kaspersky ddos protection

KASPERSKY DDOS
PROTECTION
Descubra como a Kaspersky Lab defende
as empresas contra ataques DDoS
OS CIBERCRIMINOSOS ESTÃO
A ESCOLHER AS EMPRESAS
COMO ALVO
Se a sua empresa já tiver sofrido um ataque de recusa de serviço distribuída
(DDoS), já tem consciência de que os custos financeiros e de reputação
podem ser devastadores. No entanto, mesmo que a sua empresa tenha tido
a sorte de escapar à atenção dos cibercriminosos e hackers que lançam
estes ataques, a perspetiva do futuro pode não ser tão positiva.
O VOLUME E A GRAVIDADE DOS ATAQUES ESTÃO A AUMENTAR
Infelizmente, nos últimos anos, o custo de lançamento
de um ataque DDoS desceu significativamente, o
que significa que estão a ser iniciados mais ataques
do que nunca. Simultaneamente, os ataques atuais
são mais complexos e são efetuados a uma escala
que pode sobrecarregar a largura de banda das
comunicações da empresa-alvo em apenas alguns
segundos, debilitando os processos empresariais
internos vitais quase de forma imediata e desativando
totalmente a presença online da empresa vítima.
Dado que as empresas de todas as dimensões
dependem da respetiva infraestrutura de TI e website
para sustentar quase todos os processos cruciais,
um período prolongado de inatividade, que pode
resultar de um ataque DDoS, não é opção. É evidente
que, com o volume, a escala e a gravidade dos
ataques modernos, nenhuma empresa pode esperar
que a respetiva infraestrutura já esteja a ser alvo
de ataque para aplicar uma solução de proteção e
mitigação contra DDoS. Em vez disso, as empresas
e as organizações do setor público têm de estar
conscientes das ameaças e garantir a implementação
de medidas de defesa adequadas contra DDoS.
"MAIS VALE PREVENIR DO QUE REMEDIAR"
É necessário que todas as empresas tenham uma estratégia anti-DDoS preparada para ser aplicada assim que
for detetado um ataque. Assim, em caso de ataque, a empresa conseguirá mitigar os efeitos, sem atrasos, para:
•
•
•
•
Minimizar o tempo de inatividade das infraestruturas e processos essenciais da empresa
Garantir que os clientes podem continuar a aceder aos serviços online
Manter a produtividade dos funcionários
Minimizar danos à reputação
2
MÉTODOS DE ATAQUE DDOS
Os cibercriminosos e os hackers estão a utilizar várias técnicas diferentes
para implementar ataques DDoS que desativam ou sobrecarregam a
infraestrutura de TI da empresa-alvo.
ATAQUES VOLUMÉTRICOS
Estes ataques são cada vez mais comuns. Ao gerar níveis de tráfego que excedem a largura de banda disponível
da empresa-alvo, o ataque satura a capacidade da ligação à Internet da empresa vítima e desativa ou atrasa
todas as atividades online.
ATAQUES À CAMADA DE APLICAÇÃO
Os ataques à camada de aplicação tentam provocar uma falha nos servidores que executam aplicações vitais,
tais como os servidores Web essenciais para a presença online da vítima.
OUTROS ATAQUES A INFRAESTRUTURAS
Os ataques que visam desativar o equipamento de rede e/ou os sistemas operativos dos servidores podem parar
completamente o funcionamento dos principais processos empresariais.
ATAQUES HÍBRIDOS
Os cibercriminosos também lançam ataques complexos que combinam vários métodos, incluindo técnicas de
ataque volumétricas, à camada de aplicação e à infraestrutura.
3
A SOLUÇÃO DE DEFESA E
MITIGAÇÃO TOTAIS
O Kaspersky DDoS Protection fornece uma solução total e integrada de
mitigação e proteção contra ataques de DDoS que se ocupa de todas as
fases necessárias para defender a sua empresa. Da análise contínua de
todo o tráfego online, aos alertas sobre a possível presença de um ataque
e, finalmente, à receção do tráfego redirecionado, limpeza do tráfego e
devolução de um tráfego "limpo", o Kaspersky DDoS Protection fornece tudo
aquilo de que a sua empresa precisa para se defender e mitigar os efeitos
de todos os tipos de ataques DDoS.
