EDoS: a próxima grande ameaça à sua nuvem

O que é EDoS?

A Negação Econômica de Sustentabilidade (EDoS) é uma ameaça à segurança cibernética que visa ambientes de nuvem. Os ataques EDoS exploram a elasticidade das nuvens, principalmente os recursos de dimensionamento automático, para inflar o faturamento de um usuário da nuvem até que a conta atinja a falência ou a retirada do serviço em larga escala.

Os ataques EDoS exploram as economias de escala da nuvem para interromper ou descontinuar a disponibilidade de serviços e infraestrutura em nuvem que dão suporte a aplicativos, sistemas e redes corporativas. Normalmente envolve bots controlados remotamente que enviam secretamente solicitações falsas. Se essas solicitações ignorarem os controles de segurança, o serviço de nuvem fornecerá recursos adicionais e cobrará do usuário da nuvem.

As estratégias tradicionais de resposta a incidentes estão mal equipadas com ameaças EDoS por vários motivos:

tráfego EDoS usa falsificação de IP e é difícil de detectar usando técnicas de análise de rede existentes, a menos que os invasores estejam usando IPs ruins conhecidos.
O aplicativo e os usuários finais não são afetados inicialmente por ataques EDoS. Os recursos de nuvem aumentam para atender ao tráfego adicional, pelo menos até que o orçamento se esgote, de modo que as métricas de desempenho do aplicativo não possam ser usadas para detectar o ataque.
As técnicas de proteção do sistema não são eficazes contra EDoS porque o tráfego não explora nenhum tipo de vulnerabilidade no sentido tradicional.
Mesmo quando um ataque EDoS é detectado, os respondentes a incidentes não podem reagir usando as ferramentas existentes. Eles devem estabelecer uma interface com os sistemas de gerenciamento de custos em nuvem, para poder curto-circuitar os mecanismos de dimensionamento automático.

DoS vs DDos vs EDoS

Vamos explorar a diferença entre os ataques “..oS” mais familiares e o novo “menino” no bloco – EDoS.

DoS

Em um ataque de negação de serviço (DoS), os invasores enviam solicitações falsas que podem impedir que utilizadores legítimos acessem o sistema, usem recursos, como poder de processamento do servidor, memória e largura de banda da rede e, em alguns casos, travem o sistema de destino.

De um modo geral, existem duas variantes de ataque DoS. Um ataque DoS de inundação explora o fato de que os buffers do servidor não podem processar pacotes quando há muitas solicitações de entrada, causando degradação do serviço ou rejeição de tráfego. Um ataque DoS “crash” constrói pacotes ou solicitações corrompidos que exploram vulnerabilidades no sistema de destino, fazendo com que ele falhe ou falhe.

DDoS

Um ataque Distributed Denial of Service (DDoS) é uma versão evoluída de um ataque DoS. Esse tipo de ataque costuma ser usado pelos invasores como cortina de fumaça, ocupando as equipes de segurança, enquanto em segundo plano os invasores penetram na rede de uma organização.

Os ataques DDoS são possibilitados por botnets massivos, criados por invasores que instalam malware em milhares ou até milhões de sistemas de computação. Esses sistemas podem ser tão pequenos quanto dispositivos de utilizador final, dispositivos de Internet das Coisas (IoT) ou entidades maiores, como servidores ou qualquer outro sistema conectado à Internet. Todos esses dispositivos são “agrupados” em uma rede de robôs, sob controle central do invasor que opera o servidor de Comando e Controle (C&C).

Os ataques DDoS visam uma característica específica da arquitetura do protocolo da Internet. Uma técnica comum usada pelos invasores é a falsificação de IP, na qual os invasores enviam pacotes usando um endereço IP de origem fraudulento, fazendo com que o tráfego pareça legítimo, dificultando a detecção, rastreamento e bloqueio.

EDoS

Os ataques EDoS exploram a rápida escalabilidade e resiliência disponíveis em ambientes de nuvem. Os invasores pretendem tornar a conta na nuvem da vítima financeiramente insustentável.

Os invasores visam principalmente soluções de infraestrutura como serviço (IaaS). Os ataques EDoS usam um padrão comum de métodos de ataque DDoS: explorar vulnerabilidades do sistema em nuvem, como versões antigas de software, protocolos inseguros e endereços IP expostos publicamente para instalar software malicioso. Eles assumem dispositivos ou recursos de nuvem, que seguem as instruções do invasor e enviam pacotes de tráfego falsos para um sistema ou serviço de destino. Esse tráfego adicional faz com que o serviço de nuvem aumente até se tornar economicamente insustentável.

Por que os invasores usam esses métodos para prejudicar um negócio

Os ataques EDoS, como os primeiros ataques DDoS, visam interromper um negócio e causar perdas financeiras. Eles não têm benefício direto para os atacantes. Para cibercriminosos individuais, esses ataques podem ser uma “demonstração de força” ou a vingança pessoal do invasor contra uma organização. Para os hacktivistas, eles podem ser usados para sabotar organizações que se opõem à causa do hacktivista. Para grupos criminosos maiores patrocinados por estados-nação hostis, eles podem ser uma maneira de interromper a atividade econômica em uma população-alvo.

