To znaczy, że ochrona sieci telekomunikacyjnej wielkości Orange, to zadanie podobne do ochrony sieci lokalnego ISP?
Nie ująłbym tego dokładnie w ten sposób (zwłaszcza jeżeli chodzi o ataki typu DDoS), ale phishing jest jednak atakiem jakościowym i tutaj na pewno kluczem skutecznej ochrony jest inteligencja rozwiązań a nie sam potencjał infrastruktury.
No właśnie. To jakie jeszcze hakerskie sztuczki można odfiltrować na poziomie sieci telekomunikacyjnej?
Filtrujemy ataki malware’owe potocznie znane jako wirusy. Narzędzia ochronne, podobnie jak w phishingu, oparte są na mechanizmach serwerów domen DNS, chociaż czasem korzysta się również z mechanizmów protokołu BGP. Wychwytujemy zagrażający ruch i przekierowujemy na specjalnie przygotowane, własne serwery, gdzie możemy obserwować i badać narzędzia jakie stosują cyberprzestępcy.
Czego się można z tego dowiedzieć?
Jeżeli tzw. centrum dowodzenia w sieci malware’owej uzna naszą podstawioną maszynę za zakażoną (za bota), to zaczyna się z nią komunikować. A my widzimy jakiego rodzaju komendy wysyła, jakiego rodzaju czynności próbuje dokonać, jakiego rodzaju dane próbuje wykraść… W przypadku niektórych zagrożeń udaje się „wkręcać” do takiej sieci poprzez przejęcie kontroli nad jej zainfekowaną końcówką. Kiedy taka sieć inicjuje atak (na przykład na jakiś bank), to można uzyskać informacje o tym kilka minut czy kilka sekund wcześniej i rozpocząć przeciwdziałania.
Przestępcy nie są w stanie zorientować się, że sami są śledzeni?
To jest raczej trudne. Badacze i organy ścigania próbują niekiedy pójść jeszcze dalej, przejmując kontrolę i zasoby na samym centrum dowodzenia. Z cyberprzestępcami prowadzi się swoistą grę. W sieci Orange dysponujemy strukturą tzw. honey potów, czyli urządzeń z celową podatnością sieciową. Z pełną premedytacją pozwalamy się na nie włamać i analizujemy, co robią cyberprzestępcy. Izolujemy adres IP, z którego się łączą, dopóki podejrzane działania trwają. Dzięki temu ograniczamy sporo ataków, które potencjalnie mogłyby się zdarzyć.
Dużo takich adresów obserwujecie?
Zazwyczaj na kwarantannie jest kilkanaście tysięcy adresów IP.
Przez naszą rozmowę przewinął się problem ataków DDoS…
Notujemy ich kilkaset dziennie. Wbrew pozorom ataki DDoS także mają charakter jakościowy. Można je skonstruować tak, że nawet niewielki wolumenowo, ale dobrze wymierzony atak obezwładni ofiary. Walka z DDoS jest o tyle łatwiejsza, że faktycznie zależy od infrastrukturalnego potencjału operatora: im jest większy, tym łatwiej mu się bronić. W dużej sieci telekomunikacyjnej jest kilka linii obrony, są też duże węzły dostawców treści (CDN), które także pomagają neutralizować ataki DDoS.
Macie także dużo klientów, dużo końcowych użytkowników internetu, dużo treści… To nie eksponuje Orange na większą liczbę groźnych ataków niż mniejszych operatorów?
Liczy się pojedynczy atak DDoS, bo one raczej się nie kumulują. A tutaj kluczowa jest „wielowarstwowość” obrony.
Phishing, malware, DDoS… Jakiego typu ataki można jeszcze filtrować na poziomie sieci telekomunikacyjnej?
Nie zapominajmy o smishingu. Na SMS ludzie reagują szybciej i chętniej niż na wiadomości e-mail. Fałszywych SMS-ów blokujemy po około 50 tys. tygodniowo. Zgodnie z przepisami ustawy o zwalczaniu nadużyć w komunikacji elektronicznej korzystamy z wzorców, które dostarcza CERT Polska, jak również z własnych źródeł.
Jakie są proporcje obu tych źródeł?
Oba są dla nas istotne. W Orange mamy bezpośredni wgląd w ruch sieciowy, więc możemy sami wychwytywać wzorce i szybko na nie reagować.