5 bước để chuẩn bị cho một cuộc tấn công DDoS

5 bước để tổ chức của bạn chuẩn bị cho một cuộc tấn công DDoS

October 10, 2019 | vietsunshine

Nó gần như là một điều không thể tránh khỏi, vào một lúc nào đó, doanh nghiệp/tổ chức của bạn sẽ cũng phải hứng chịu một cuộc tấn công DDoS.

Lý do của những cuộc tấn công DDoS có thể là do tội phạm mạng, nhưng đôi khi chỉ đơn giản là bạn xui xẻo, dù gì đi nữa, thì nó cũng có thể hạ gục bạn nếu không có sự chuẩn bị.

Nhưng có một tin tốt là bạn có thể sẵn sàng để đương đầu với các cuộc tấn công DDoS với 5 bước chính bạn có thể thực hiện ngay hôm nay.

Bước 1: Quản lý các tài sản dễ bị tấn công

Người Hy Lạp cổ đại nói rằng sự hiểu biết chính mình là khởi đầu của trí tuệ. Do đó, không có gì ngạc nhiên khi bước đầu tiên để bảo vệ tài sản của bạn trước một cuộc tấn công DDoS là phải biết những tài sản nào cần được bảo mật.

Bắt đầu bằng cách liệt kê tất cả các tài sản đối diện bên ngoài có khả năng bị tấn công. Danh sách này nên bao gồm cả tài sản vật lý và ảo:

  • Địa điểm và văn phòng
  • Các trung tâm dữ liệu
  • Máy chủ
  • Các ứng dụng
  • Địa chỉ IP và mạng con
  • Tên miền, tên miền phụ và FQDN cụ thể.

Lập bản đồ tất cả các tài sản hướng ra bên ngoài sẽ giúp bạn vẽ ra bề mặt mối đe dọa và xác định điểm dễ bị tổn thương của bạn.

Bước 2: Đánh giá thiệt hại tiềm năng

Sau khi liệt kê tất cả các tài sản có khả năng dễ bị tổn thương, hãy tìm hiểu xem chúng đáng giá bao nhiêu đối với bạn. Đây là một câu hỏi quan trọng, vì câu trả lời sẽ giúp xác định số tiền bạn nên chi tiêu trong việc bảo vệ các tài sản này.

Hãy nhớ rằng một số thiệt hại là trực tiếp, trong khi những thiệt hại khác có thể là gián tiếp. Một số thiệt hại tiềm tàng từ một cuộc tấn công DDoS bao gồm:

  • Thiệt hại trực tiếp về doanh thu: Nếu trang web hoặc ứng dụng của bạn tạo doanh thu trực tiếp một cách thường xuyên, thì bất kỳ sự mất khả dụng nào cũng sẽ gây ra tổn thất trực tiếp, ngay lập tức về doanh thu. Ví dụ: nếu trang web của bạn tạo ra 1 triệu đô la mỗi ngày, trung bình mỗi giờ ngừng hoạt động, sẽ gây ra thiệt hại hơn 40.000 đô la.
  • Mất năng suất: Đối với các tổ chức phụ thuộc vào các dịch vụ trực tuyến, chẳng hạn như email, lập lịch, lưu trữ, CRM hoặc cơ sở dữ liệu, bất kỳ sự mất khả dụng nào đối với bất kỳ dịch vụ nào trong số này sẽ trực tiếp dẫn đến mất năng suất và mất ngày làm việc.
  • Nghĩa vụ SLA: Đối với các ứng dụng và dịch vụ bị ràng buộc bởi các cam kết dịch vụ, bất kỳ thời gian chết nào cũng có thể dẫn đến vi phạm SLA, dẫn đến việc hoàn trả cho khách hàng các dịch vụ bị mất, cấp tín dụng dịch vụ và thậm chí có thể phải đối mặt với các vụ kiện.
  • Ảnh hưởng tới thương hiệu: Trong một thế giới đang ngày càng kết nối, việc luôn sẵn sàng ngày càng gắn liền với thương hiệu và bản sắc của công ty. Do đó, bất kỳ mất khả dụng nào do bị tấn công mạng đều có thể ảnh hưởng trực tiếp đến thương hiệu và uy tín của công ty. Trên thực tế, Báo cáo An ninh mạng và Ứng dụng Radware 2018 cho thấy 43% các công ty đã bị mất danh tiếng do một cuộc tấn công mạng.
  • Mất khách hàng: Một trong những thiệt hại tiềm năng lớn nhất của một cuộc tấn công DDoS thành công là mất khách hàng. Đây có thể là tổn thất trực tiếp (nghĩa là, một khách hàng chọn từ bỏ bạn do bị tấn công mạng) hoặc gián tiếp (tức là, những khách hàng tiềm năng không thể tiếp cận bạn và mất cơ hội kinh doanh). Dù bằng cách nào, đây là một mối quan tâm chính.

Khi đánh giá thiệt hại tiềm tàng của một cuộc tấn công DDoS, hãy đánh giá từng tài sản dễ bị tổn thương. Ví dụ, một cuộc tấn công DDoS chống lại một trang web thương mại điện tử hướng tới khách hàng sẽ dẫn đến thiệt hại rất khác so với một cuộc tấn công vào văn phòng từ xa.

