30 min. lasīt
DDoS uzbrukumi: Izpratne par izplatītā pakalpojuma atteikuma draudiem un aizsardzību
Galvenie secinājumi
- DDoS (distributed denial of service) uzbrukumi pārpludina mērķserverus ar ļaunprātīgu datplūsmu no vairākām apdraudētām ierīcēm, izraisot pakalpojumu traucējumus un liedzot likumīgajiem lietotājiem piekļūt resursiem.
- Šajos uzbrukumos izmanto botnetus – inficētu datoru, IoT ierīču un mobilo tālruņu tīklus -, lai radītu milzīgus datplūsmas apjomus, kas pārslogo mērķa infrastruktūru.
- DDoS uzbrukumus iedala trīs galvenajās kategorijās: lietojumlīmeņa uzbrukumi (vērsti pret tīmekļa lietojumprogrammām), protokolu uzbrukumi (tīkla protokolu izmantošana) un apjoma uzbrukumi (joslas platuma patēriņš).
- Mūsdienu DDoS uzbrukumi kļūst arvien sarežģītāki, izmantojot mākslīgā intelekta tehnikas un daudzvektoru pieejas, kas organizācijām var radīt zaudējumus līdz pat 40 000 ASV dolāru stundā.
- Efektīvai DDoS aizsardzībai ir nepieciešamas daudzpakāpju aizsardzības stratēģijas, tostarp datplūsmas filtrēšana, ātruma ierobežošana un mākoņpakalpojumi, kas spēj atšķirt likumīgu datplūsmu no ļaunprātīgas.
Mūsdienu savstarpēji saistītajā digitālajā vidē DDoS uzbrukumi ir kļuvuši par vienu no postošākajiem un dārgākajiem kiberdraudiem, ar ko saskaras organizācijas visā pasaulē. Šie izsmalcinātie uzbrukumi dažu minūšu laikā var izraisīt veselu tiešsaistes pakalpojumu darbības pārtraukšanu, izraisot postošus uzņēmējdarbības traucējumus, kas izplūst visos darbības aspektos. Izpratne par DDoS uzbrukumu darbību, to simptomu atpazīšana un stingru aizsardzības stratēģiju ieviešana ir kļuvusi būtiska ikvienai organizācijai, kas ir atkarīga no tiešsaistes pakalpojumiem.
Izplatīts pakalpojuma atteikuma (DDoS) uzbrukums ir koordinēts kiberuzbrukums, kura mērķis ir pārslogot mērķa serverus, tīklus vai lietojumprogrammas ar milzīgu ļaunprātīgas datplūsmas apjomu. Atšķirībā no tradicionālajiem kiberuzbrukumiem, kas vērsti uz datu zādzību vai iefiltrēšanos sistēmā, DDoS uzbrukuma galvenais mērķis ir liegt likumīgiem lietotājiem piekļuvi tiešsaistes resursiem, iztukšojot mērķa spēju apstrādāt ienākošos pieprasījumus.
Mūsdienu DDoS draudu sarežģītība un mērogs pēdējos gados ir ievērojami attīstījies. Tagad uzbrucēji izmanto mākslīgo intelektu, mašīnmācīšanos un arvien jaudīgākus botnetus, lai veiktu daudzvektoru uzbrukumus, kas var radīt terabaitus uzbrukumu datplūsmas. Šādi uzbrukumi, kas var izmaksāt organizācijām līdz pat 40 000 ASV dolāru stundā zaudēto ieņēmumu un atveseļošanas izdevumu veidā, rada kritisku apdraudējumu uzņēmējdarbības nepārtrauktībai un klientu uzticībai.
Kas ir DDoS uzbrukums?
Izplatīts pakalpojuma atteikuma (DDoS) uzbrukums ir ļaunprātīgs mēģinājums pārtraukt normālu datplūsmu uz mērķa serveri, pakalpojumu vai tīklu, pārpildot to ar interneta datplūsmu. Uzbrukumā kā datplūsmas avoti tiek izmantotas vairākas kompromitētas sistēmas, radot negaidītu datplūsmas sastrēgumu, kas bloķē likumīgo lietotāju piekļuvi galamērķim.
Galvenā atšķirība starp DoS un DDoS ir uzbrukuma avotu skaits.
