Trong khi các cuộc tấn công từ chối dịch vụ phân tán (DDoS) diễn ra quanh năm thì mùa nghỉ lễ là thời điểm xảy ra một số cuộc tấn công nghiêm trọng nhất.
Đăng ký ngay để xem hội thảo trực tuyến theo yêu cầu có thông tin chuyên sâu về Báo cáo Phòng vệ số Microsoft năm 2024.
Phòng chống DDoS vào mùa nghỉ lễ: Hướng dẫn giúp bạn giữ an toàn
Các cuộc tấn công DDoS thực hiện bởi các thiết bị riêng lẻ (bot) hoặc mạng thiết bị (botnet) đã bị nhiễm phần mềm gây hại và được sử dụng để gây tràn các trang web hoặc dịch vụ có lưu lượng truy cập lớn. Các cuộc tấn công DDoS có thể kéo dài vài giờ hoặc thậm chí là nhiều ngày.
- Đối tượng: Cuộc tấn công DDoS gây tràn một trang web hoặc máy chủ bằng lưu lượng truy cập bị lỗi để làm gián đoạn dịch vụ hoặc khiến chúng bị ngoại tuyến.
- Lý do: Tội phạm sử dụng các cuộc tấn công DDoS để tống tiền chủ sở hữu trang web vì lý do tài chính, chính trị hoặc lợi thế cạnh tranh.
- Cách thức: Nhờ mô hình kinh doanh tội phạm mạng dưới dạng dịch vụ, một cuộc tấn công DDoS có thể được thực hiện từ dịch vụ thuê bao DDoS với chi phí chỉ từ 5 USD.1
Trình khởi động IP – còn được gọi là tác nhân gây ra DDoS và tác nhân tác động tới IP – về cơ bản là phần mềm dưới dạng dịch vụ dành cho những kẻ tấn công mạng. Các dịch vụ này cho phép bất kỳ ai khai thác botnet để khởi động các chiến dịch tấn công DDoS quy mô lớn mà không cần biết kỹ năng lập trình.
- Thứ nhất: Các tổ chức thường cắt giảm nguồn lực chuyên dùng để giám sát mạng và ứng dụng của họ – qua đó tạo cơ hội dễ dàng hơn cho các tác nhân đe dọa thực hiện tấn công.
- Thứ hai: Lưu lượng truy cập ở mức cao nhất mọi thời đại (doanh thu năm nay dự kiến sẽ đạt 1,33 nghìn tỷ USD), đặc biệt la2 đối với các trang web thương mại điện tử và nhà cung cấp dịch vụ chơi game, khiến nhân viên CNTT khó phân biệt giữa lưu lượng truy cập hợp pháp và bất hợp pháp.
- Thứ ba: Đối với những kẻ tấn công đang tìm kiếm lợi ích về tài chính, cơ hội nhận được số tiền sinh lợi hơn có thể cao hơn vào dịp nghỉ lễ vì doanh thu đạt mức cao nhất và thời gian hoạt động của dịch vụ đóng vai trò rất quan trọng.
Năm ngoái, chúng tôi đã nhấn mạnh rằng mùa nghỉ lễ đã chứng kiến sự gia tăng của các cuộc tấn công như vậy, qua đó nhấn mạnh sự cần thiết phải có hàng rào phòng thủ vững chắc.
Bất kỳ trang web hoặc máy chủ nào ngừng hoạt động trong mùa nghỉ lễ cao điểm đều có thể bị mất doanh thu và khách hàng, chi phí khôi phục cao hoặc khiến danh tiếng bị tổn hại. Tác động thậm chí còn đáng kể hơn đối với các tổ chức nhỏ hơn vì họ khó phục hồi hơn sau khi bị tấn công.
Nói chung, một cuộc tấn công DDoS sẽ có ba loại chính, với nhiều hình thức tấn công mạng khác nhau trong mỗi loại. Các véc-tơ tấn công DDoS mới xuất hiện mỗi ngày khi tội phạm mạng tận dụng các kỹ thuật tân tiến hơn như tấn công dựa trên AI. Những kẻ tấn công có thể sử dụng nhiều kiểu tấn công mạng, bao gồm kết hợp nhiều hình thức tấn công khác nhau.
Tấn công số lượng lớn: Nhắm vào băng thông. Hình thức tấn công này được thiết kế để áp đảo lớp mạng bằng lưu lượng truy cập.
