Názory k článku CSIRT: DDoS útoků v poslední době přibývá, obrana je složitá

Myslím, že článek pěkně ilustruje onu zoufalou zbytečnost celého aparátu CSIRT týmu:

a) CSIRT si všimul, že DOS útoků přibývá (no pánečku kdo by to čekal, myslím, že za posledních 20 let se to dost zhoršilo)
b) Nejčastěji se pry útočí na weby, také poměrně hodně šokující informace
c) Když dojde na lámaní chleba tak CSIRT tvrdí, že obrana je složitá, že měli málo informací a že je to celé vůbec komplikované.
d) Nebyli jste náhodou nedávno na cvičení (http://www.root.cz/clanky/cvicny-utok-na-site-eu-ocima-csirt-cz/), takže například včerejšek by v podstatě měla být hračka ne? Ale odhaduju, že si oprátoři poradili bez CSIRTu - k čemu by jej tak asi potřebovali.

Takže suma sumárum. Proboha, k čemu si všichni z našich peněz musíme cálovat něco jako CSIRT, který je v případě problémů tak jak tak naprosto bezzubý. Absolutně nechápu proč ty prostředky nemůžou jít například do rozpočtu policie, což je to orgán za tímto učelem zřízený, který je navíc vybavený odpovídajícími pravomocemi pro realizaci případného zásahu. Dokáže mi prosím toto někdo vysvětlit?

Nie nema. A to s takeho dvovdu ze pokial ja mam mat cloveka u ISP a obsahara denne 24/ 7 (ked uz ideme byt efektivny) tak sa mi viacej opati vytvorit soft ktory toto monitoruje a po nieakej inej linke koordinuje. Je to taka institucia o 2 veciach. Vid posledny utok. Zaujimalo by ma v com boly napomocny comu pomohly ako zasiahly dokopy su tam info onicom

a) DOS útoků přibývá
b) Nejčastěji se pry útočí na weby
c) obrana je složitá

Nebude-li pršet, nezmoknem... :-)))

Spíš bych řekl, že každý významný hráč už má dávno připravenou infrastrukturu na automatické vypořádání se s DDoS útoky.

Ty útoky způsobili permoníci, aby mohli vyřadit internetové servery

Asi nejsme úplně v rozporu :) Každý významný hráč (ISP/obsahář) pokud nechce hazardovat s pověstí, má 24x7 dohledové služby. CSIRT/CERT vnímám tak, že těmto stávajícím týmům je potřeba dodat nástroj a postupy, které se aplikují při detekci hrozby/útoku a naopak pomůžou tyto informace přijmout od jiných týmů.

Co jde zautomatizovat, nechť se zautomatizuje. Ale lidský faktor tam bude potřeba tak jako tak.

Ale nedramatizujte, většina kdo dělá svůj byznys dobře má situaci dobře zmapovanou ale:

1. mají nachystáno adhoc řešení až se stane, v normálním provozu by to neuplatili

2. útok je 100plus procentech jejich filtrační kapacity ->

Nejefektivnějš řešení je "redirect" test tj na masivní cdnce zjistit že Ip adresa skutečně komunikuje a pak udělat fallback na ten ostrej webserver s tím že v IP filtru by bylo pomocí api povoleno třeba na pět hodin daná ip a zbytek nemilosrdně filtrovat - vyžadovalo by to "entry page" cdnku.

CSIRT smysl má, ale ne jeden sám voják v poli, ale až bude doplněn o další pracoviště u významných ISP a obsahářů. Potom sdílení informací mezi týmy může lépe napomoci hledání původce problémů a dříve něco podniknout. Vždy to ve finále bude na adminech postižených sítí, ale mít se s kým koordinovat a ověřovat hypotézy, to je správná cesta.

Jenže ono se nechce. Jsou v tom sakra velké peníze a těžko si bude někdo kazit penězovod z veřejných peněz.

Hlavně že třeba v CZ.NIC Labs přesypávají miliony a investují do kravin.

Realita je taková, že ISP i majitelé serverů jsou nepřipravení a teprve v okamžiku útoku začínají zjišťovat, co to vůbec je a jak se bránit.