughput scalability 200Mbps – 40Gbps
Integrated SSL protection with Radware’s DefenseSSL model
AppWall
Web Application Firewall offering complete web app protection
Web-application based availability attack detection
Appliance & VA
APSolute Vision
SIEM with real time views, historical and forensics reports
Appliance & VA
DefensePipe
Cloud based (service) protection against pipe saturation
Simple traffic based pricing model
Emergency Response Team
24/7 service to customers under attack
Attackers are deploying multi-vulnerability attack campaigns by increasing the number of attack VECTORS they launch in parallel. To target your blind spot, different attack vectors target different layers of the network and data center, for example Net DDoS, App DDoS, Low & slow, SSL attacks and Web attacks. Even If only one vector will go undetected then the attack is successful and the result is highly destructive
To effectively mitigate all type of DoS/DDoS attacks you need to use multiple protection tools, such as:
DoS protection to detect and mitigate all type of network DDoS attacks
Behavioral Analysis to protect against application DDoS and misuse attacks. Behavioral-based real-time signatures and challenge-response mechanism can block the attack traffic accurately without blocking legitimate user traffic.
IPS to block known attack tools and the low and slow attacks
SSL protection to protect against encrypted flood attacks
WAF, web application firewall, to prevent web application vulnerability exploitations
All these protection tools are needed ON PREMISE to detect attacks in real-time and mitigate them immediately. But on premise protections tools are not enough. About 15% of all DDoS attacks are volumetric attacks that threaten to saturate the internet pipe. In these cases, you need to move mitigation to the CLOUD DDoS scrubbing.