Šāda sadalīta pieeja padara DDoS uzbrukumus daudz jaudīgākus un grūtāk aizsargājamus. Kad likumīgi lietotāji mēģina piekļūt uzbrukumā cietušajam serverim, viņi saskaras ar lēnu ielādi, kļūdām vai pilnīgu pakalpojuma nepieejamību. Mērķa serveris nespēj atšķirt īstos pieprasījumus no milzīgā ļaunprātīgo savienojumu apjoma.
Mūsdienu DDoS uzbrukumi var pārsniegt 1 terabaitu sekundē, kas ir līdzvērtīgi lielāko interneta pakalpojumu sniedzēju joslas platumam, un var traucēt kritiskās infrastruktūras un pakalpojumu sniegšanu visā reģionā.
Tagad uzbrucēji izmanto sarežģītus rīkus un botnetus, kas automatizē un koordinē uzbrukumus, izmantojot minimālas zināšanas. Komerciālie “booter” un “stresser” pakalpojumi ir ļāvuši gandrīz ikvienam veikt DDoS uzbrukumus tikai par 5 ASV dolāriem stundā.
Ietekme ir plašāka par tehniskiem traucējumiem. Uzņēmumi var zaudēt klientus, apturēt e-komerciju un ciest zaudējumus zīmolam, savukārt tādām svarīgām nozarēm kā veselības aprūpe, finanses un valsts pārvalde sistēmu darbības pārtraukšana rada nopietnas sekas.
Kā darbojas DDoS uzbrukumi
Lai izprastu, kā darbojas DDoS uzbrukumi, ir jāizpēta sarežģītā infrastruktūra un koordinācijas mehānismi, kas nodrošina šos izplatītos uzbrukumus. Process sākas ar botnetu – kompromitētu ierīču tīklu – izveidi un izvietošanu, kas kalpo par pamatu masveida uzbrukumu datplūsmas ģenerēšanai.
Botnetu veidošana un izmantošana
DDoS botnetu izveide sākas ar ļaunprātīgas programmatūras izplatīšanas kampaņām, kas paredzētas, lai inficētu un apdraudētu lielu skaitu ar internetu savienotu ierīču. Uzbrucēji izmanto dažādas metodes, lai veidotu savus botnetus, tostarp pikšķerēšanas e-pasta vēstules ar ļaunprātīgiem pielikumiem, programmatūras ievainojamību izmantošanu un mērķtiecīgu vēršanos pret IoT ierīcēm ar noklusējuma vai vājām parolēm. Pēc inficēšanās šīs ierīces kļūst par “botiem” vai “zombijiem”, kurus uzbrucējs var attālināti kontrolēt.
Mūsdienu DDoS botnets var ietvert miljoniem apdraudētu ierīču, kas aptver vairākus kontinentus. Šajos tīklos ietilpst ne tikai tradicionālie datori, bet arī viedtālruņi, viedās mājas ierīces, drošības kameras, maršrutētāji un rūpnieciskās vadības sistēmas. Ierīču tipu daudzveidība drošības komandām rada īpašus izaicinājumus to atklāšanā un novēršanā.
Uzbrucēji pārvalda un kontrolē savus botnetus, izmantojot šifrētus saziņas kanālus un sarežģītus koordinācijas protokolus. Gatavojoties uzbrukumam, uzbrucējs nosūta norādījumus visām apdraudētajām ierīcēm botnetā, norādot mērķa servera informāciju, uzbrukuma ilgumu un ģenerējamās datplūsmas modeļus. Šāda centralizēta kontrole ļauj uzbrucējiem koordinēt vienlaicīgus uzbrukumus no tūkstošiem ģeogrāfiski izkliedētu avotu.
Izpildes fāzē visas botnet tīkla ierīces vienlaicīgi sāk sūtīt HTTP pieprasījumus, savienojumu pieprasījumus vai cita veida tīkla datplūsmu uz mērķa serveri. Katra atsevišķa ierīce var ģenerēt salīdzinoši nelielu datplūsmas apjomu, bet , apvienojot to visā botnet tīklā, kopējā datplūsma var viegli pārslogot pat labi nodrošinātas mērķa sistēmas.
