Temmuz 2014 tarihli Frost & Sullivan ın Global DDoS Etkilerini Azaltma Piyasası Araştırma Raporu'ndan (NDD2-72) özel alıntı NDD2-74

Transkript

1 Global Dağıtılmış Hizmet Reddi (DDoS) Etkilerini Azaltma Piyasası Analizi Kısaltılmış Versiyon DDoS Saldırılarındaki Artış Kapsamlı Çözümler Gerektiriyor Temmuz 2014 tarihli Frost & Sullivan ın Global DDoS Etkilerini Azaltma Piyasası Araştırma Raporu'ndan (NDD2-72) özel alıntı 1

2 Yönetici Özeti CEO'nun Bakış Açısı 1 DDoS saldırılarının sıklığı ve ciddiyeti artıyor ve bu saldırılar bilgi güvenliği ve iş sürekliliğine yönelik üst düzey tehditler olarak tanınmaya başlıyor 2 Ticari ve kamu kuruluşlarının yoğunlaşan çevrimiçi varlığının bir sonucu olarak piyasanın DDoS etkilerini azaltma çözümlerine yönelik talebi hiç olmadığı kadar yüksek 3 Müşterilerin DDoS etkilerini azaltma çözümlerine artan ilgisi pek çok bilgi güvenliği şirketinin çözümler geliştirmesine ve pazarlamasına yol açtı 4 Her ölçekten kuruluşlar DDoS çözümlerine ilgi duysa da DDoS etkilerini azaltma çözümleri piyasasındaki bölünmelere katkıda bulunan pek çok DDoS etkilerini azaltma seçeneği bulunuyor 2

3 Piyasaya Genel Bakış DDoS Saldırıları BT ve Ticari İşlemleri Sekteye Uğratıyor DDoS saldırıları büyük, dağıtılmış ve çalıntı bilgi işlem gücünden yararlanarak, güvenliği aşılan uç noktalardan hedef alınan ağlara ve Web uygulamalarına yoğun trafik doğuran hizmet reddi saldırılarıdır. DDoS saldırısının amacı kullanılabilir ağ bant genişliğini veya sunucu kaynaklarını tüketerek, hedef alınan kuruluşun çevrimiçi işlemlerini sekteye uğratmaktır. DDoS saldırısının başarısı yasal son kullanıcıların bilgi işlem kaynaklarına erişiminin olmamasıyla belirlenir. Çoğu DDoS saldırısı Web uygulamalarını ve Web sitelerini hedef alır. Genelde çevrimiçi tehdit aktörleri tarafından sıklıkla hedef alınsalar da finansal kuruluşlar ve devlet kurumları DDoS saldırılarına sıkça hedef olurlar. E-ticaret kuruluşları ve çevrimiçi oyun sunucuları gibi belirli bir çevrimiçi varlığı olan her kuruluş olası bir hedeftir ve çevrimiçi varlığı olan her kuruluş da potansiyel hedeftir. DDoS saldırılarının arkasındaki aktörler becerikli bilgisayar korsanları ve örgütlü bilgisayar korsanlığı gruplarıdır. Ancak ulus devletler, suç örgütleri ve bilgisayar korsanlığı yapan aktivist gruplar (hacktivistler) de seçilen hedeflere karşı DDoS saldırıları gerçekleştirdikleri veya seçilen hedeflere karşı DDoS saldırısı gerçekleştirmeleri için korsan grupları görevlendirdikleri için saldırgan profili genişlemektedir. 3

4 Piyasaya Genel Bakış (devam) Bu Yıla DDoS Saldırıları Damgasını Vurdu DDoS saldırılarının sıklığı ve büyüklüğü artmıştır. 2005'te, gözlemlenen en büyük DDoS saldırıları saniyede 9 Gigabit (Gb/sn) iken Arbor Networks Global Altyapı Güvenliği Raporu'na göre bu sayı 2010 yılında 100 Gb/sn'ye kadar yükseldi. Aralık 2013'te, saldırganlar DDoS saldırılarını 400 Gb/sn'ye yükseltmek için Ağ Zaman Protokolü (NTP) yansıtması kullanıyordu. Araştırmacılar ortalama saldırı boyutunda da bir artış DDoS olduğunu Etkilerini Azaltma saptadı*. Piyasası: Ortalama Saldırı Boyutu, Global, Trafik Akışına Göre Saldırı Boyutu *Kaynak: Verizon 2014 Veri İhlali İnceleme Raporu. 4

