W obliczu nadchodzących zmian regulacyjnych, takich jak nowelizacja ustawy KSC (Krajowy System Cyberbezpieczeństwa) oraz dyrektywa NIS 2, kluczowe staje się wdrożenie skutecznych środków ochrony przed atakami DDoS. Poznaj strategie i narzędzia, które pomogą Ci skutecznie spełnić nowe wymogi prawne i zapewnić ciągłość usług w dynamicznie zmieniającym się środowisku cyberzagrożeń.

Dyrektywa NIS 2 i nowelizacja ustawy KSC (Krajowy System Cyberbezpieczeństwa) przedstawiają dość ogólne wymagania dotyczące niezbędnych do wdrożenia środków organizacyjnych i technicznych. Pewne jest za to, że wśród głównych zagadnień będą te związane m.in. z DDoS:

• analiza ryzyka,
• monitorowanie zagrożeń i podatności,
• klasyfikowanie i zgłaszanie incydentów,
• oraz podejmowanie działań mającym im zapobiegać.

Ostatecznym celem będzie utrzymanie bezpieczeństwa naszego systemu informacyjnego, w tym ciągłości jego działania.

To klasyka nie tylko regulacji związanych z cyberbezpieczeństwem, które obejmują coraz szerszy zakres podmiotów, ale po prostu standardów i dobrych praktyk wypracowywanych latami. W czasach zwiększonej ekspozycji na ryzyko, należyta staranność o ten obszar to po prostu dbałość o nasze firmy. Chcąc pogłębiać ten wątek możemy sięgnąć po publikacje ENISA, normy ISO i NIST (oraz wielu innych organizacji), czy choćby materiały z bazy wiedzy Ministerstwa Cyfryzacji. Praktyczne rozwiązania dotyczące cyberbezpieczeństwa znajdziemy też m.in. w raportach Orange Wholesale i CERT Orange.

Harmonogram

Nie wiemy na razie kiedy nowelizacja KSC zostanie przyjęta, ale znamy harmonogram, który będzie obowiązywał po jej publikacji. Nowe KSC wejdzie w życie 30 dni po opublikowaniu jej w Dzienniku Ustaw. Od tego momentu będziemy mieli pół roku na dostosowanie biznesów do jej wymagań.

Jest jeszcze jeden termin, który będziemy musieli dochować. Nowelizacja KSC wprowadza klasyfikację podmiotów telekomunikacyjnych. Na poziomie ogólnym jest ona stosunkowo prosta. Podmiotem kluczowym są średnie lub duże firmy, a podmiotem ważnym mikro i mali przedsiębiorcy. W niektórych przypadkach wielkość firmy nie ma jednak znaczenia, a o klasyfikacji decydują usługi, które świadczy przedsiębiorca (np. mały dostawca usług zarządzanych w zakresie cyberbezpieczeństwa jest podmiotem kluczowym).

Warto więc zapoznać się z treścią ustawy i jej załącznikami, które szczegółowo omawiają warunki i zasady klasyfikacji. Tym bardziej, że sami musimy określić, do której grupy podmiotów się zaliczamy i zgłosić wpis do rejestru. Będziemy mieli na to 3 miesiące „od spełnienia przesłanek”, a więc najczęściej po prostu od wejścia ustawy w życie. W przypadku telekomunikacji wykorzystane zostaną dane z Rejestru Przedsiębiorców Telekomunikacyjnych.

Mimo, że nowe wymagania jeszcze nie obowiązują, warto już teraz zacząć się do nich przygotowywać. Tym bardziej, że czas na wdrożenie będzie bardzo krótki. Szczególnie, że projekt ustawy wydaje się już na tyle dojrzały, że nie musimy robić tego zupełnie w ciemno.

Można zacząć od oswojenia tematu i adresowania kwestii podstawowych. Na przykład, ze względu na to, że bezpieczeństwo usług telekomunikacyjnych będzie badane w łańcuchu dostaw, możemy zacząć od zweryfikowania swoich dostawców i sprawdzić czy nasze usługi są zbudowane wyłącznie w oparciu o rozwiązania firm o wysokim poziomie praktyk bezpieczeństwa.

Pomocniczo można skorzystać też ze szczegółowych wymagań określonych dla niektórych podmiotów z sektora cyfrowego, w rozporządzeniu wykonawczym wydanym do NIS2 na poziomie europejskim. Docelowo trudno jednak jeszcze przewidzieć, czy lub kiedy pojawią się wymagania specyficzne dla branży telko, które zastąpią obowiązujące rozporządzenie do art. 175d PT.

Rozwiązania

Orange oferuje usługi, które pozwalają wypełnić wymagania KSC dotyczące m.in. wychwytywania incydentów i jednocześnie skutecznie radzić sobie z atakami DDoS. W przypadku, gdy operator nie posiada detektora ataków, Orange może monitorować jego sieć i wysyłać raporty.