O KASPERSKY DDOS PROTECTION INCLUI:
•
•
•
•
Software do sensor da Kaspersky Lab – executado na sua infraestrutura de TI
Os serviços da nossa rede global de "centros de limpeza" de tráfego de dados
Assistência do nosso Centro de operações de segurança e especialistas em proteção contra DDoS
Análise e relatórios detalhados pós-ataque
4
FUNCIONAMENTO DO
KASPERSKY DDOS PROTECTION
O software do sensor da Kaspersky Lab recolhe informações sobre todo o
tráfego de comunicações – 24 horas por dia, 365 dias por ano. O sensor
é instalado o mais próximo possível do recurso que pretende proteger e
recolhe de forma contínua dados sobre o tráfego, incluindo:
•
•
•
•
•
•
Dados do cabeçalho
Tipos de protocolos
Número de bytes enviados e recebidos
Número de pacotes enviados e recebidos
Atividades e comportamento – de cada visitante do seu website
Todos os metadados sobre o tráfego
Todas estas informações são enviadas para os
servidores baseados na nuvem da Kaspersky Lab,
onde são analisadas para que seja possível criar perfis
sobre o comportamento dos visitantes típicos e do seu
tráfego típico, bem como para analisar de que forma o
tráfego pode variar de acordo com a hora do dia e com
o dia da semana, e ainda como os eventos especiais
podem afetar os padrões de tráfego. Com este
profundo conhecimento sobre as "condições normais
de tráfego" e sobre os "comportamentos normais
dos visitantes", os nossos servidores baseados na
nuvem conseguem avaliar com precisão as condições
de tráfego ao vivo, em tempo real, e identificar
rapidamente anomalias que podem indicar que foi
lançado um ataque contra a sua empresa.
Além disso, os nossos especialistas em informações
sobre ameaças monitorizam continuamente o cenário
de ameaças DDoS para identificar novos ataques.
Estas informações especializadas ajudam a garantir
que os clientes da Kaspersky Lab beneficiam de uma
resposta rápida ao lançamento de um ataque.
EVITAR FALSOS ALARMES… E, EM SEGUIDA, LIMPAR O TRÁFEGO
Assim que os nossos servidores ou especialistas em informação identificam um possível ataque à sua empresa,
o Centro de operações de segurança da Kaspersky Lab recebe um alerta. Para ajudar a evitar falsos alarmes e
interrupções desnecessárias para a empresa, os engenheiros da Kaspersky Lab efetuam uma verificação para
confirmar se a anomalia no tráfego ou o comportamento suspeito resulta de um ataque DDoS. Em seguida, os
engenheiros da Kaspersky Lab entram imediatamente em contacto com a empresa para recomendar o redirecionamento do tráfego para a nossa rede de centros de limpeza.
Durante o ataque, um vez que todo o tráfego passa agora através de um dos nossos centros de limpeza:
• A sua infraestrutura já não está a ser sobrecarregada pelo grande volume de tráfego não solicitado
• O nosso processo de limpeza elimina todo o tráfego não solicitado
• O tráfego legítimo é devolvido à empresa – a partir da nossa rede de centros de limpeza
... e todo o processo é totalmente transparente para os seus funcionários e clientes.
5
CONFIGURAÇÃO RÁPIDA E
FÁCIL DA PROTEÇÃO
Ao escolher o Kaspersky DDoS Protection, é necessário realizar um pequeno
número de tarefas de configuração antes de a monitorização diária e
permanente e os canais de comunicação de "ataque em tempo real" serem
estabelecidos. A Kaspersky Lab e os seus parceiros podem prestar-lhe a
ajuda de que necessita para o processo de configuração.