IP spoofing metodes DDoS uzbrukumiem piešķir vēl vienu sarežģītības pakāpi. Uzbrucēji bieži konfigurē savus robotus, lai tie izmantotu viltotas ip adreses, tādējādi radot iespaidu, ka uzbrukuma datplūsma nāk no likumīgām avota ip adresēm, nevis no faktiski apdraudētajām ierīcēm. Šāda izkrāpšana ļoti apgrūtina aizsargiem identificēt un bloķēt patiesos uzbrukuma datplūsmas avotus.
Šo uzbrukumu izplatītais raksturs rada vairākas problēmas, kas saistītas ar to mazināšanu. Atšķirībā no uzbrukumiem no atsevišķiem avotiem, kurus var bloķēt, izmantojot vienkāršu IP adrešu filtrēšanu, DDoS uzbrukumiem aizsargiem ir nepieciešams atšķirt likumīgu datplūsmu no reāliem lietotājiem no ļaunprātīgas datplūsmas no potenciāli miljoniem apdraudētu ierīču. Šī atšķiršana kļūst īpaši sarežģīta, ja uzbrucēji apzināti maina uzbrukumu modeļus un izmanto metodes, kas paredzētas, lai izvairītos no atklāšanas.
DDoS uzbrukumu veidi
DDoS uzbrukumus var iedalīt atsevišķās kategorijās, pamatojoties uz tīkla slāņiem, uz kuriem tie ir vērsti, un konkrētām metodēm, kas tiek izmantotas, lai pārslogotu upuru sistēmas. Izpratne par šiem dažādajiem uzbrukumu vektoriem ir būtiska, lai izstrādātu efektīvas aizsardzības stratēģijas, jo katram tipam ir nepieciešami īpaši pretpasākumi un uzraudzības pieejas.
Pieteikumu slāņa uzbrukumi (7. slānis)
Lietojumlīmeņa uzbrukumi ir vieni no sarežģītākajiem un bīstamākajiem DDoS uzbrukumu veidiem. Šie uzbrukumi ir vērsti pret
HTTP plūdu uzbrukumi ilustrē lietojumlīmeņa uzbrukuma metodoloģiju. Šajos uzbrukumos botnets ģenerē milzīgu skaitu šķietami likumīgu HTTP pieprasījumu tīmekļa lapām, API vai citiem tīmekļa lietojumprogrammu galapunktiem. Pamata datplūsmas filtrēšanas sistēmām katrs pieprasījums var šķist normāls, taču kopējais apjoms pārslogo tīmekļa servera apstrādes jaudu. Uzbrucēji bieži vien mērķē uz resursietilpīgām lapām, piemēram, meklēšanas funkcijām, datubāzes vaicājumiem vai failu augšupielādēm, lai palielinātu katra pieprasījuma ietekmi.
Slowloris uzbrukumi ir vēl viens sarežģīts lietojumlīmeņa paņēmiens. Tā vietā, lai pārslogotu serverus ar liela apjoma datplūsmu, šie lēnie uzbrukumi izveido daudzus vienlaicīgus savienojumus ar mērķa tīmekļa serveri un uztur tos atvērtus, nosūtot daļējus HTTP pieprasījumus lēnos intervālos. Tas neļauj serverim slēgt savienojumus, vienlaikus iztukšojot savienojumu rezervi, un galu galā liedz piekļuvi vietnei likumīgiem klientiem, kas mēģina piekļūt vietnei.
Uz DNS balstīti lietojumprogrammu slāņa uzbrukumi ir vērsti uz DNS serveriem ar pārmērīgi lieliem pieprasījumiem, pārslogojot to spēju atrisināt domēna vārdus. Šie uzbrukumi var traucēt ne tikai primāro mērķi, bet arī ietekmēt pakārtotos pakalpojumus, kas atkarīgi no DNS izšķirtspējas. Uzbrucēji var pārpludināt autoritatīvos DNS serverus ar pieprasījumiem par neesošiem apakšdomēniem, liekot serveriem veikt resursietilpīgus negatīvus meklējumus.