5 Etmenler Açıklanıyor DDoS saldırılarının sıklığı artıyor o DDoS saldırıları artık olağan olaylar, bazı araştırma laboratuvarları günde binlerce saldırı olduğunu bildiriyor. o Sıklıktaki bu artış DDoS'un bir saldırı aracı olarak daha yaygın hale gelmesinden kaynaklanıyor ve pek çok güvenlik araştırma kuruluşu DDoS'un bilgisayar korsanları için tercih edilen bir saldırı olduğunu doğruluyor. o Esasen tehdit aktörleri DDoS saldırılarını kullanarak her ölçekten şirketi felce ve sekteye uğratmayı arzu ediyor. o Dahası, gelişmiş zararlı yazılımlar yazmakla ve uzun zaman alan ağ güvenliğini aşma kampanyaları yürütmekle karşılaştırıldığında, DDoS saldırıları tehdit aktörlerinin çok daha az çaba sarf etmesini gerektiriyor. o Saldırıların sıklığının artması DDoS saldırılarının bir tehdit olduğu yönündeki farkındalığı artırdı. Büyük kuruluşlar bu saldırıların kurbanı olduğunda ve benzer kuruluşlar hedef alındığında bu etki daha da güçlendi. 5

6 Etmenler Açıklanıyor (devam) DDoS saldırılarının büyüklüğü artıyor o Bilgisayar korsanları daha fazla ağ katmanı trafiği üretmede kullanılan daha çok sayıda bilgisayara saldırarak DDoS saldırılarının ölçeğini her geçen gün artırıyor. o Akıllı telefon kullanımının ve küçük cihazlardan otomobillere kadar her nesne arasında bir ağ kuran "Nesnelerin Interneti" eğiliminin patlaması göz önünde bulundurulduğunda, Internet'teki saldırıda yararlanılabilecek cihazların olası sayısı artmaya devam edeceğe benziyor. o Ancak tehdit aktörleri 2012'nin sonlarından 2014'ün başlarına kadar DDoS saldırılarının boyutunda keskin artışlara neden olan yeni saldırı yöntemleri geliştirdi. o Öncelikle, bilgisayar korsanları Brobot DDoS saldırı seti gibi DDoS saldırısı betiklerini barındırmak üzere açık veya hassas Web sitelerini ve içerik yönetim sistemi (CMS) sunucularını hedefliyor. Sunucuların işleme gücü son kullanıcının cihazlarından daha fazladır ve yüksek bant genişlikli bağlantılara sahip ana makine, bulut ve özel bulut veri merkezleri üzerinde çalışırlar. o Sonuç olarak, bulaştığı sunucuların gücünden yararlanan DDoS saldırıları ölçeklerini önemli miktarda artırabilir. 2012'deki Ababil Operasyonunda Brobot bulaşan sunuculardan yararlanan DDoS saldırıları 100 Gb/sn'nin üzerine çıkmayı başardı. o 2013'te DDoS saldırıları yükseltme ve yansıtma tekniklerini kullanarak yeni bir üst sınıra ulaştı. 6

7 Etmenler Açıklanıyor (devam) DDoS saldırılarının büyüklüğü artıyor (devam) o Yükseltme saldırıları oldukça büyük yanıtlar döndüren sunuculara küçük istemler gönderilmesini içerir. Yansıtma saldırıları, saldırganın istemi gönderenin kimliğini gizleyerek, istenmeyen yanıt trafiğinin kurbanın IP adresine yönlendirilmesine neden olur. o Mart 2013'te, tehdit aktörleri Spamhaus'a saldırmak için bir Etki Alanı Adı Sistemi (DNS) yansıtma saldırısı kullandılar ve 300 Gb/sn'lik saldırı trafiği ürettiler*. DDoS Etkilerini Azaltma Piyasası: DDoS Saldırısı Tepe Boyutu, Global, DDoS Saldırısı Boyutu (Gb/sn) *Kaynak: Arbor Networks. 7

