NETWORK DDOS INCIDENT RESPONSE CHEAT SHEET

Các chủ đề sau:

1. Cân nhắc chung
2. Chuẩn bị cho sự cố trong tương lai
3. Phân tích cuộc tấn công
4. Giảm thiểu tác động của cuộc tấn công
5. Kết thúc sự cố và điều chỉnh
6. Các bước ứng phó chính với sự cố DDoS
7. Các mẹo bổ sung
8. Tài liệu tham khảo bổ sung về ứng phó DDoS
9. Một số điểm bổ sung quan trọng

1. Cân nhắc chung:

• Các cuộc tấn công DDoS thường có hình thức làm tràn ngập mạng với lưu lượng không mong muốn; một số cuộc tấn công tập trung vào việc làm quá tải tài nguyên của một hệ thống cụ thể.

Ví dụ: Một website thương mại điện tử bị tấn công DDoS bằng cách gửi hàng triệu yêu cầu giả mạo mỗi giây, khiến máy chủ quá tải và không thể phục vụ khách hàng thực.

• Sẽ rất khó để phòng thủ chống lại cuộc tấn công mà không có thiết bị chuyên dụng hoặc sự trợ giúp từ nhà cung cấp dịch vụ internet (ISP) của bạn.

Ví dụ: Một doanh nghiệp nhỏ đang bị tấn công DDoS có thể cần liên hệ với ISP để yêu cầu hỗ trợ lọc lưu lượng độc hại ở cấp độ mạng.

2. Chuẩn bị cho sự cố trong tương lai:

• Liên hệ với ISP của bạn để hiểu các biện pháp giảm thiểu DDoS miễn phí và trả phí mà họ cung cấp và quy trình bạn nên tuân theo.

Ví dụ: Công ty ABC liên hệ với ISP và tìm hiểu rằng họ cung cấp dịch vụ chống DDoS cơ bản miễn phí và một gói cao cấp với phí hàng tháng. Họ cũng được cung cấp số điện thoại hotline để báo cáo các cuộc tấn công.

• Tạo danh sách trắng các địa chỉ IP nguồn và giao thức mà bạn phải cho phép nếu ưu tiên lưu lượng trong cuộc tấn công. Bao gồm các khách hàng lớn, đối tác quan trọng, v.v.

Ví dụ: Công ty XYZ tạo danh sách trắng bao gồm địa chỉ IP của các máy chủ thanh toán, hệ thống ERP và các đối tác logistics chính để đảm bảo hoạt động kinh doanh cốt lõi không bị gián đoạn trong trường hợp tấn công.

3. Phân tích cuộc tấn công:

• Hiểu luồng logic của cuộc tấn công DDoS và xác định các thành phần cơ sở hạ tầng bị ảnh hưởng bởi nó.

Ví dụ: Đội ngũ an ninh mạng của công ty phát hiện ra rằng cuộc tấn công DDoS đang nhắm vào máy chủ web chính, gửi hàng nghìn yêu cầu HTTP giả mạo mỗi giây, khiến CPU và bộ nhớ của máy chủ bị quá tải.

• Xác định những khía cạnh nào của lưu lượng DDoS khiến nó khác biệt so với lưu lượng bình thường (ví dụ: các địa chỉ IP nguồn cụ thể, cổng đích, URL, cờ TCP, v.v.).

Ví dụ: Khi phân tích logs, đội ngũ an ninh nhận thấy rằng tất cả các yêu cầu độc hại đều đến từ một dải địa chỉ IP cụ thể và có một mẫu User-Agent bất thường.

4. Giảm thiểu tác động của cuộc tấn công:

• Cố gắng điều chỉnh hoặc chặn lưu lượng DDoS càng gần với “đám mây” mạng càng tốt thông qua bộ định tuyến, tường lửa, bộ cân bằng tải, thiết bị chuyên dụng, v.v.

Ví dụ: Công ty triển khai một bộ lọc lưu lượng tại edge router của họ để chặn các yêu cầu từ dải IP đã xác định là nguồn của cuộc tấn công.

• Nếu có thể, chuyển sang các trang web hoặc mạng thay thế bằng cách sử dụng DNS hoặc cơ chế khác. Blackhole lưu lượng DDoS nhắm vào các IP ban đầu.

Ví dụ: Công ty chuyển hướng lưu lượng web sang một CDN (Content Delivery Network) để phân tán tác động của cuộc tấn công và duy trì khả năng truy cập cho người dùng hợp pháp.

5. Kết thúc sự cố và điều chỉnh:

• Xem xét những bước chuẩn bị nào bạn có thể thực hiện để ứng phó với sự cố nhanh hơn hoặc hiệu quả hơn.

