DDoS no DNS: o tempo de inatividade é apenas a ponta do iceberg

Por Donny Chong, diretor da Nexusguard

Os ataques de DDoS têm custos financeiros significativos para qualquer organização, independentemente do setor. O custo médio de uma interrupção do serviço é estimado em cerca de 325.000 libras por ataque, e qualquer organização pode ser a próxima a ser atingida. Para operadoras de telecomunicações, no entanto, as chances são um pouco maiores.

Nos últimos anos, o número médio de tentativas de ataques DDoS em provedores de telecomunicações saltou de uma ou duas para mais de 100 por dia. Os agentes de ameaças estão cada vez mais visando os provedores de telecomunicações como uma porta de entrada para interromper não apenas suas redes, mas todas as organizações que dependem delas. Esse favorecimento dos fornecedores como alvo parece ter vindo para ficar. Enquanto as empresas de telecomunicações correm para reforçar suas defesas, há um ponto fraco ao qual elas deveriam prestar atenção especial: os sistemas de nomes de domínio (DNS). Como alvo de DDoS, eles não causam apenas tempo de inatividade, mas também trazem alguns custos ocultos menos conhecidos para organizações que não conseguem protegê-los.

DNS? Aquela coisa velha?
O DNS é um dos pilares da Internet, sustentando a presença de todas as organizações na Internet. Eles são tão usados que muitas vezes são dados como garantidos. Mais comumente conhecidos como “agenda telefônica da Internet”, eles convertem nomes de domínio como um ser humano os leria (www.) em endereços IP compatíveis com a máquina (123.4.5.67). Essas solicitações de tradução (consultas de DNS) ocorrem sempre que um site recebe um visitante. E, ao contrário da maioria dos outros sistemas que sustentam a Internet, o DNS responde a cada solicitação, sem filtragem ou triagem de legitimidade. Embora isso crie uma suavidade
experiência na Internet, ela também deixa uma vulnerabilidade aberta para os agentes de ameaças explorarem.

Assim como outros vetores de ataque de DDoS, os ataques de DNS geralmente levam a um extenso tempo de inatividade que, em última análise, afeta a reputação e a receita da empresa. Em casos extremos, essas interrupções podem contribuir para a insatisfação do cliente ou até mesmo levar a ações legais quando os Acordos de Nível de Serviço (SLAs) são violados. No caso de provedores de telecomunicações, que geralmente têm milhares de clientes dependentes de suas redes, esses efeitos podem ser catastróficos.

Com a grande quantidade de diferentes vetores de DDoS disponíveis para os atacantes escolherem, a mitigação está se tornando cada vez mais complexa. Não é de admirar que o DNS muitas vezes não consiga entrar nas principais prioridades, mas muitas organizações não conseguem enxergar os custos ocultos que isso acarreta.

O resto do iceberg
Como o DNS não tem nenhum processo integrado de validação ou triagem, ele é um alvo popular para agentes de ameaças, que podem facilmente inundá-los com ondas de solicitações ilegítimas que podem afetar os serviços. Mas essas interrupções têm consequências inesperadas. Embora os sistemas de nível corporativo sejam criados para lidar com grandes quantidades de solicitações como parte das operações diárias, seus sistemas de cobrança não são tão robustos.

Os provedores de serviços de DNS geralmente operam com um método de pagamento conforme o uso, cobrando dos clientes com base na quantidade total de solicitações de DNS recebidas ao longo de cada ciclo de cobrança. Em circunstâncias normais, essa é a forma mais lógica de cobrar, com as organizações pagando apenas pelo que usam. No entanto, durante um ataque de DDoS baseado em DNS, as organizações podem receber uma quantidade de solicitações que supera seus totais usuais, fazendo com que as contas aumentem drasticamente. Devido à natureza do DNS, até mesmo solicitações maliciosas são tratadas da mesma forma que solicitações legítimas, aumentando a contagem mensal da fatura. Portanto, mesmo após o tempo de inatividade causado pelo DDoS e após toda a recuperação ter sido resolvida, as organizações ainda podem ser atingidas por contas de serviço de DNS extremamente inflacionadas.

Soando o alarme de DNS
Embora outros vetores de ataque de DDoS possam ocupar as manchetes, os provedores de telecomunicações não devem se deixar levar pelo hype. Apesar de serem menos conhecidos, os ataques de DNS podem trazer não apenas tempo de inatividade, mas também contas adicionais à contagem de danos após um ataque. Os provedores de telecomunicações precisam abordar suas defesas de DNS com urgência, pois não podem se dar ao luxo de reduzi-las ainda mais nas prioridades. Uma solução rápida agora pode salvar você, de várias maneiras, mais tarde.

Felizmente, reforçar as defesas do DNS não é tão complicado quanto você pode temer. Como acontece com toda segurança cibernética, as organizações precisam começar com o básico. Para aqueles sem nenhuma proteção, a implementação de serviços de limitação de taxa e filtragem para filtrar solicitações maliciosas e impedir que elas cheguem aos servidores DNS aumentará sua segurança instantaneamente. Isso não apenas evitará o tempo de inatividade cheio de DNS, mas também evitará que solicitações ilegítimas aumentem as contas de DNS. E para aqueles que desejam dar um passo adiante, a mudança para um provedor de DNS com um modelo de taxa fixa também pode ser uma forma de eliminar a ameaça de contas inchadas.

Para provedores de telecomunicações em particular, as defesas que eles optam por implementar são secundárias. O que deve vir primeiro é a ação, e agora. Com o aumento dos ataques direcionados às telecomunicações, esses custos adicionais já caros podem disparar ainda mais se nenhuma ação for tomada — e com a solução à sua frente, por que não usá-la?

Fonte: https://totaltele.com/dns-ddos-downtime-is-just-the-tip-of-the-iceberg/