Ovih dana aktualni su u medijima DoS napadi.
Ostavimo na stranu konkretan slučaj, moguće motive i počinitelje, pa čak i način na koji je konkretno napad učinjen. Orijentirajmo se na komentar što bi točno trebalo učiniti kod prevencije DoS napada te kod oporavka od istoga. Naime, kod ovakve vrste prijetnji, koje bi trebale biti obuhvaćene općom implementacijom ISMS-a, najvažnije je proaktivno ponašanje. Reaktivna (povratna) reakcija svodi se na uspostavljanje ugroženih mrežnih servisa, sanaciju eventualno počinjene štete i naposlijetku, eventualno, otkrivanje počinitelja.
Pet je temeljnih mjera koje je potrebno poduzeti kako bi se unaprijed smanjila mogućnost uspješnih DoS napada, odnosno smanjio njihov utjecaj na mrežne i aplikativne sustave:
- Procedure konfiguriranja i nabave mrežne opreme (firewalli, routeri, switchevi) moraju biti u skladu s temeljnim ciljevima politika osiguranja mrežne sigurnosti, odnosno u ovom slučaju dostupnosti (u okviru klasične C-I-A trijade, izbjegavanje DoS napada je klasična razrada “Availability” vrha trokuta – u zadnje vrijeme postoje i tzv. permanent DoS napadi, kod kojega hackeri postižu kontrolu nad hardverskim komponentama i flashaju sustave programima blokirajući permanentno njihov rad, čime se ne ugrožava samo raspoloživost sustava nego i njihov integritet – “I” vrh trokuta)
- Hardverski sustavi za prevenciju uskraćivanja usluge – radi se o samostalnim hardverskim komponentama (“appliances”) koje se instaliraju u mreži prije samog aplikacijskog servera koji se štiti a mogu podržavati i zajednički način rada sa mrežnom opremom. Postoji čitav niz ponuđača ovakvih uređaja od kojih svaki ima svoje mane i prednosti a zajedničko im je da posjeduju postavljanje i određivanje prioriteta u mrežnom prometu, mogućnost hardverske akceleracije prometa te inteligentne (proaktivne) analize prometa u potrazi za sumnjivim obrascima. Ovisno o mogućnosti regulacije prometa, brzini rada te implementiranim algoritmima cijena ovakvih sustava najčešće u osnovnoj konfiguraciji kreće od 15.000 EUR nadalje, uvećano za godišnje održavanje (u pravilu oko 20 % nabavne cijene) pa je njihova cijena najčešći razlog zašto se svjesno ne primjenjuju u zaštiti mrežnih sustava
- Sustavi za prevenciju upada (intrusion prevention systems), hardverski ili softverski, u slučaju DoS napada mogu biti efikasni ukoliko se radi o napadima koji imaju tipični obrazac odvijanja uz koji se može povezati određeni “digitalni potpis”. IPS sustavi tipično funkcioniraju slično sustavima antivirusne zaštite, tako da se od strane pružatelja zaštitnih usluga koji održava bazu “digitalnih otisaka” napada primjenjuju najnovije definicije koje zatim hardversko ili softversko rješenje koristi u analizi mrežnog prometa tragajući za tipičnim obrascima ponašanja. IPS sustavi moraju imati jaku procesorsku snagu jer moraju biti sposobni odvojiti legitimni promet od onoga koji je dio DoS napada, moraju vršiti online analizu sadržaja mrežnog prometa. Glavni ograničavajući čimbenik je taj što većina DoS napada koristi legitimne oblike prometa koji zbog svog volumena postižu maliciozne ciljeve.
- Jasno dokumentirane procedure implementacije ISMSa, a unutar njih, razrada postupaka i kontingencijskih procedura vezano uz IP adrese, komunikacijske kanale i serverske resurse te oporavak od katastrofe i kontinuitet obavljanja temeljne djelatnosti i pružanje usluga; vezano uz to jasni SLA ugovori
- Ugovori sa specijaliziranim konzultantskim kućama koje se bave tzv. odgovorom na napad. Takve kuće tipično pružaju specijalizirane usluge kriznog rukovođenja incidentom na tehničkom nivou, odnosno visoko su specijalizirane pri zaustavljanju napada, otklanjanju štetne radnje koja blokira pružanje mrežnih usluga i oporavak usluge na početne razine.Pritom je važno reći kako u Republici Hrvatskoj ne postoji niti jedna tvrtka koja bi se ekskluzivno bavila samo ovom djelatnošću – tržište ovakve usluge čiji korisnici su isključivo osviješteni korporativni korisnici je jednostavno previše malo da bi si tvrtke dozvolile specijalizaciju ove vrste. Stoga neka poduzeća nude odgovor na incidente u svojoj ponudi, no radi se o vrlo dinamičnoj grani tehničke informacijske sigurnosti i ostavlja se klijentima procjena validiteta takvih ugovora i ponuđenih usluga pošto nije jednostavno dobiti komercijalnu ponudu a još je teže obaviti komparaciju
Kada je jednom došlo do uspješnog napada, vrlo često je uz tehnički odgovor potreban i odgovor korištenjem metoda socijalnog inženjeringa. Vrlo je teško a s praktičnog stajališta ponekad i potpuno nemoguće utvrditi odakle dolazi napad i tko je za njega “kriv”, odnosno tko je inicijator u smislu jedne osobe ili organizacije. Naime, sofisticirane DoS napade koji nisu jednostavni “flooding” moguće je uz nešto detaljne pripreme pokrenuti na način da je čak i teoretski gotovo nemoguće otkriti koja osoba fizički stoji iza napada. Stoga je česta pojava neadekvatne reakcije onih koji su napadom pogođeni a koja često ide u smjeru “otkrivanja i kažnjavanja jednog krivca”. Potrebno se primarno orijentirati na načine zaustavljanja napada i sprečavanja ponavljanja istih napada u budućnosti.
Uobičajeno je da su investicije u informacijsku infrastrukturu na granici minimalno mogućeg i praktičnog umjesto da djeluju razvojno i proaktivno, jer još uvijek postoji svijest o tome kako je ICT isključivo trošak pošto se u Hrvatskoj danas vrlo rijetko računa povrat na investiciju u ICT sektoru a uprave korporacija posjeduju jako malo praktičnog znanja o ulozi i položaju strateške informatičke funkcije svodeći je na uslužnu potpornu djelatnost. Primjena ili nekorištenje nekih ili većine navedenih principa zaštite mrežnih usluga u svjetlu te činjenice spada u domenu procjene odnosno prihvaćanja objektivno postojećeg rizika.
U slučaju medijskih kuća koje kao isključivi komunikacijski medij koriste Internet i računalne mreže, mišljenja sam kako je poslovni model u kojemu se prihvaća rizik napada na mrežne sustave ili mu nije posvećena maksimalna pažnja (u praksi se to svodi na investicije i znanje, interno ili konzultantsko) u najmanju ruku manjkav, odnosno nije u skladu s temeljnim pravilima poslovne logike.