8 Etmenler Açıklanıyor (devam) DDoS saldırılarının karmaşıklığı artıyor o Geleneksel olarak, tehdit aktörleri hedef alınan ağın kullanılabilir bant genişliğini çok yüksek miktarlarda trafikle tüketmek için İletim Denetimi Protokolü (TCP) eşitleme (SYN) veya UDP akışlarını kullanmıştır. Yakın zamanda, saldırganlar frekansı ve etkisi daha büyük olan uygulama katmanı protokollerini ve hizmetlerini hedeflemiştir. o Örneğin, Ababil Operasyonu büyük Taşınabilir Belge Biçimi (PDF) dosyaları için Köprü Metni Aktarım Protokolü (HTTP) "GET" yöntemi istekleri göndererek uygulama katmanı saldırılarından yararlanmış, böylece çok az sayıda istekle sunucu kaynaklarını tüketmeyi başarmıştır. o Bilgisayar korsanları karmaşık veritabanı sorgulamaları gerektiren "ağır URL'leri" hedefleyerek önemli ölçüde gecikme de yaratabilir. Bu saldırılar uygulamada çok büyük istek akışları yerine istek başına gecikmeye yol açmak için mantığa dayandığından belirlenmeleri güçtür. o Uygulama katmanı saldırıları ("düşük ve yavaş" saldırılar olarak da bilinir) çok az trafikle bir sunucuyu hızla doldurabilir ve bu nedenle de bu saldırıların geleneksel eşik tabanlı DDoS etkilerini azaltma uygulamalarıyla belirlenmeleri güçtür. Ayrıca, uygulama katmanı trafiği genelde şifrelenmiştir, bu da inceleme sürecini zorlaştırır. 8

9 Etmenler Açıklanıyor (devam) DDoS saldırılarının karmaşıklığı artıyor (devam) o Bilgisayar korsanları belirli bant genişliği gerektiren yüksek miktarda trafik üretmek için ağ tabanlı saldırıları ve tespit etmesi güç olan uygulama katmanı saldırılarını kullanarak iki saldırı tekniğini karıştırmaya devam etmektedir. o Temelde, karışık saldırılar kurban kuruluşun "iletişim kanallarını" doldurmak için çok büyük hacimsel saldırıları, sunucu kaynaklarını tüketmek için de uygulama katmanı saldırılarını kullanır. o Karışık tehditlerin etkilerini azaltma becerisi en azından hacimsel saldırılar için bulut tabanlı sürtme ve uygulama katmanı saldırılarını tespit edip engellemek için yerinde etkileri azaltma çözümleri kullanan karma bir yaklaşım gerektirir. o Sonuç olarak, işletmeler derin bir savunma stratejisi olarak hem yerinde DDoS etkilerini azaltma ürünleri kullanmak hem de ilave koruma için DDoS etkilerini azaltma hizmetlerine üye olmak konusunda daha hevesliler. 9

10 Etmenler Açıklanıyor (devam) Her sektörde Internet erişiminin ve Web hizmetlerinin işletmeler için önemi artacaktır o DDoS saldırısıyla ilişkili olan risk, hedef alınan Web hizmetlerinin değeriyle ilgilidir. Günümüzde eğlence, finans ve e-ticaret sektörlerinde Web varlığı çok önemlidir. o İşletme modellerinin temel bir bileşeni olarak Web bağlantılarının önemi nedeniyle bu müşteri odaklı piyasalardaki işletmeler DDoS etkilerini azaltma çözümlerini ilk benimseyenlerden olmuştur. o Gelecekte, bir şirketin Web siteleri, uygulamalar ve bulut hizmetleri de dahil olmak üzere Web varlığı yalnızca stratejik önem açısından artacaktır. o Dahası, her müşteri odaklı piyasadaki ve her ölçekte işletme, müşteriler ve ortakları için erişim sağlayabilmek amacıyla yüksek düzeyde genel bağlantıya ihtiyaç duyacaktır. o Web ve Internet bağlantısının değeri daha çok kuruluş için önemli oldukça, DDoS etkilerini azaltma çözümünün çekiciliği de artacaktır. 10

