Normalmente, quando você investe dinheiro para se proteger contra alguma possível ameaça, deve levar em conta dois fatores:
- a probabilidade (
p ) do problema realmente está acontecendo
- quanto dinheiro (
m ) esse problema custaria se acontecesse
Multiplique esses dois números ( p*m ) e você terá uma idéia aproximada de quanto dinheiro é razoável investir para se proteger. Claro que as coisas são mais complicadas, mas isso dá uma estimativa aproximada.
A dificuldade é obter uma estimativa razoável desses números. Um grande número de fatores deve ser levado em conta para essa avaliação, e a maioria dos fatores muda de empresa para empresa. Por exemplo, uma empresa muito visível terá uma probabilidade maior de ser segmentada do que outras; uma empresa que trabalhe em um ambiente competitivo sainte terá menos probabilidade de ser visada do que uma empresa que esteja competindo contra concorrentes desagradáveis; etc. Resumindo, sua milhagem pode variar.
Mas existem alguns fatores que são praticamente os mesmos para todos:
- Qual é a facilidade / complexidade de lançar um ataque DDoS de 1 Gbps? Um ataque de 10 Gbps? Um ataque de 100 Gbps?
- quão barato / caro é fazer isso?
- qual é o nível de segurança / risco?
- quais empresas são segmentadas principalmente?
- você costuma segmentar uma vez ou muitas vezes
- por quanto tempo são ataques típicos?
- qual é o tamanho dos ataques típicos?
- ...
Alguém poderia argumentar que apenas hackers deveriam saber a resposta para essas perguntas. Mas eu acredito que nós (administradores) devemos todos saber as respostas: de que outra forma você pode avaliar a quantidade de esforço e dinheiro que você deve investir em proteção contra DDoS?
Obrigado pela sua ajuda.
Nota
Meu post original incluiu esta história, caso você esteja interessado ...
Nossa empresa foi vítima de um ataque DDoS massivo (mais de 50 Gbps de tráfego UDP, em período integral durante duas semanas). Temos certeza de que é um dos nossos concorrentes, e nós realmente sabemos qual deles, porque nós éramos os únicos dois competidores restantes em um grande pedido de proposta, e o ataque DDoS magicamente parou no dia em que vencemos (double hurrah, pelo maneira)!
Essas pessoas provaram no passado que são muito desonestas, mas sabemos que elas não são técnicas, então acreditamos que elas simplesmente pagaram por algum serviço de DDoS de botnet. Eu gostaria de saber quanto esses serviços geralmente custam, para um ataque em grande escala. Por favor, não dê nenhum link para esses serviços, eu realmente odeio dar a essas pessoas qualquer publicidade.
Eu entendo que um hacker poderia muito bem fazer isso de graça, mas qual é o preço típico para tal ataque se nossos competidores pagassem por algum tipo de serviço de botnet? Está realmente começando a me assustar (se estamos falando de milhares de dólares aqui, então eu realmente vou pirar: quem sabe, eles podem simplesmente contratar um homem de sucesso um dia?).
É claro que apresentamos uma queixa, mas a polícia diz que não pode fazer muito a respeito (os ataques DDoS são virtualmente impossíveis de serem rastreados, dizem) e nossas suspeitas não são suficientes para justificá-las invadindo as instalações dos concorrentes para procurar provas. .
Para sua informação, nós agora mudamos nossa infraestrutura para poder sustentar tais ataques: agora usamos um grande serviço CDN para que nossos servidores não sejam diretamente afetados por ataques DDoS. Solicitações de páginas dinâmicas do são intermediadas por proxy para nossos servidores, mas durante ataques de baixo nível (inundação UDP ou inundações Syn, por exemplo) só recebemos tráfego legítimo, então estamos bem. Se eles decidirem lançar ataques de nível superior (inundação HTTP ou ataques de slowloris, por exemplo), a maior parte da carga deve ser tratada pelo CDN ... pelo menos eu espero que sim!