Ví dụ: Sau cuộc tấn công, công ty quyết định đầu tư vào một giải pháp chống DDoS chuyên dụng và tổ chức các buổi đào tạo định kỳ cho đội ngũ IT về cách ứng phó với các cuộc tấn công trong tương lai.

• Đánh giá hiệu quả của quy trình ứng phó DDoS của bạn, liên quan đến con người và truyền thông.

Ví dụ: Công ty tổ chức một cuộc họp sau sự cố, trong đó họ xác định rằng việc liên lạc giữa các bộ phận IT, an ninh và quản lý cấp cao cần được cải thiện để ứng phó hiệu quả hơn trong tương lai.

6. Các bước ứng phó chính với sự cố DDoS:

a) Chuẩn bị: Thiết lập các liên hệ, xác định quy trình và tập hợp các công cụ để tiết kiệm thời gian trong cuộc tấn công.

Ví dụ: Công ty ABC tạo một danh sách liên hệ khẩn cấp bao gồm các thành viên chủ chốt trong đội ngũ IT, an ninh, và quản lý. Họ cũng chuẩn bị sẵn một bộ công cụ phân tích mạng và script tự động để nhanh chóng triển khai các biện pháp phòng thủ.

b) Phân tích: Phát hiện sự cố, xác định phạm vi của nó và залучить các bên liên quan thích hợp.

Ví dụ: Hệ thống giám sát của công ty XYZ phát hiện một sự gia tăng đột ngột về lưu lượng truy cập. Đội an ninh nhanh chóng xác định đây là một cuộc tấn công DDoS nhắm vào máy chủ web chính và thông báo cho quản lý cấp cao cũng như đội ngũ vận hành.

c) Giảm thiểu: Giảm thiểu tác động của cuộc tấn công đối với môi trường mục tiêu.

Ví dụ: Công ty LMN kích hoạt dịch vụ chống DDoS của nhà cung cấp CDN, đồng thời tăng cường tài nguyên cho các máy chủ bị ảnh hưởng. Họ cũng chuyển hướng một phần lưu lượng sang cơ sở hạ tầng dự phòng.

d) Kết thúc: Ghi lại chi tiết của sự cố, thảo luận về các bài học kinh nghiệm và điều chỉnh kế hoạch và biện pháp phòng thủ.

Ví dụ: Sau khi cuộc tấn công kết thúc, đội ngũ an ninh của công ty PQR tổ chức một cuộc họp đánh giá, trong đó họ ghi lại timeline của sự cố, phân tích hiệu quả của các biện pháp ứng phó, và đề xuất các cải tiến cho kế hoạch ứng phó DDoS trong tương lai.

7. Các mẹo bổ sung:

a) Hiểu rõ khả năng của thiết bị của bạn trong việc giảm thiểu tấn công DDoS. Nhiều người đánh giá thấp khả năng của thiết bị của họ, hoặc đánh giá quá cao hiệu suất của chúng.

Ví dụ: Công ty DEF phát hiện ra rằng tường lửa hiện tại của họ có tính năng chống DDoS tích hợp mà họ chưa từng kích hoạt. Sau khi cấu hình đúng cách, nó có thể xử lý hiệu quả các cuộc tấn công nhỏ mà trước đây họ nghĩ sẽ cần đến dịch vụ bên ngoài.

b) Xác nhận cài đặt thời gian tồn tại (TTL) DNS cho các hệ thống có thể bị tấn công. Giảm TTL, nếu cần thiết, để tạo điều kiện cho việc chuyển hướng DNS nếu các IP ban đầu bị tấn công.

Ví dụ: Công ty GHI giảm TTL của bản ghi DNS cho trang web chính của họ từ 24 giờ xuống 5 phút. Điều này cho phép họ nhanh chóng chuyển lưu lượng sang một máy chủ dự phòng khi phát hiện tấn công, mà không cần đợi bản ghi DNS cũ hết hạn.

c) Nếu điều chỉnh biện pháp phòng thủ, hãy thực hiện từng thay đổi một, để bạn biết nguyên nhân của những thay đổi mà bạn có thể quan sát được.

Ví dụ: Khi ứng phó với một cuộc tấn công DDoS, đội an ninh của công ty JKL lần lượt triển khai từng quy tắc lọc trên tường lửa, đánh giá tác động sau mỗi thay đổi. Điều này giúp họ xác định chính xác những biện pháp nào hiệu quả nhất trong việc giảm thiểu cuộc tấn công.

d) Cấu hình bộ lọc egress để chặn lưu lượng mà hệ thống của bạn có thể gửi để đáp ứng lưu lượng DDoS, để tránh thêm các gói tin không cần thiết vào mạng.

