Ettevõtlus
3 min lugemine
Telia küberturvalisuse valdkonna juhi Margus Vaino hinnangul mõjutas 2023. aastal Eesti küberturvalisuse olukorda kurjategijate ja poliitiliste rühmituste märkimisväärselt suurem innukus üle koormata ettevõtete ja organisatsioonide internetiliiklust korraldavad seadmed DDoS ehk hajutatud teenustõkestusrünnakutega.
„Telia Eesti ja Riigi Infosüsteemi Ameti (RIA) statistika näitab, et eriti viimastel kuudel on DDoS rünnete maht kasvanud kolm kuni neli korda,“ tõdes Vaino. Eesti ettevõtete vastu tehakse iga kuu keskmiselt üle paarisaja DDoS rünnaku.
Laias laastus korraldatakse kahte sorti rünnakuid. Tavalise DDoS rünnaku eesmärgiks on ummistada ära kogu andmesidekanal koos kõigi seal liikuva infoga. Viimasel ajal on aga kasvanud Layer 7 DDoS rünnete osakaal, mille sihtmärgiks on ühe konkreetse veebiserveri ummistamine.
Layer 7 DDoS rünnete sihtmärkideks on peamiselt äriettevõtted, kelle tegevus sõltub palju veebikeskkonna toimimisest (nt veebipoed, interneti vahendusel pakutavad teenused jne) ning avalik sektor ja elutähtsate teenuste pakkujad. Sellised rünnakud on muutunud nii ulatuslikuks, et ilma DDoS ründevastase kaitseta organisatsioon ei saa rünnaku korral ise midagi ette võtta. Seega on tõhusad küberkaitse meetmed muutunud ettevõtete jaoks eluliselt tähtsaks.
Enamasti rünnatakse brauserite poolt kasutatavaid andmesideühenduste porte 80 ja 443. Seda tüüpi DDoS rünnak hõlmab tavaliselt kiireid ja järjestikkuseid ühenduste taaskäivitusi, mis suunatakse rünnatava teenuse või veebisaidi serveritesse. Vaino sõnul kasutavad ründajad selleks spetsiaalseid meetodeid, luues pidevalt uusi ühendusi ja seejärel need kiiresti katkestades. Sellise tegevusega koormatakse serveri ressurssi. Taolised ründed ei ole mahult suured, jäädes valdavalt 10-100 Mbit/s kanti, kuid võivad vahest ka ulatuda 500 megabitini sekundis.
Eraldi võib välja tuua, et juulist saati on meil märkimisväärselt kasvanud ka suure mahuga (üle 20 Gbit/s) rünnakute arv ja püsib kõrge tänaseni,“ tõdes Vaino. Telia Eesti hankis selliste rünnakute tõrjumiseks spetsiaalsed seadmed ning need on töötanud väga efektiivselt. „Senine kogemus näitab, et suudame ettevõtteid taoliste rünnakute vastu tõhusalt kaitsta, nii et kliendid ei saagi aru, et nad võeti küberkurjategijate poolt sihikule,“ rääkis Vaino.
Kurjategijad on muutnud ka taktikat ja ründavad nüüd erinevaid veebiteenuseid väiksemate sihitud rünnakutega. Alates suve teisest poolest hakkas üle ilma levima uus Layer 7 DDoS teenusetõkestusrünnete läbiviimise meetod HTTP/2 Rapid Reset. Selleks kasutati ära HTTP/2 protokolli haavatavust, mille kaudu oli võimalik teha väga suurte päringute arvuga hajusaid teenusetõkestusründeid. Mullused ründed olid seetõttu kolm korda suurema võimsusega, kui aasta varasem rekord. Näiteks Google’i väitel tegelesid nad HTTP/2 Rapid Reset ründega, mille maht oli suisa 400 miljonit päringut sekundis. Eestis nii mahukaid rünnakuid õnneks toimunud ei ole.
„Viimastel kuudel on uue trendina märgatavalt sagenenud ka ründed meie klientide domeeninimede süsteemi ehk DNS serverite pihta. Selline tegevus ei halva võrguliiklust, kuid kliendi jaoks annab DNS serverite segamine sama tulemuse,“ kirjeldas Vaino.
Tema sõnul on veebiserveri vastaste ummistusrünnakute vastu kõige parem kaitse veebirakenduse tulemüür ehk WAF (web application firewall), mida pakub hallatud teenusemudeli põhimõttel ettevõtetele ka Telia Eesti. „See on üks komplekssemaid lahendusi, kus ühes turvaseadmes tekib mitmekihiline kaitse ning veebilehe pihta suunatud ründed muutuvad tuvastatavaks ja tõrjutavaks koos sellega seotud logide ja raportitega,“ soovitas Vaino. WAF Kaitse omadustest ja tehnilistest üksikasjadest saab lugeda SIIT.