Lietojumlīmeņa uzbrukumu sarežģītības dēļ tos ir īpaši grūti atklāt un mazināt. Tā kā atsevišķi pieprasījumi bieži vien tiek veikti saskaņā ar atbilstošiem protokoliem un var nākt no likumīgi izskatītām avota IP adresēm, tradicionālās tīkla līmeņa filtrēšanas metodes izrādās nepietiekamas. Organizācijām ir jāizmanto lietojumprogrammām pielāgoti drošības risinājumi, kas spēj analizēt pieprasījumu modeļus, lietotāju uzvedību un lietojumprogrammām specifiskus rādītājus, lai identificētu šos sarežģītos uzbrukumus.
Uzbrukumi protokolam (3.-4. slānis)
Protokolu uzbrukumos tiek izmantotas tīkla protokolu ievainojamības un ierobežojumi, lai pārslogotu mērķsistēmu savienojumu stāvokļu tabulas, ugunsmūrus un slodzes balansētājus. Šie tīkla slāņa un transporta slāņa uzbrukumi ir vērsti pret pamatprotokoliem, kas nodrošina saziņu internetā, tāpēc tie ir īpaši efektīvi pret tīkla infrastruktūras komponentiem.
SYN plūdu uzbrukumi ir viens no izplatītākajiem protokola uzbrukumu veidiem. Šajos uzbrukumos tiek izmantots TCP trīspusējās rokas satricināšanas process, nosūtot uz mērķa serveri lielu skaitu TCP SYN pakešu, bet nekad nepabeidzot rokas satricināšanas secību. Mērķa serveris piešķir resursus katram nepabeigtam savienojumam, ātri iztukšojot savienojumu tabulu un neļaujot likumīgiem lietotājiem izveidot jaunus savienojumus. Mūsdienu sinplūsmas uzbrukumu variācijās izmanto viltotas avota ip adreses, lai uzbrukumus būtu grūtāk izsekot un bloķēt.
UDP plūdu uzbrukumi bombardē mērķus ar lietotāja datagrammu protokola paketēm, kas tiek sūtītas uz mērķa sistēmas nejaušiem portiem. Tā kā UDP ir protokols bez savienojumiem, mērķa serveris mēģina atbildēt uz šīm paketēm, patērējot apstrādes resursus un joslas platumu. Kad mērķa serveris saprot, ka mērķa portā netiek klausīta neviena lietojumprogramma, tas atbild ar ICMP “Destination Unreachable” paketi, vēl vairāk patērējot resursus un potenciāli pārslogojot tīkla infrastruktūru.
Ping plūdi izmanto interneta kontroles ziņojumu protokolu (ICMP), lai pārslogotu mērķus ar ping pieprasījumiem. Šādi uzbrukumi ģenerē milzīgu daudzumu ping pakešu, kas patērē gan joslas platumu, gan apstrādes resursus, jo mērķis mēģina atbildēt uz katru pieprasījumu. ICMP plūdu uzlabotās versijas izmanto lielākus pakešu izmērus un var izmantot pakešu fragmentāciju, lai palielinātu apstrādes režiju mērķa sistēmās.
Fragmentācijas uzbrukumos tiek izmantotas neaizsargātības, kas saistītas ar to, kā sistēmas apstrādā fragmentētas IP paketes. Uzbrucēji nosūta fragmentētu pakešu plūsmas, kuras nevar pareizi salikt, tādējādi mērķsistēmas patērē atmiņu un apstrādes resursus, mēģinot atjaunot paketes. Šie uzbrukumi var būt īpaši efektīvi pret ugunsmūriem un ielaušanās novēršanas sistēmām, kas mēģina pārbaudīt pakešu saturu.
Apjoma uzbrukumi
Volumetriskie DDoS uzbrukumi koncentrējas uz visa pieejamā joslas platuma izmantošanu starp mērķi un plašāku internetu, efektīvi radot saziņas sastrēgumu, kas neļauj likumīgai datplūsmai sasniegt galamērķi. Šie uzbrukumi rada milzīgus šķietami likumīgas datplūsmas apjomus, kas bieži mērāmi simtos gigabitu sekundē vai miljonos pakešu sekundē.