Caso precise de uma solução completa, a Kaspersky Lab e os seus parceiros conseguem cobrir a vasta maioria
de procedimentos de configuração, incluindo:
• Instalação do software e hardware do sensor na sua empresa
• Configuração do redirecionamento de tráfego para os nossos centros de limpeza
• Configuração do fornecimento de tráfego "limpo" à sua empresa
... ou seja, tudo o que tem de fazer é disponibilizar um canal de Internet separado para o sensor para que o
Kaspersky DDoS Protection possa continuar a recolher dados quando o principal canal de Internet for desativado
devido a um ataque.
O SENSOR PERMITE UMA MONITORIZAÇÃO DIÁRIA E PERMANENTE
O software do sensor da Kaspersky Lab é fornecido
completo com um sistema operativo Ubuntu
Linux padrão. Uma vez que o software do sensor
é executado num servidor x86 padrão – ou numa
máquina virtual* – não existe qualquer hardware
especial para manutenção.
e de saída. Analisa os cabeçalhos de cada pacote
e envia informações para os servidores na nuvem
do Kaspersky DDoS Protection, onde criamos perfis
estatísticos do "comportamento normal de tráfego"
e do "comportamento normal de visitantes" para a
empresa.
Dado que o sensor está ligado à porta SPAN (Switched
Port Analyzer), é possível obter a melhor visualização
possível de todo o tráfego que entra e sai do recurso
protegido.
O sensor não captura o conteúdo de quaisquer
mensagens no tráfego de comunicações para manter
a privacidade das suas comunicações e para o
ajudar nos seus compromissos de conformidade. O
sensor apenas recolhe dados sobre o tráfego, pelo
que a confidencialidade das mensagens nunca é
comprometida por qualquer processo do Kaspersky
DDoS Protection.
Assim que o sensor for ligado à sua infraestrutura,
começa a recolher dados sobre o tráfego de entrada
* A máquina virtual deve satisfazer ou exceder os requisitos mínimos de desempenho especificados pela Kaspersky Lab.
REDIRECIONAMENTO DE TRÁFEGO
Em condições normais, o tráfego é fornecido diretamente à sua rede empresarial, enquanto os servidores do
Kaspersky DDoS Protection baseados na nuvem monitorizam quaisquer sinais de ataque DDoS. O tráfego apenas é redirecionado para a nossa rede global de centros de limpeza após a deteção de um ataque e de a empresa confirmar que pretende redirecionar o respetivo tráfego.
O Kaspersky DDoS Protection permite-lhe escolher o método de redirecionamento:
• Border Gateway Protocol (BGP)
• Sistema de nomes de domínio (DNS)
6
TÚNEIS VIRTUAIS GENERIC ROUTING ENCAPSULATION (GRE)
Seja qual for o melhor método de redirecionamento
para a sua empresa, os túneis virtuais GRE são
utilizados para permitir a comunicação entre o gateway
de limite (ou router) e cada centro de limpeza relevante
do Kaspersky DDoS Protection.
No caso de ser lançado um ataque DDoS contra a sua
empresa, é possível reencaminhar todo o tráfego para
um dos nossos centros de limpeza. Os túneis virtuais
GRE são utilizados para fornecer o tráfego limpo dos
nossos centros de limpeza à sua empresa.
ESCOLHER ENTRE
BGP E DNS
Independentemente de configurar o redirecionamento de tráfego via BGP ou DNS, a configuração vai depender
em grande medida da natureza da infraestrutura de TI e de comunicações da sua empresa:
• Para o BGP, é necessário:
°° Um fornecedor de rede independente – que inclui os recursos que pretende proteger
°° Um sistema autónomo
... e a maioria das grandes empresas consegue satisfazer esses critérios.
• Para DNS, tem de ser capaz de:
°° Gerir a sua própria zona de domínio para os recursos que pretende proteger
°° Definir o Tempo de vida (TTL) para registos DNS para 5 minutos
Geralmente, durante o ataque, o método BGP obtém um redirecionamento mais rápido do tráfego, pelo que
normalmente é este o método preferencial para a maior parte das empresas.