Część operatorów monitoruje sieć we własnym zakresie i jest też w stanie samodzielnie zareagować na różne zdarzenia. W przypadku incydentów operator może działać na poziomie własnego firewalla, czy na własnej infrastrukturze. Wyjątkiem są ataki DDoS, których bez wsparcia dostawcy, operatorzy nie są w stanie samodzielnie zmitygować.

Dzieje się tak m.in. ze względu na skalę ataku DDoS. W maju miał miejsce prawdopodobnie największy jak dotąd atak w polskim internecie. Natężenie ruchu w sieci Orange w szczycie wynosiło 1,3 Tbps. Jednak nawet tak duży incydent nie przeciążył naszego styku ze światowym internetem, ponieważ zapas wolnego pasma w sieci Orange jest kilkukrotnie większy.

Ataki DDoS bywają duże, najczęściej jednak są małe i krótkie. W sam raz żeby uśpić naszą czujność. Większość z nich nie przekracza 2 Gbps i trwa poniżej 10 minut. Przygotowywane są w sposób, który nie generuje dużych kosztów, np.: DNS, NTP, port 0 lub pofragmentowane IP. Orange ma całą paletę rozwiązań, które odpowiadają na takie ataki.

Blackholing jest usługą darmową i polega na wyłączeniu ruchu do atakowanego hosta, aby odzyskać pasmo. Rozwiązanie to jest równie bezwzględne, co skuteczne, bo zapewnia ciągłość transmisji pozostałym użytkownikom ruchu.

Pasmo x 10 to usługa wykorzystywana przez operatorów o większym ruchu, w tym przez Orange. Polega na zapewnieniu tak szerokiego pasma na połączeniach z resztą internetu, które bez problemu może przyjąć potencjalny atak. Przy kilku gigabitach ruchu pomnożenie wolnego pasma jest wykonalne w sensowych kosztach.

DDoS static to podstawowa usługa Orange. Wykorzystuje fakt, że większość ataków odbywa się po portach pozwalających na amplifikację ruchu. Polega na stałej mitygacji ruchu na takich portach, a przez to odblokowanie pasma dla ruchu http. To prosty sposób świadczenie podstawowej ochrony w atrakcyjnej cenie.

DDoS flowspec to topowe i rekomendowane przez nas rozwiązanie, które dynamicznie odfiltrowuje typowe ataki. Pozwala na precyzyjną ochronę przed DDoS, bez wpływu na legalny ruch.

Nowelizacja ustawy o KSC wymusza na operatorach posiadanie detektora incydentów. Operatorski firewall przy pomocy flowspec może wydać routerowi Orange polecenie blokowania konkretnych ataków z konkretnych kierunków. Czyli, jeśli atak idzie np. z Rosji to blokujemy rosyjskie prefiksy, a cała reszta świata nie jest odcinana. To znacząca przewaga flowspeca nad blackholingiem, który wycina cały ruch.

Flowspec umożliwia utworzenie do 20 reguł zawierających takie dane jak source, destination, protocol i port. Taki wzorzec jest przesyłany w protokole BGP do routerów operatora i Orange. Ten drugi dzieli się tą informacją z pozostałymi routerami sieci Orange i ruch zostaje zablokowany. Działa to o wiele szybciej i dokładniej niż rozwiązania oparte na zewnętrznych firewallach.

Orange oferuje także sposób pośredni, który pozwala ograniczyć koszty rozwiązań stosowanych tam, gdzie najczęściej występują ataki, czyli na połączeniu ze światowym internetem. W tym celu warto wydzielić jak najwięcej ruchu poza ten obszar.

Oferujemy połączenie do TPIX, gdzie – poprzez korektę standardowej tablicy routingu o nierozgłaszanie swoich prefiksów – w praktyce możemy wyeliminować ataki DDoS.

Istnieje też opcja oddzielnego odbioru ruchu z CDN-ów, które ataków DDoS w ogóle nie generują. W efekcie dla droższych metod ochrony pozostanie zaledwie około 30% ruchu na styku ze światowym internetem.

***

Opcje, które proponuje Orange zapewniają wiele poziomów ochrony i pozwalają operatorom na wybór rozwiązania najlepiej dopasowanego do ich potrzeb i specyfiki ich sieci. Tak, aby atak na jednego z ich klientów został szybko wykryty, zneutralizowany i nie wpłynął na ciągłość oraz jakość usług świadczonych pozostałym.

Autorzy: Piotr Kowalski, Manager ds. Transformacji, Orange Polska
Konrad Plich, Ekspert ds. Hurtowych Projektów Strategicznych, Orange Polska

Zobacz także:

• Ochrona tranzytu przed DDoS – Orange Wholesale