Neznosna lahkost (ne)ukrepanja

Neznosna lahkost (ne)ukrepanja
15. 5. 2020 Adam Sabljakovic

Janez Gruden Tehnični oddelek / Infrastrukturne rešitve - Cisco CCIE

Približujem se življenjskemu obdobju, za katerega je značilnejše nočno vstajane zavoljo prostate,  kot zanesenjaško bedenje spričo navdušenja nad delovanjem informacijske tehnologije. Začetek zgodbe se prične kakopak v petek popoldne. Sprožijo se vsi mogoči alarmi, diagnoza za kratkotrajni izpad storitev v delu sistemov je skorajda hipna – varnosti problem povzročen zaradi zunanjega onemogočanja storitev (»Distributed Denial of Service«-DDoS). Lepo, ravno sedaj, ko je ena virusna zoprnija v širšem pomenu že v hiši, še klon v obliki algoritmov tisočerih napravic,  ki po želji indicirajo izbruh. V tem primeru neizpodbitno proizvod nepridipravov v IT laboratorijih. Ko bi bili vsaj toliko viteški in bi delovali v dnevnem času, tako pa od človečnosti,  ki naj bi jo prineslo obdobje zazrtosti vase,  ne duha ne sluha. (IT) kriminalna dejavnost je dokazano imuna na pravila poštene igre.

Preden me zgodba ponese,  opomnik o nekaj nepisanih pravilih v svetu tehnologij: v brezizhodni situaciji rešitev poiščite v novem nivoju abstrakcije (dokler vsega skupaj ne zapletemo do nerazpoznavnosti);  opuščanje nujnega in preskakovanje tehnoloških rešitev  ustvarja tehnični dolg (lekcija, ki jo s težavo ponotranjamo); ne (predvidevajte oz.) izpustite nobene priložnosti za test (vključno z dokončnim v redundantnih okoljih – na izbranem mestu kabel ven).

Nazaj k razvoju dogodkov. Prva reakcija je sumničenje v stilu umorov na podeželju o skrivnostnostih morebitnih razlogov. Je namen izsiljevanje ali onemogočanje s strani konkurence,  izpad storitev ali upočasnjevanje in s tem kompromitiranje uporabniške izkušnje. Modra pretveza za vdor. Dolgih ksihtov sum pade na spremljanje črnih list zlonamernih strežnikov kot virov okužb oz. kanalov preko katerih odtekajo podatki. Za povrh nekaj zarotniških namigov na forume temnih strani interneta (“Darknet”) v zvezi  z napovedanimi indici pod pokroviteljstvom kriminalnih  organizacij (»Threat Detection«). Sledi (video) stikanje glav v nameri iz analitičnih podatkov SIEM sistemov razbrati,  s čim smo soočeni: gre za volumetričen napad – kot bi se tisočero strank hkrati gnetlo skozi ozka vrata; množično izčrpavanje transportnih protokolov – bi, ne bi, morda pa vendarle;  ali šarjenje po aplikacijah in strežniških platformah. Na videz legitimno, v resnici pa sinhronizirano ciljano na razpad sistema.

Od začudenja, do odziva. Pod strelnim ognjem neželenega prometa ostanemo praviloma  brez možnosti vzdrževalnega okna za prerazporeditev virov znotraj arhitekturnih izboljšav za branjenje infrastrukture. Aktivacija  požarnega načrta se odvije brez stopniščnega trka s prikupno sodelavko in načrtovano spontanim viteškim nudenjem pomoči. V podjetjih smo gospodje hitro ob dober glas in  že sicer oddaljeni poldrugi meter vstran, preden je bilo tako zapovedano s strani zdravstvenih služb. Povsem nasprotno, zadeva je izvedbeno suhoparna.  Prijava na SI-CERT ostane brez odgovora, oprijemljivejši rezultat prinese aktiviranje ekipe varnostnega centra (»SOC«) za odziv na DDoS (»Incident Response«). Nadaljuje se s komunikacijo s ponudniki storitev internetnih povezav (»Service Provider«) glede tehničnih nastavitev mehanizmov za čiščenje prometa.

Kako deluje obrambna linija? DDoS zaščite pri ponudnikih storitev temeljijo na spremljanju  statističnega vzorca za razpoznavo prometa. V arhitekturni povezavi z usmerjevalniki in nadzornimi sistemi uporabljajo elemente umetne inteligence za izmenjavo podpisov za razkrivanje tipografskih značilnosti napadov. V primeru zaznanega napada (podpisa, odstopanja vzorca ali skokovitega porasta vzorčnih mejnikov), se promet preusmeri prek sistema za čiščenje, kjer se analizira, odkriva in zavrača zlonamerni promet. Prvi cilj je omejiti škodo z nižanjem krivulje inicialnega izbruha (besednjak sovpada z ukrepi zoper kužno sapo). Zaključi se s preverjanjem avtomatiziranih sistemov razpoznave legitimnega prometa, čiščenja in obveščanja –  t.j. ali alarmi delujejo kot je treba,  brez širjenja lažnih novic zavoljo napačno razumljene interpretacije (»False Positives«). Vmes nekaj vseprisotne kulture »pri nas vse deluje«, kar je dober obet; v kolikor nekje nekdo ni nič kriv,  je nekaj narobe.