7
FUNCIONAMENTO DO
REDIRECIONAMENTO BGP
MONITORIZAÇÃO
No modo de monitorização, todo o tráfego é fornecido diretamente à sua empresa. No entanto, os túneis virtuais
GRE estão a funcionar "em tempo real", enquanto os routers da empresa e os nossos routers BGP trocam
frequentemente informações de estado e, por conseguinte, os centros de limpeza do Kaspersky DDoS Protection
estão preparados para receber o tráfego redirecionado, sempre que necessário.
BGP ― monitorização
Internet
Infraestrutura do Kaspersky DDoS
Protection
A sua rede
ISP
Centro de
limpeza
1
Comutador
Túneis
virtuais
Router de limite
Túneis
virtuais
Centro de
limpeza
2
SPAN
Servidor Web
Estatísticas
Sensor KDP
DURANTE UM ATAQUE
Quando é identificada uma anomalia no tráfego pelo sensor da Kaspersky Lab e é confirmado o início de um
ataque pelos engenheiros da Kaspersky Lab, é possível optar por redirecionar todo o tráfego para um centro de
limpeza do Kaspersky DDoS Protection.
Durante o ataque, o sensor da Kaspersky Lab continuará a reunir informações e a enviá-las para análise pelos
servidores do Kaspersky DDoS Protection baseados na nuvem.
8
BGP ― Mitigação
Internet
Infraestrutura do Kaspersky DDoS
Protection
A sua rede
Anúncio BGP
Através de KDP
Centro de
limpeza
1
Router de limite Comutador
Túneis
virtuais
Túneis
virtuais
Centro de
limpeza
2
SPAN
Servidor Web
Estatísticas
Sensor KDP
DEPOIS DE UM ATAQUE
Quando o ataque terminar, o tráfego é novamente
enviado diretamente para a sua empresa. O sensor
continua a recolher dados sobre o tráfego e passa
constantemente esses dados para os nossos
servidores baseados na nuvem para podermos
otimizar continuamente os perfis de comportamento
para as suas condições normais de tráfego.
Os túneis virtuais continuam ativos, trocando
informações entre os routers da empresa e os routers
da Kaspersky Lab, para que o Kaspersky DDoS
Protection esteja preparado para agir se for lançado
outro ataque contra a sua empresa e se optar por
redirecionar novamente o tráfego.
Os especialistas da Kaspersky Lab também fornecem análises e relatórios detalhados após o ataque sobre:
• O que aconteceu durante o ataque
• Quanto tempo durou o ataque
• Como é que o Kaspersky DDoS Protection resolveu o ataque
9
FUNCIONAMENTO DO
REDIRECIONAMENTO DNS
MONITORIZAÇÃO
Durante a configuração inicial, a Kaspersky Lab atribui um dos conjuntos de endereços IP do Kaspersky DDoS
Protection à sua empresa. Este endereço será utilizado em caso de ataque.
No modo de monitorização, todo o tráfego é fornecido diretamente à sua empresa através dos seus endereços IP
normais. No entanto, os túneis virtuais GRE estão a funcionar "em tempo real", enquanto os routers da empresa e
os nossos routers BGP trocam frequentemente informações de estado e, por conseguinte, os centros de limpeza
do Kaspersky DDoS Protection estão preparados para receber o tráfego redirecionado, sempre que necessário.
DNS ― Monitorização
Internet
Infraestrutura do Kaspersky DDoS
Protection
A sua rede
ISP
Centro de
limpeza
1
Comutador
Túneis
virtuais
Pontos DNS para
IPs externos de clientes
Router de limite
Túneis
virtuais
Centro de
limpeza
2
SPAN
Servidor Web
Estatísticas
Sensor KDP
DURANTE UM ATAQUE
Quando é identificada uma anomalia no tráfego pelo sensor da Kaspersky Lab e é confirmado o início de um
ataque pelos engenheiros da Kaspersky Lab, pode simplesmente alterar o endereço IP da empresa no registo
A do DNS… para que a sua empresa utilize o endereço IP do Kaspersky DDoS Protection atribuído durante a
configuração inicial. Enquanto isso, como os hackers podem atacar diretamente o seu endereço IP, o ISP tem de
bloquear todo o tráfego para o endereço IP original, com a exceção das comunicações com a infraestrutura DDoS
Protection da Kaspersky Lab.