DNS pastiprināšanas uzbrukumi ir viens no efektīvākajiem apjomīgajiem uzbrukumu paņēmieniem. Uzbrucēji nosūta nelielus DNS pieprasījumus publiskajiem DNS serveriem, izmantojot viltotas avota IP adreses, kas atbilst mērķa adresei. DNS serveri atbild ar daudz lielākām atbildēm, kas vērstas uz mērķi, sākotnējo datplūsmas apjomu palielinot no 50 līdz 100 reizēm. Šis pastiprināšanas efekts ļauj uzbrucējiem radīt milzīgus datplūsmas apjomus, izmantojot salīdzinoši nelielus botnetu resursus.
NTP pastiprināšanas uzbrukumos līdzīgā veidā tiek izmantoti tīkla laika protokola serveri. Uzbrucēji nosūta nelielus NTP vaicājumus, pieprasot servera statistiku, kas rada daudz lielākas atbildes. Tāpat kā DNS pastiprināšanas gadījumā, arī šajos uzbrukumos tiek izmantotas viltotas IP adreses, lai pastiprinātās atbildes novirzītu uz paredzēto mērķi. NTP uzbrukumu pastiprināšanas koeficients var pārsniegt 500 reizes sākotnējā pieprasījuma lielumu.
Memcached pastiprināšanas uzbrukumi ir vērsti pret atklātiem Memcached serveriem, kurus parasti izmanto datu bāžu kešēšanai tīmekļa lietojumprogrammās. Uzbrucēji šajos serveros var uzglabāt lielas kravnesības un pēc tam izraisīt to atgūšanu, izmantojot nelielus pieprasījumus ar viltotām avota adresēm. Memcached uzbrukumu pastiprināšanas koeficients var pārsniegt 50 000 reižu, padarot tos par vienu no spēcīgākajiem pieejamajiem volumetrisko uzbrukumu vektoriem.
Līdz šim lielākajā DDoS uzbrukumā vienlaikus tika izmantoti vairāki pastiprināšanas vektori, radot datplūsmas apjomu, kas pārsniedza 2,3 terabaitus sekundē. Šādi masveida uzbrukumi var pārslogot ne tikai paredzēto mērķi, bet arī augšupējos interneta pakalpojumu sniedzējus un tīkla infrastruktūru, izraisot plašus pakalpojumu sniegšanas traucējumus.
DDoS uzbrukuma simptomu identificēšana
Lai mazinātu zaudējumus un īstenotu ātras reaģēšanas pasākumus, ļoti svarīgi ir atpazīt DDoS uzbrukumu agrīnās brīdinājuma pazīmes. Atšķirībā no citiem kibernoziegumiem, kas var darboties slēpti ilgāku laiku, DDoS uzbrukumi parasti rada tūlītējus un novērojamus simptomus, kas ietekmē gan tehnisko infrastruktūru, gan lietotāju pieredzi. Acīmredzamākais iespējamā DDoS uzbrukuma indikators ir šāds. tīmekļa vietnes vai pakalpojuma veiktspējas pēkšņa un neizskaidrojama pasliktināšanās. Likumīgiem lietotājiem var rasties ievērojami lēnāks lapas ielādes laiks, ilgāks API izsaukumu atbildes laiks vai neregulāras savienojamības problēmas. Šīs veiktspējas problēmas parasti izpaužas visos mērķinfrastruktūrā izvietotajos pakalpojumos. nevis ietekmē tikai konkrētas lietojumprogrammas vai funkcijas.
Tīkla datplūsmas analīze atklāj būtiskus notiekošo uzbrukumu indikatorus. Organizācijām vajadzētu uzraudzīt neparastus ienākošās datplūsmas lēcienus, kas ievērojami pārsniedz parastās bāzes līnijas. Tomēr ne visi datplūsmas lēcieni liecina par uzbrukumiem – datplūsmas pieaugumu var radīt arī leģitīmi notikumi, piemēram, virāls saturs, mārketinga kampaņas vai jaunākās ziņas. Galvenā atšķirība ir satiksmes modeļus un avotu raksturlielumus. Ļaunprātīga datplūsma bieži uzrāda īpašus modeļus, kas atšķiras no likumīgas lietotāja uzvedības. Uzbrukuma datplūsma var nāk no ģeogrāfiski neparastām vietām, uzrāda neparastus pieprasījumu modeļus vai aizdomīgus laika rādītājus, piemēram, pilnīgi sinhronizētus pieprasījumus no vairākiem avotiem. Likumīgai datplūsmai parasti ir vairāk nejaušu laika modeļu un tā notiek pēc paredzams ģeogrāfiskais un demogrāfiskais sadalījums.