Sledi nekaj značilno človeškega,  obdobje dvoma. Tehnično se odprejo vprašanja zagotavljanja dodatne pasovne širine na primarnih-rezervnih povezavah; preverjanja mnogokratnika običajnih obremenitev, ki jih preživijo usmerjevalniki, požarne pregrade, delilniki bremen oz. podobna IT šara. Nadalje utrjevanje varnostne politike na robu usmerjevalnikov, ki vključuje omejevanje prometa z BGP izvedbo zavračanja očitno neželenega prometa na ponudnikovi strani (»Black Hole Routing«). Ponovno preverjanje spremljanja vseh segmentov (omrežje, varnost, strežniki, virtualizacija, aplikacije) z uravnavanjem alarmov za prilagajanje avtomatizirane politike DDoS zaščite s preklopi med ponudniki. Slednje naj po možnosti ne razsuje tistega,  kar deluje. Za ohranitev pozitivnega duha pade nekaj očitkov o nerealiziranih predlogih, ter izpraševanj o tem kdo je kriv za obremenitve nevarno blizu končnih zmogljivosti.

V boju zoper kriminal, ne gre brez dramatičnega preobrata. Potrebno se je zavarovati pred napadi z izbruhi nad pogodbeno dovoljeno mero s ponudniki   (30G-40Gbit/sec). Zato v igro vstopi  primaren ali rezervni nivo zaščite z izbranim specializiranim L3 DDoS 24/7 storitveni centrom za čiščenje prometa z razvejenim sistemom vstopnih točk preko TIER1 omrežja, ki so zemljepisno bližje izvornim žariščem nepridipravov.  Razlog tiči v obsegu –  100Gbit/sec ure trajajočega neželenega prometa, ki je po svoji naravi večinoma legitimen,  je poplavni val, ki je za lokalne ponudnike  internetnih povezav povod za branjenje lastnega omrežja z odklopom. Le-to vnese dodatno noto kompleksnosti, do kam je glede na tveganje še smotrno vlagati v redundanco ipd… Investicija namreč ni enoznačno opravičljiva – nasprotnika vidiš, potem zopet ne. V tem stilu jahamo vranca zloveščega strahu, kako bodo  v nasprotnem sistemi onemogočeni,  ter s tem nenačrtno poganjamo investicije, brez vsakršnega namena, da bi prav mi reševali gospodarstvo pred sivimi obeti recesije.

Za zaključek pade predlog za investicije (požarni zidovi, lokalni senzorji v povezavi z DDoS sistemi, delilniki bremena) ob analizi odstotka odbitih vs. zaznanih napadov. Tako opogumljeni se z nekaj kolateralne škode razglasimo za zmagovalce. Bitka dobljena, vojna pač ne – napadalci so tehnološki barbari, le-teh pa ne gre izzivati.

Zakaj je 24/7 obramba pred DDoS grožnjami tako zapletena, saj vsebinsko ni nobena znanost?

Ker nisi odvisen samo od sebe,  ampak zahteva usklajeno delovanje treh obrambnih linij (ponudnik storitev, upravljalec infrastrukture in varnosti, lastnik napadenega sistema).  Zato, ker so napadi posel  – uspešno branjenje pa storitev (ne zadostuje nastavitev funkcije v sistemu – težko se vzame čas za vzdrževalno okno). Ker je pogoj deljenje informacij. Za inženirske ekipe nebodigatreba – nočno preverjanje obremenitev sistema nikomur ni ljubo.

Predvsem pa,  v  aktualnem  besednjaku (maj 2020),  posameznih delnih rešitev ne testiramo dovolj. Brez dvoma v zadnjih letih vestneje opravimo ISO certifikacije, kot tudi s precej manj ignorance poslušamo priporočila varnostnih inženirjev sledeč ISACA/SANS navodilom. Kljub temu vseobsegajoči postopki in podvojene arhitekture ne morejo opraviti svojega dela, v kolikor nameni niso skladni. V bolj življenjskem jeziku: ko začne pokati,  se neuigrana vojska v obrambnih jarkih razbeži. Navidez nekonfliktno prikimavanje parcialnem interesom z opuščanjem nujnega,  ustvarja tihi konflikt interesov, ki izbruhne ob dovolj kritičnem zunanjem dogodku. Ni dvoma,  DDoS napad tehnično ni povsem ubranljiv in ga ni mogoče zakonito poustvariti. Vendar ostajamo avtonomni pri testiranju posameznih komponent, redundantnih scenarijih, soodvisnosti odzivov med nivoji obrambe, posodabljanju programskih različic.  Zanašanje na predvidevanje velja za trhlo vejo. Ko si napaden,  ni časa za preverjanje, katero od vnaprej pripravljenih orožij bo preko zidu z vrelim oljem polilo plazeče se napadalce. Vsaka napačno prebrana sled odpre številne zgrešene interpretacije.

V IT industriji  pamfletov zapisanih v eni vrstici (npr. podatki so nova nafta) še sami dobro ne razumemo. V opisani štoriji do podatkov začasno niti ne moremo, kot črno zlato trenutno težko najde poti do trga. Vse se lahko nemudoma spremeni, medtem ko ključne zakonitosti iz uvoda ostajajo. Testirajte, testirajte… (posodabljajte različice programske opreme) je tudi v IT okolju priročen recept zoper tehnični dolg. Vseh scenarijev iz neskončne krajine groženj ne morete predvideti. Spišite dnevnik opravil – držite se načrta. Pri presoji nujnega ni opravičila za neznosno lahkost opuščanja posameznih tehnoloških izhodišč (načrtovanje, izvedba, testiranje, posodabljanje, upravljanje, …). Preventivni mehanizmi ne prinašajo popolne varnosti – so pa zagotovilo mirnejših noči. Pametni se učijo v šolah, v širšem razumevanju  sinonima za pridobivanje IT učenosti; drugi uberejo dražjo pot – znanje (pogosto) gradijo na napakah.

MAJ 2020

# OstaniDoma StopCOVID19 StayHome WeAreSRC