Depois da alterar o seu endereço IP, todo o tráfego é redirecionado para os centros de limpeza da Kaspersky Lab.
O tráfego "limpo" é devolvido à sua empresa a partir dos nossos centros de limpeza, através dos túneis virtuais
GRE.
10
DNS ― Mitigação
Internet
Infraestrutura do Kaspersky DDoS
Protection
Centro de
limpeza
1
A sua rede
Router de limite Comutador
Túneis
virtuais
Pontos DNS para
endereços IP KDP
NAT
SPAN
Túneis
virtuais
Centro de
limpeza
2
Servidor Web
Estatísticas
Sensor KDP
DEPOIS DE UM ATAQUE
Quando o ataque terminar, pode desbloquear o
endereço IP original e alterar o registo A do DNS para
que o tráfego seja novamente enviado diretamente
para a sua empresa.
Os túneis virtuais continuam ativos, trocando
informações entre os routers da empresa e os routers
da Kaspersky Lab, para que o Kaspersky DDoS
Protection esteja preparado para agir se for lançado
outro ataque contra a sua empresa e se optar por
redirecionar novamente o tráfego.
O sensor da Kaspersky Lab continua a recolher dados
sobre o tráfego e passa constantemente esses dados
para os nossos servidores baseados na nuvem
para podermos otimizar continuamente os perfis de
comportamento para as suas condições normais de
tráfego.
Os especialistas da Kaspersky Lab também fornecem análises e relatórios detalhados após o ataque sobre:
• O que aconteceu durante o ataque
• Quanto tempo durou o ataque
• Como é que o Kaspersky DDoS Protection resolveu o ataque
11
INFORMAÇÕES SOBRE
AMEAÇAS – PARA UMA DEFESA
AINDA MELHOR
Existe outro componente de defesa importante no Kaspersky DDoS Protection,
e trata-se de um componente que a concorrência não consegue igualar.
A Kaspersky Lab é o primeiro fabricante de anti-malware a fornecer uma solução de proteção contra DDoS e
isso significa que nenhum outro fornecedor de soluções anti-DDoS consegue igualar a experiência e a escala do
nosso departamento interno de informações sobre segurança e a respetiva infraestrutura.
Como parte do trabalho inovador sobre segurança de TI que desenvolvem, os nossos especialistas em
informações sobre ameaças monitorizam continuamente o cenário de ameaças para identificar malware novo
e ameaças emergentes da Internet. Os mesmos peritos, e os mesmos métodos sofisticados, também são
utilizados para monitorizar o cenário de ameaças DDoS. Estas informações especializadas ajudam-nos a efetuar
antecipadamente a deteção de ataques DDos... por isso, a sua empresa pode beneficiar da proteção mais rápida.
PROTEÇÃO MULTICAMADAS
Com uma combinação única de monitorização contínua do tráfego, análise estatística e análise de
comportamentos, bem como as nossas informações especializadas e pró-ativas sobre ataques DDoS,
fornecemos uma solução de proteção contra DDoS mais rigorosa.
Twitter.com/
Kaspersky
Kaspersky Lab Iberia, Portugal
www.kaspersky.pt
Facebook.com/
Kaspersky
Tudo sobre a segurança
na Internet:
www.securelist.com
Youtube.com/
Kaspersky
Encontre um parceiro perto de si:
www.kaspersky.com/buyoffline
© 2014 Kaspersky Lab Iberia. Todos os direitos reservados. As marcas registadas e de serviço são propriedade dos respetivos titulares.
DataSheet_DDoS/August14/Global