Servera resursu uzraudzība nodrošina vēl vienu būtisku atklāšanas mehānismu. DDoS uzbrukumu laikā organizācijas parasti novēro strauju servera resursu patēriņu, tostarp procesora noslodzi, atmiņas izmantošanu un tīkla savienojumu ierobežojumus. Resursu patēriņa ātrums uzbrukumu laikā bieži pārsniedz to, kas būtu sagaidāms, pamatojoties uz acīmredzamo likumīgo lietotāju darbības apjomu. Protokola uzbrukumu laikā bieži tiek izsmelti datubāzu savienojumu pūli un tīmekļa serveru savienojumu limiti. Sistēmas administratori var pamanīt kļūdu žurnālus, kas norāda uz savienojuma pārtraukumiem, atteiktiem savienojumiem vai maksimālo savienojuma limitu brīdinājumiem. Šie simptomi var palīdzēt atšķirt lietojumlīmeņa uzbrukumus no volumetriskiem uzbrukumiem, kas galvenokārt patērē joslas platumu.
Lai nošķirtu likumīgus datplūsmas lēcienus no DDoS uzbrukumiem, ir nepieciešami sarežģīti analīzes rīki un noteikti bāzes rādītāji. Organizācijām būtu jāievieš visaptveroša uzraudzība, kas vienlaicīgi uzrauga vairākus rādītājus, nevis jāpaļaujas tikai uz atsevišķiem rādītājiem. Reālā laika datplūsmas analīze, lietotāju uzvedības analīze un automatizētas brīdināšanas sistēmas palīdz drošības komandām ātri identificēt uzbrukumus un uzsākt atbilstošas reaģēšanas procedūras.
DDoS uzbrukumu motivācija
Izpratne par DDoS uzbrukumu dažādo motivāciju sniedz būtisku ieskatu draudu aktieru uzvedībā un palīdz organizācijām novērtēt to pakļautību riskam. Mūsdienu uzbrucēji veic šos graujošos kiberuzbrukumus dažādu iemeslu dēļ, sākot ar finansiālu ieguvumu un beidzot ar ideoloģisku izpausmi, un katram no tiem nepieciešami atšķirīgi aizsardzības apsvērumi.
Finanšu motivācija
Daudzus mūsdienu DDoS uzbrukumus veicina finansiāli stimuli, un uzbrucēji izmanto dažādas monetizācijas stratēģijas, lai gūtu peļņu no savām iespējām. Viltus izspiešanas shēmas ir vistiešākā finansiālā motivācija, kad uzbrucēji pieprasa izpirkuma maksu, lai pārtrauktu notiekošos uzbrukumus vai novērstu turpmākus uzbrukumus. Šie noziedznieki parasti uzbrūk organizācijām kritiskos biznesa periodos, piemēram, svētku iepirkšanās sezonā vai produktu laišanas tirgū laikā, kad pakalpojumu sniegšanas traucējumi rada maksimālu finansiālu ietekmi.
Konkurences sabotāžā iesaistīti uzbrucēji, kas nolīgti, lai izjauktu konkurējošo uzņēmumu darbību izšķirošos darbības periodos. Tiešsaistes spēļu uzņēmumi, e-komercijas platformas un finanšu pakalpojumu uzņēmumi bieži piedzīvo uzbrukumus, kas tiek rīkoti laikā, kas sakrīt ar nozīmīgiem notikumiem, produktu izlaidumiem vai konkurences paziņojumiem. Uzbrucēju mērķis ir novirzīt klientus uz konkurējošiem pakalpojumiem, vienlaikus kaitējot mērķa reputācijai un pozīcijai tirgū.
Tirgus manipulācijas shēmas izmanto DDoS uzbrukumus, lai mākslīgi ietekmētu akciju cenas vai kriptovalūtu tirgus. Uzbrucēji var vērsties pret publiski tirgojamiem uzņēmumiem ar precīzi izplānotiem uzbrukumiem, kuru mērķis ir radīt negatīvu publicitāti un iedarbināt automatizētas tirdzniecības sistēmas. Rezultātā radītais tirgus svārstīgums var radīt peļņas iespējas uzbrucējiem, kuri ir pozicionējuši sevi tā, lai gūtu labumu no cenu svārstībām.
