Ochrona przed atakami DDoS i WAF

Kiedy mówimy o cyberatakach i sposobach ich zapobiegania, na myśl przychodzi nam przede wszystkim kradzież danych i ochrona przed ich wyciekiem. Często zapominamy jednak, że celem hakerów nie są dane same w sobie a jedynie zakłócenie pracy określonej infrastruktury.

Przykładem takiego działania jest DDoS (ang. distributed denial of service, rozproszona odmowa usługi), będąca złośliwą próbą zakłócenia normalnego ruchu docelowego serwera, usługi lub sieci poprzez wygenerowanie wzmożonego ruchu, mającego na celu przeciążenie systemów. W przypadku DDoS ruch ten pochodzi z wielu różnych źródeł, co skutecznie uniemożliwia zatrzymanie ataku poprzez zablokowanie pojedynczego źródła.

Ataki DDoS mogą skutkować trwałymi konsekwencjami a także powodować znaczące straty w biznesie, dlatego ważne jest, aby rozumieć zagrożenia z nimi związane.

Sposobem ochrony przed tego typu cyberatakami jest prewencja, mająca na celu wyszukanie i usunięcie usterek związanych z lukami w zabezpieczeniach sieci oraz usług, również tych opartych na chmurze.

Narzędziami wykorzystywanymi do ochrony oraz niwelowania skutków DDoS są min.: Blackholing i Sinkholing, IPS System lub Upstream lub (zapory sieciowe) firewall.

WAF
Choć te ostatnie są jednym z najpopularniejszych sposobów ochrony przed hakerami, nie zawsze są w stanie wykryć wszystkie ataki. Do zadań, z którymi nie radzą sobie zwykłe zapory, wykorzystywany jest system WAF (ang. web application firewall), służący do monitorowania filtrowania i blokowania danych przesyłanych wyłącznie z i do aplikacji webowych.

Co ciekawe system ten jest w stanie zlokalizować nie tylko znane mu ataki, ale wychwytuje również wszystkie nietypowe zachowania i działania, jednocześnie blokując nowe zagrożenia.

Działanie WAF polega na stworzeniu czarnej (blacklist) lub białej listy (whitelist).

  • Model bazujący na czarnej liście to nic innego jak przygotowanie wykazu treści , które mają być identyfikowane jako niebezpieczne, a co się z tym wiąże zablokowane a następnie zmodyfikowane lub zapisane w logach.
  • Biała lista zawiera natomiast wyłącznie treści, które mają być akceptowane przez serwer i które zostaną przepuszczone. Wszystkie inne zostaną zablokowane.

WAF może być oparty na sieci, hostach lub w chmurze i często jest wdrażany za pośrednictwem serwera proxy.

WAF stosuje się do ochrony aplikacji webowych m.in. przed atakami typu XSS, SQL Injection, Command Injection lub Directory Traversal.