11 Etmenler Açıklanıyor (devam) DDoS etkilerini azaltma ölçülebilir bir yatırım getirisi (ROI) sunar o DDoS saldırıları işlemleri sekteye uğratır ve kullanıcıların kritik Web uygulamalarına erişimini önler. Bu aksaklığın süresi üretkenlik kaybı, ziyaretçi trafiği kaybı, e-ticaret işlemlerinde kayıp ve diğer kaçırılan fırsatlarla kendini gösterir. o Bu kaçan fırsatların değeri işletmeye ve sektöre göre değişir. Ancak işletmeler bir DDoS saldırısının neden olabileceği olası zararları dolar/saat olarak ölçmeli ve ölçebiliyor olmalıdır. o Bazı finans kuruluşlarında ve Web tabanlı işletmelerde DDoS saldırıları bir saat içinde milyonlarca dolarlık zarara neden olabilir. o Üst düzey karar vericiler DDoS riskini sayısal dolar cinsinden ölçerek riski daha iyi anlayabilir ve üzerinde düşünülen etki azaltma seçeneklerini değerlendirebilir. o Bir kıyaslama yapılırsa, çoğu güvenlik teknolojisi, çok değerli olsalar da parasal değerlerinin belirlenmesi çok güç olan müşteri verilerini ve marka itibarını koruyarak ölçülmesi zor bir değer sunar. o Bu etmen bir DDoS saldırısının potansiyel zararlarına ağır basacak DDoS etkilerini azaltma çözümlerinin yüksek maliyetinden etkilenebilir. 11

12 Rekabet Ortamı Meets Market Demands Başlıca faydalı bilgiler: Değişen teknolojiler ve müşteri gereksinimleri rekabet ortamında ilerleme için önemli bir potansiyel boşluğu bırakır. Fortinet Verisign Huawei NSFOCUS Rio Rey Neustar Rekabet Ortamı Toplam DDoS Etkilerini Azaltma Piyasası: Global, 2013 Imperva (Incapsula) Corero Network Security Black Lotus Juniper Networks Akamai Radware Prolexic Arbor Networks Market Leader Market Contender Market Challenger Emerging Competitor Market Penetration 12

13 Ürün Segmenti Pazar Payı Başlıca faydalı bilgiler: Arbor Networks DDoS etkilerini azaltma ürünü piyasasında lider rekabetçidir. Gelir Yüzdesi Ürün Segmenti: Global, 2013 n = 11 *A list of companies included in Others can be found in the appendix Note: All figures are rounded. The base year is

14 Ürün Segment Rekabet Ortamı Başlıca faydalı bilgiler: DDoS etkilerini azaltma ürünlerinin piyasa segmenti her geçen gün daha rekabetçi hale gelmektedir. Rekabet Ortamı Ürün Segmenti: Global, 2013 Meets Market Demands Fortinet NSFOCUS Rio Rey Huawei Corero Network Security Juniper Networks Radware Arbor Networks Market Leader Market Contender Market Challenger Emerging Competitor Market Penetration 14

15 Son Söz Müşteri Önerileri 1 DDoS etkilerini azaltmada karma ve katmanlı bir yaklaşım önemle önerilir. İşletmelerin ISS ve CSP'lerden "açık iletişim kanalları", yerinde DDoS etkilerini azaltma uygulamaları ve isteğe bağlı bulut DDoS etkilerini azaltma hizmetlerinin dahil olduğu çok iş parçacıklı DDoS etkilerini azaltma stratejilerini bir saldırıdan önce oturtmuş olmalıdır. 2 DDoS etkilerini azaltmada her duruma uyan, tek boyutlu bir çözüm yoktur. İşletmeler gecikmeye duyarlılık, bant genişliği gereklilikleri, şirket içinde teknik uzmanlık ve ilgili maliyetler dahil olmak üzere faaliyetlerinin yapısını DDoS etkilerini azaltma çözümünü seçmeden önce değerlendirmelidir. 3 İşletmeler DDoS saldırılarını veri bütünlüğüne ve gizliliğe yönelik tehditler olarak görmelidir. DDoS etkilerini azaltma çoğu zaman işlevsel veya iş sürekliliği sorunu olarak değerlendirilir, ancak tehdit aktörleri ağa sızma ve veri hırsızlığı ile şantaj girişimleriyle birlikte DDoS saldırılarından her geçen gün daha fazla yararlanmaktadır. 15