DDoS uzbrukumu komercializācija, izmantojot booteru un streseru pakalpojumus, ir radījusi veselu pagrīdes ekonomiku, kas balstīta uz uzbrukumu iespējām. Šie pakalpojumi sevi reklamē kā likumīgus tīkla stresa testēšanas rīkus, bet galvenokārt kalpo klientiem, kas vēlas veikt uzbrukumus konkurentiem, bijušajiem darba devējiem vai personīgajiem pretiniekiem.
Ideoloģiski un politiski iemesli
Haktivisms ir nozīmīga DDoS uzbrukumu kategorija, ko motivē politiska vai sociāla ideoloģija, nevis finansiāls ieguvums. Tādas grupas kā Anonymous, LulzSec un dažādas nacionālās haktivistu organizācijas izmanto DDoS uzbrukumus kā digitālā protesta veidu pret organizācijām, kuru politikai vai darbībām tās iebilst. Šie uzbrukumi bieži vērsti pret valdības aģentūrām, korporācijām, kas iesaistītas strīdīgās nozarēs, vai organizācijām, kuras tiek uzskatītas par tādām, kas apspiež vārda brīvību.
Politiskie disidenti un aktīvisti autoritāros režīmos var izmantot DDoS uzbrukumus kā rīkus, lai apietu cenzūru un pievērstu starptautisku uzmanību saviem mērķiem. Šie uzbrukumi var traucēt valdības propagandas tīmekļa vietņu darbību, atslēgt novērošanas sistēmas vai pārslogot valsts kontrolētas plašsaziņas līdzekļu platformas. Tomēr valstīs ar stingriem kiberdrošības likumiem šādas darbības ir saistītas ar ievērojamu personisku risku dalībniekiem.
Nacionālo valstu dalībnieki veic DDoS uzbrukumus kā plašāku kiberkara stratēģiju sastāvdaļas. Šie sarežģītie uzbrukumi bieži ir vērsti pret kritisko infrastruktūru, tostarp elektrotīkliem, finanšu sistēmām un telekomunikāciju tīkliem. Valsts sponsorēti uzbrukumi var kalpot kā spēju demonstrācija, citu izlūkošanas operāciju novēršana vai reakcija uz ģeopolitisko spriedzi.
Vides un sociālā taisnīguma kustības arvien biežāk izmanto DDoS uzbrukumus, lai protestētu pret uzņēmumu darbībām, kuras tās uzskata par kaitīgām. Uzbrukumi ir vērsti pret naftas uzņēmumiem, kalnrūpniecības uzņēmumiem un ražošanas uzņēmumiem, kas apsūdzēti vides postīšanā. Lai gan šie uzbrukumi reti rada neatgriezeniskus zaudējumus , tie rada publicitāti aktīvistu mērķiem un traucē normālu uzņēmumu darbību.
Personiskās un kriminālās darbības
Ar spēlēm saistītie DDoS uzbrukumi veido ievērojamu daļu no reģistrētajiem incidentiem, jo spēlētāji izmanto uzbrukumus, lai iegūtu negodīgas priekšrocības tiešsaistes sacensībās. Šie uzbrukumi var būt vērsti pret atsevišķiem pretiniekiem turnīru laikā, traucēt spēļu serveru darbību, lai nepieļautu spēļu pabeigšanu, vai atriebties spēlētājiem, kas tiek uzskatīti par krāpniekiem vai nesportiski izturas.
Daudzus mazāka mēroga DDoS uzbrukumus motivē personīga atriebība, kad personas vēršas pret bijušajiem darba devējiem, romantiskiem partneriem vai šķietamiem personīgiem ienaidniekiem. Strīdi sociālajos plašsaziņas līdzekļos, uzmākšanās kampaņas tiešsaistē un starppersonu konflikti bieži pāraug DDoS uzbrukumos, ja dalībniekiem ir piekļuve uzbrukuma rīkiem vai pakalpojumiem.