Sau khi bạn đánh giá rủi ro cho từng tài sản, hãy ưu tiên chúng theo rủi ro và thiệt hại tiềm ẩn. Điều này không chỉ giúp bạn đánh giá tài sản nào cần được bảo vệ mà còn cả loại bảo vệ mà chúng yêu cầu.

Bước 3: Phân công trách nhiệm

Khi bạn đã xác định được các tài sản có khả năng bị tấn công, bước tiếp theo là quyết định ai chịu trách nhiệm bảo vệ chúng. Các cuộc tấn công DDoS là một loại tấn công rất đặc thù, vì chúng ảnh hưởng đến các cấp độ khác nhau của cơ sở hạ tầng CNTT và do đó có thể có khả năng thuộc trách nhiệm của các bên liên quan khác nhau:

  • DDoS có phải là trách nhiệm của quản trị viên mạng không, vì nó ảnh hưởng đến hiệu suất mạng?
  • Đây có phải là trách nhiệm của chủ sở hữu ứng dụng, vì nó ảnh hưởng đến tính khả dụng của ứng dụng?
  • Đây có phải là trách nhiệm của người quản lý doanh nghiệp, vì nó ảnh hưởng đến doanh thu?
  • Đây có phải là trách nhiệm của CISO, vì đây là một loại tấn công mạng?

Một số lượng đáng ngạc nhiên các tổ chức không có các khu vực trách nhiệm được xác định đúng liên quan đến bảo vệ DDoS. Điều này có thể dẫn đến việc DDoS phòng thủ “rơi vào giữa các vết nứt”, khiến cho các tài sản bị phơi bày.

Bước 4: Thiết lập cơ chế phát hiện

Bây giờ, khi bạn đã đánh giá tài sản nào bạn phải bảo vệ và ai chịu trách nhiệm bảo vệ chúng, bước tiếp theo là thiết lập các biện pháp sẽ cảnh báo bạn khi bạn bị tấn công.

Rốt cuộc, bạn không muốn khách hàng của mình – hay tệ hơn là sếp của bạn – là người nói với bạn rằng các dịch vụ và ứng dụng của bạn đang ngoại tuyến.

Các biện pháp phát hiện có thể được triển khai ở cấp độ mạng hoặc ở cấp ứng dụng. Hãy chắc chắn rằng các biện pháp này được cấu hình để chúng không chỉ phát hiện các cuộc tấn công mà còn cảnh báo bạn khi có điều gì xấu xảy ra.

Bước 5: Triển khai Giải pháp bảo vệ DDoS

Cuối cùng, sau khi bạn đã đánh giá các lỗ hổng và chi phí của mình và thiết lập các cơ chế phát hiện tấn công, giờ là lúc để triển khai bảo vệ thực tế. Bước này cần được thực hiện tốt nhất trước khi bạn bị tấn công.

Bảo vệ DDoS không có một đề xuất một kích cỡ phù hợp với tất cả, và có nhiều loại tùy chọn bảo vệ, tùy thuộc vào đặc điểm, rủi ro và giá trị của từng tài sản riêng lẻ.

Các dịch vụ giảm thiểu cho đám mây theo yêu cầu chỉ được kích hoạt khi phát hiện một cuộc tấn công. Chúng đòi hỏi chi phí thấp nhất và là giải pháp chi phí thấp nhất, nhưng yêu cầu phân luồng traffic để bảo vệ để khởi động. Do đó, chúng phù hợp nhất cho các khách hàng nhạy cảm với chi phí, các dịch vụ không quan trọng về nhiệm vụ và các khách hàng chưa bao giờ bị (hoặc không thường xuyên) bị tấn công, nhưng muốn có một hình thức dự phòng cơ bản.

Dịch vụ đám mây luôn sẵn sàng định tuyến tất cả lưu lượng truy cập thông qua một trung tâm thanh lọc (scrubbing center) đám mây mọi lúc. Loại bảo vệ này là tốt nhất cho các ứng dụng quan trọng không có được phép ngừng hoạt động và các tổ chức thường xuyên bị tấn công.

Các thiết bị dựa trên phần cứng cung cấp các khả năng tiên tiến và phản ứng nhanh của các thiết bị cơ sở. Tuy nhiên, một thiết bị, tự nó, bị hạn chế trong khả năng của nó. Do đó, chúng được sử dụng tốt nhất cho các nhà cung cấp dịch vụ đang xây dựng khả năng thanh lọc của riêng họ hoặc kết hợp với dịch vụ đám mây.

Cuối cùng, hybrid DDoS protection kết hợp khả năng khổng lồ của các dịch vụ đám mây với các khả năng tiên tiến và phản ứng nhanh của thiết bị phần cứng. Hybrid protection là tốt nhất cho các dịch vụ nhạy cảm với độ trễ và độ nhạy của nhiệm vụ và các tổ chức mã hóa lưu lượng người dùng của họ, nhưng không muốn đưa các khóa SSL của họ vào đám mây.

Cuối cùng, bạn không thể kiểm soát rằng liệu bạn có thể bị tấn công và khi nào thì nó diễn ra, nhưng làm theo các bước này sẽ giúp bạn chuẩn bị khi kẻ tấn công DDoS đến gõ cửa nhà bạn.

Nguồn: 5 Steps to Prepare for a DDoS Attack

Xem thêm:

Tags: , ,