Hoje, o DDoS é um negócio de bilhões de dólares, com plataformas DoS sendo disponibilizadas como um serviço e invasores gerando receita exigindo resgate e outros meios. Prevejo que os ataques EDoS se tornarão mais prevalentes, portanto, é provável que um modelo de negócios e um ecossistema criminoso também evoluam em torno deles.

Proteção EDoS

O conceito de ataques EDoS foi descrito em pesquisas há mais de uma década. O principal desafio na proteção EDoS é detectar o ataque, pois para uma ferramenta de segurança tradicional, pareceria o mesmo que um evento de expansão regular em um sistema em nuvem. Assim que o ataque é detectado, os operadores podem desabilitar os mecanismos de dimensionamento automático e, assim, encerrar o ataque.

Várias estruturas teóricas têm sido sugeridas para detectar ataques EDoS. No entanto, essas abordagens sofreram desvantagens e, como resultado, não foram implementadas em ferramentas de segurança amplamente utilizadas:

Máquinas de vetor de suporte (SVM) e mapas auto-organizados (SOM) – esses são modelos de Machine Learning (ML) que são bem-sucedidos na detecção de um ataque EDoS. No entanto, eles são comparativamente lentos e, portanto, incapazes de processar dados em tempo real em um ataque em grande escala.
Rede neural totalmente conectada (FCNN) – esse método de aprendizado profundo tem melhor desempenho do que os algoritmos de ML, pois pode extrair recursos com mais eficiência usando várias camadas neurais. No entanto, sua precisão é relativamente baixa porque o EDoS é um processo contínuo que requer análise de séries temporais, enquanto um FCNN não possui capacidade de “memória” (ele analisa cada evento ou pacote de dados separadamente).
Rede neural recorrente (RNN) e memória longa e curta (LSTM) – RNN é mais bem-sucedida na detecção de EDoS porque pode analisar uma sequência de eventos. É mais preciso quando equipado com células LSTM que podem capturar uma memória de eventos recentes e considerá-la ao analisar um evento atual. No entanto, os modelos RNN são novamente ineficientes quando aplicados a dados em tempo real.

Uma nova abordagem foi sugerida em pesquisas recentes de Vinh Quoc Ta e Minho Park.

Eles sugerem uma estrutura que torna os estágios de treinamento e previsão mais rápidos que o LSTM, usando uma estratégia de processamento paralelo. A abordagem funciona da seguinte forma:

Aproveite as células de atenção LSTM para prever uma unidade em uma sequência de tráfego de ataque, determinando o quão fortemente ela está correlacionada com outras unidades.
Calcular uma pontuação de atenção aproveitando o amplamente utilizado modelo Transformer Encoder-Decoder. No entanto, o modelo de detecção EDoS usa apenas um módulo codificador para computar as entradas em paralelo. Isso melhora drasticamente o desempenho, mantendo a precisão dos modelos LSTM anteriores.
Considere pontuações relativas de um pacote de rede em comparação com outros em um fluxo, o que ajuda o modelo a “lembrar” características históricas de unidades anteriores na sequência.
Use uma pontuação para vários recursos para melhorar a eficiência computacional. Em outras palavras, quando o modelo analisa um pacote, ele usa a pontuação em todos os pacotes relacionados para reduzir o tempo de processamento.
Capaz de classificar saídas de ataque de dia zero usando uma estratégia de aprendizado não supervisionado.
Atualizações em tempo real do modelo permitem que ele seja treinado novamente em dados ao vivo e ajuste os parâmetros para se adaptar às mudanças nos ataques.

Os pesquisadores testaram o modelo em ataques de inundação realistas usados para realizar ações de EDoS e descobriram que ele é capaz de detectar ataques e processar dados com desempenho suficiente.

Conclusão

A elasticidade e a flexibilidade da nuvem reduzem o potencial de ataques DDoS tradicionais. No entanto, os invasores podem bombardear os sistemas com tráfego adicional, fazendo com que os sistemas aumentem indefinidamente até que a vítima incorra em custos econômicos insustentáveis.

Embora os ataques EDoS sejam difíceis de detectar usando ferramentas de segurança tradicionais, existem métodos alternativos disponíveis para permitir a mitigação antecipada.

O importante a entender é que, embora a ameaça seja real, as ferramentas para se defender contra ela são lentas. Este artigo deve servir para ajudá-lo a entender o novo cenário de ameaças, adotar novas abordagens de segurança à medida que são introduzidas e até mesmo desenvolver suas próprias abordagens práticas para interromper ataques EDoS.

Comentários

You Might Also Like

Ataque do navegador no navegador torna o phishing quase invisível

Microsoft descobre falhas na biblioteca ncurses que afetam sistemas Linux e macOS

Nova onda de ataques de ransomware explorando bug do VMware para atingir servidores ESXi