Ví dụ: Công ty MNO cấu hình tường lửa của họ để chặn các phản hồi SYN-ACK từ máy chủ web đối với các yêu cầu TCP SYN giả mạo, giúp giảm tải cho mạng và ngăn chặn việc khuếch đại cuộc tấn công.

Những ví dụ và giải thích này minh họa cách các công ty có thể áp dụng các khuyến nghị trong tài liệu để chuẩn bị, phân tích và ứng phó hiệu quả với các cuộc tấn công DDoS.

8. Tài liệu tham khảo bổ sung về ứng phó DDoS:

a) Các kỹ thuật phát hiện tấn công từ chối dịch vụ

Ví dụ: Công ty RST sử dụng thông tin từ bài viết này để triển khai một hệ thống phát hiện bất thường dựa trên machine learning, có khả năng nhận diện các mẫu lưu lượng bất thường có thể chỉ ra cuộc tấn công DDoS.

b) Tóm tắt về các kỹ thuật phòng chống, v.v. DoS/DDoS

Ví dụ: Dựa trên thông tin từ tài liệu này, công ty UVW quyết định triển khai một giải pháp kết hợp giữa lọc lưu lượng tại biên mạng và sử dụng dịch vụ chống DDoS dựa trên đám mây để bảo vệ cơ sở hạ tầng của họ.

c) Các bảng tra cứu nhanh về giao thức và công cụ mạng

Ví dụ: Đội ngũ an ninh mạng của công ty XYZ sử dụng các bảng tra cứu này trong quá trình phân tích cuộc tấn công DDoS để nhanh chóng xác định các giao thức và cổng bị ảnh hưởng, giúp họ triển khai các biện pháp phòng thủ hiệu quả hơn.

9. Một số điểm bổ sung quan trọng:

a) Xác định các tác động kinh doanh (ví dụ: tiền bị mất) của các kịch bản tấn công DDoS có khả năng xảy ra.

Ví dụ: Công ty ABC thực hiện một cuộc phân tích tác động kinh doanh và ước tính rằng một cuộc tấn công DDoS kéo dài 1 giờ có thể gây thiệt hại 50,000 USD do mất doanh thu và chi phí khắc phục hậu quả. Thông tin này giúp họ biện minh cho việc đầu tư vào giải pháp chống DDoS mạnh mẽ hơn.

b) Nếu rủi ro của cuộc tấn công DDoS cao, hãy xem xét mua các sản phẩm hoặc dịch vụ giảm thiểu DDoS chuyên dụng.

Ví dụ: Sau khi đánh giá rủi ro, ngân hàng DEF quyết định đầu tư vào một dịch vụ chống DDoS dựa trên đám mây, có khả năng xử lý các cuộc tấn công lớn mà cơ sở hạ tầng hiện tại của họ không thể đối phó.

c) Hợp tác với đội ngũ lập kế hoạch BCP/DR của bạn để hiểu quan điểm của họ về các sự cố DDoS.

Ví dụ: Đội an ninh mạng của công ty GHI làm việc chặt chẽ với đội BCP/DR để tích hợp kế hoạch ứng phó DDoS vào kế hoạch khôi phục thảm họa tổng thể của công ty, đảm bảo rằng các cuộc tấn công DDoS được xem xét như một phần của kịch bản thảm họa tiềm ẩn.

d) Cứng hóa cấu hình của các thành phần mạng, hệ điều hành và ứng dụng có thể bị nhắm mục tiêu bởi DDoS.

Ví dụ: Công ty JKL thực hiện một quy trình cứng hóa hệ thống toàn diện, bao gồm việc tắt các dịch vụ không cần thiết, cập nhật tất cả các phần mềm lên phiên bản mới nhất, và tinh chỉnh cấu hình TCP/IP trên các máy chủ để chống lại các cuộc tấn công SYN flood.

e) Thiết lập baseline hiệu suất hiện tại của cơ sở hạ tầng của bạn, để bạn có thể xác định cuộc tấn công nhanh hơn và chính xác hơn.

Ví dụ: Công ty MNO sử dụng các công cụ giám sát mạng để thiết lập một baseline về lưu lượng truy cập, sử dụng CPU và bộ nhớ cho tất cả các hệ thống quan trọng. Điều này cho phép họ nhanh chóng phát hiện các bất thường có thể chỉ ra một cuộc tấn công DDoS đang diễn ra.

Những ví dụ này minh họa cách các tổ chức có thể áp dụng các khuyến nghị trong tài liệu để cải thiện khả năng phòng thủ và ứng phó của họ đối với các cuộc tấn công DDoS.