Ví dụ: Cuộc tấn công khuếch đại DNS (máy chủ tên miền) sử dụng các máy chủ DNS mở để gây tràn lưu lượng phản hồi DNS của mục tiêu
Tấn công giao thức: Nhắm vào các tài nguyên. Hình thức tấn công này khai thác điểm yếu trong ngăn xếp giao thức lớp 3 và lớp 4.
Ví dụ: Cuộc tấn công SYN (gây tràn gói đồng bộ hóa) làm tiêu hao toàn bộ tài nguyên máy chủ sẵn có (từ đó khiến máy chủ không hoạt động).
Tấn công lớp tài nguyên: Nhắm vào các gói ứng dụng web. Hình thức tấn công này làm gián đoạn khả năng truyền dữ liệu giữa các máy chủ
Ví dụ: Cuộc tấn công Đặt lại nhanh HTTP/2 gửi một bộ yêu cầu HTTP sử dụng HEADERS, theo sau là RST_STREAM và lặp lại mẫu hình này để tạo ra lưu lượng truy cập lớn trên các máy chủ HTTP/2 mục tiêu.
Mặc dù bạn không thể hoàn toàn tránh bị trở thành mục tiêu tấn công DDoS, nhưng bằng cách chủ động lập kế hoạch và chuẩn bị trước, bạn có thể thiết lập được một hàng rào chắn hiệu quả hơn.
Nghĩa là, điều quan trọng bạn cần nhớ là mức độ lưu lượng truy cập cao hơn vào dịp nghỉ lễ có thể khiến những điều bất thường khó bị phát hiện hơn.
- Đánh giá rủi ro và lỗ hổng bảo mật của bạn: Bắt đầu bằng cách xác định các ứng dụng trong tổ chức của bạn được tiếp xúc với Internet công cộng. Ngoài ra, hãy nhớ ghi lại hoạt động bình thường của ứng dụng để bạn có thể phản hồi nhanh chóng nếu ứng dụng bắt đầu hoạt động không giống như dự kiến.
- Đảm bảo bạn được bảo vệ: Với số lượng cuộc tấn công DDoS đạt mức cao nhất mọi thời đại trong dịp nghỉ lễ, bạn cần có dịch vụ bảo vệ chống lại DDoS tích hợp khả năng giảm thiểu tiên tiến có thể xử lý được các cuộc tấn công ở mọi quy mô. Tìm kiếm các tính năng dịch vụ như giám sát lưu lượng truy cập; biện pháp bảo vệ phù hợp với đặc thù của ứng dụng; đo từ xa, giám sát và cảnh báo bảo vệ chống lại DDoS; cũng như khả năng tiếp cận với đội phản ứng nhanh.
- Xây dựng chiến lược ứng phó với DDoS: Có được chiến lược ứng phó là điều quan trọng giúp bạn xác định, giảm thiểu và nhanh chóng phục hồi sau các cuộc tấn công DDoS. Một phần quan trọng trong chiến lược là tập hợp được một đội ứng phó với DDoS , trong đó các vai trò và trách nhiệm đều được xác định rõ ràng. Đội ứng phó với DDoS này phải hiểu cách xác định, giảm thiểu và giám sát một cuộc tấn công cũng như có thể phối hợp với khách hàng và các bên nội bộ liên quan.
- Tìm kiếm sự trợ giúp khi bị tấn công: Nếu bạn cho rằng mình đang bị tấn công, hãy liên hệ với các chuyên gia kỹ thuật thích hợp như đội ứng phó với DDoS đã được thành lập, để được trợ giúp điều tra trong khi bị tấn công cũng như phân tích sau đó sau khi cuộc tấn công kết thúc.
- Học hỏi và thích nghi sau khi bị tấn công: Mặc dù bạn có thể muốn vượt qua theo cách nhanh nhất có thể nếu gặp phải một cuộc tấn công, nhưng điều quan trọng là bạn phải tiếp tục giám sát các tài nguyên của mình và nhìn lại mọi thứ sau khi bị tấn công. Hãy nhớ cân nhắc phân tích những điều sau đây sau khi bị tấn công:
- Có sự gián đoạn nào xảy ra với dịch vụ hoặc trải nghiệm người dùng do thiếu kiến trúc có thể mở rộng quy mô không?
- Ứng dụng hoặc dịch vụ nào bị ảnh hưởng nhiều nhất?
- Chiến lược ứng phó với DDoS hiệu quả như thế nào và có thể làm cách gì để cải thiện chiến lược này?
Theo dõi Microsoft Security