Ataques DDoS nas camadas 3 e 4 continuam em alta com o confinamento

O mundo corporativo está correndo para se adaptar ao "novo normal" — mudando para serviços on-line, resistindo a picos de tráfego e apoiando os novos trabalhadores remotos. Observamos dados de ataques e concluímos que essa "corrida" (bem como a importância cada vez maior da internet em nossas vidas diárias) é uma oportunidade para invasores ampliarem atividades maliciosas.

Este relatório mostra os dados por trás dessa tendência e dá sugestões de como responder.

Dados globais mostram alta na frequência e queda no tamanho dos ataques

Dados de ataques observados pela Cloudflare de abril a junho de 2020 mostram estas tendências:

• O número de ataques de DDoS nas camadas 3/4 na nossa Rede dobrou a partir do primeiro trimestre.

• A maioria dos ataques no segundo trimestre de 2020 foram menores em tamanho, mas isso não é necessariamente uma boa notícia.

• O país com mais ataques DDoS foi os EUA.

O número de ataques DDoS globais nas camadas 3/4 dobrou no segundo trimestre de 2020

Ataques de DDoS direcionados às camadas 3 e 4, também conhecidas como as camadas de Rede e Transporte do modelo OSI, usam as funções dessas duas camadas (por exemplo, pings no servidor na camada 3 e pacotes TCP SYN na camada 4) para sobrecarregar um servidor de destino com tráfego de lixo eletrônico.

Em uma análise de ataques de DDoS nas camadas 3/4, vimos que houve um grande pico de ataques em abril, maio e junho. Somente em maio e junho, aconteceram mais de 50% de todos os ataques nas camadas 3 e 4 este ano:

Alguns dos maiores ataques também ocorreram nesse período. A maior categoria de ataques avaliada pela Cloudflare teve um volume de mais de 100 Gigabits por segundo (Gbps). Dentre todos os ataques de mais de 100 Gbps no segundo trimestre de 2020, 63% aconteceram em maio, o que representa uma alta considerável em ataques grandes em comparação com o primeiro trimestre.

A maioria dos ataques no segundo trimestre de 2020 foram menores em tamanho, mas isso não é necessariamente uma boa notícia.

Existem diferentes maneiras de medir o tamanho de um ataque de DDoS. Uma delas é o volume do tráfego distribuído, medido em termos de taxa de bits (especificamente, gigabits por segundo); outra é o número de pacotes distribuídos, medido em termos de taxa de pacotes (especificamente, pacotes por segundo). Os ataques com altas taxas de bits tentam saturar a conexão com a internet, enquanto os ataques com altas taxas de pacotes tentam sobrecarregar os roteadores ou outros dispositivos de hardware em linha.

Em abril, maio e junho, mais da metade dos ataques tiveram menos de 1 Gbps de tráfego e quase 90% tiveram menos de 10 Gbps. (Esta tendência é consistente com os ataques no primeiro trimestre de 2020, dos quais 92% tiveram menos de 10 Gbps.)

Do mesmo modo, aproximadamente 76% de todos os ataques tiveram taxas de pacote de menos de um milhão de pps, um limiar comparativamente baixo.

A maioria dos ataques DDoS nas camadas 3 e 4 aconteceram nos EUA

Ao analisar a distribuição por país dos ataques de DDoS nas camadas 3 e 4, nossos data centers nos Estados Unidos receberam o maior número de ataques (22,6%), seguidos pela Alemanha (4,4%), pelo Canadá (2,8%) e pela Grã-Bretanha (2,7%).

Como as empresas podem responder a essas tendências

Com base nessas tendências, chegamos às conclusões a seguir e damos recomendações de como responder:

• Os invasores aumentaram as atividades de DDoS nas camadas 3 e 4 quando a pandemia de COVID-19 realmente começou.

  Projeções indicam que a pandemia continuará por algum tempo, por isso, as empresas precisam garantir que a infraestrutura das camadas 3 e 4 esteja preparada para resistir a ataques de DDoS no longo prazo.

• Ataques menores ainda podem ser um problema.

  Um ataque com uma taxa de bits inferior a 10 Gbps ainda pode derrubar um site sem a proteção adequada, assim como ataques com taxas de pacote mais baixas. As empresas devem investir em proteção contra ataques de vários tamanhos.

• Ataques menores podem ser o subterfúgio inicial de uma estratégia mais ampla

  , na qual os invasores exigem um resgate de empresas em troca de não interromper seu ativo da internet, ou visam distrair as equipes de segurança de um ataque separado. As organizações precisam ter certeza de que conseguem monitorar sua infraestrutura em relação a ataques de todos os tamanhos, em vez de somente ataques grandes que derrubam servidores inteiros.

• Ataques vêm de origens de todo o mundo.

  As empresas precisam investir na capacidade de inspecionar e depurar todo o tráfego de muitos pontos em todo o mundo ao mesmo tempo.

Uma grande rede baseada em nuvem é a única resposta realmente viável para todos esses desafios. Ela coloca a proteção contra DDoS em um único plano de controle na borda da rede para interromper os ataques o mais próximo possível de sua origem. Assim, os servidores de origem permanecem seguros e protegidos, estejam no local ou em nuvem. Além disso seu tamanho permite distribuir o tráfego de ataque em uma grande superfície de rede para que nenhum data center sofra as consequências e e apresente um desempenho pior.

Essas descobertas foram feitas na rede da Cloudflare, que está presente em mais de 200 cidades em mais de 100 países e bloqueia mais de 72 bilhões de ameaças cibernéticas por dia. Devido à nossa exclusiva visão 360º de todo o cenário de ameaças de DDoS, a Cloudflare consegue coletar dados detalhados sobre esses ataques pervasivos à medida que eles evoluem. A rede da Cloudflare sempre aprende com cada ataque e, ao mesmo tempo, compartilha automaticamente a inteligência necessária para impedir o próximo. Além disso, oferece segurança robusta contra DDoS para toda a sua empresa sem diminuir o desempenho da rede e dos aplicativos.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.