Noziedzīgās organizācijas izmanto DDoS uzbrukumus kā diversijas taktiku, lai maskētu citas ļaunprātīgas darbības. Kamēr drošības komandas koncentrējas uz DDoS uzbrukuma traucēto pakalpojumu atjaunošanu, uzbrucēji vienlaikus var veikt datu aizsardzības pārkāpumus, instalēt ļaunprātīgu programmatūru vai veikt citus ielaušanās gadījumus, kas parasti izraisa drošības brīdinājumus. Šāda daudzpusīga pieeja palielina uzbrucēju iespējas sasniegt savus galvenos mērķus, kamēr drošības resursi ir pārslogoti.
Script kiddies un amatieru hakeri bieži vien veic DDoS uzbrukumus, lai demonstrētu savas spējas vai iegūtu atzinību hakeru kopienās. Šādiem uzbrukumiem parasti trūkst sarežģītas plānošanas, taču tie var radīt ievērojamus traucējumus, jo īpaši, ja to mērķis ir mazākas organizācijas ar ierobežotu DDoS aizsardzības infrastruktūru.
DDoS kā pakalpojums un pagrīdes tirgi
Komerciālo DDoS kā pakalpojuma platformu parādīšanās ir būtiski mainījusi draudu ainavu, padarot spēcīgas uzbrukumu iespējas pieejamas personām ar minimālām tehniskām zināšanām. Šie pakalpojumi darbojas, izmantojot lietotājam draudzīgas tīmekļa saskarnes, kas ļauj klientiem veikt sarežģītus uzbrukumus tikai ar dažiem klikšķiem, tādējādi ievērojami samazinot šķēršļus potenciālo uzbrucēju piekļuvei.
Visizplatītākais komercializēto DDoS iespēju veids ir Booter un stresser pakalpojumi. Šīs platformas uztur lielus botnetus un uzbrukumu infrastruktūru, ko klienti var nomāt ik stundu, dienu vai mēnesi. Cenu modeļi parasti svārstās no 5 līdz 50 ASV dolāriem par pamata uzbrukumiem, kas ilgst vairākas stundas, bet augstākās klases pakalpojumi piedāvā jaudīgākus uzbrukumus, ilgāku darbības laiku un papildu funkcijas, piemēram, parasto aizsardzības sistēmu apiešanas iespējas.
Šo pakalpojumu uzņēmējdarbības modelis bieži vien ietver klientu atbalstu, lietošanas pamācības un pakalpojumu līmeņa līgumus, kas garantē konkrētu uzbrukuma intensitāti. Daudzas platformas piedāvā diferencētus pakalpojumu līmeņus ar tādiem nosaukumiem kā “Basic”, “Professional” un “Enterprise”, kas atspoguļo likumīgus programmatūras piedāvājumus. Uzlabotie pakalpojumi nodrošina tādas funkcijas kā uzbrukumu plānošana, ģeogrāfiskā mērķauditorija un vairāku vektoru uzbrukumu kombinācijas, kuru atbalstam nepieciešama ievērojama tehniskā infrastruktūra.
Šo platformu juridiskajos atrunās un pakalpojumu sniegšanas noteikumos parasti tiek apgalvots, ka tās sniedz likumīgus tīkla stresa testēšanas pakalpojumus, taču izmeklēšana pastāvīgi atklāj, ka lielākā daļa izmantošanas gadījumu ir saistīti ar nelikumīgiem uzbrukumiem mērķiem, kas nav devuši piekrišanu. Tiesībaizsardzības iestādes ir sekmīgi saukušas pie atbildības lielāko booter pakalpojumu operatorus, taču šo operāciju izplatītais un starptautiskais raksturs apgrūtina visaptverošu izpildi.
Tumšā tīmekļa tirgi atvieglo sarežģītākus uzbrukumu pakalpojumus, tostarp pielāgotu botnetu izstrādi, nulles dienas ekspluatāciju integrāciju un nacionāla līmeņa uzbrukumu iespējas. Šie augstākās kvalitātes pakalpojumi ir ievērojami dārgāki, taču piedāvā uzbrukumu iespējas, kas var pārspēt pat labi aizsargātus mērķus. Pārdevēji šajos tirgos bieži vien nodrošina klientu pārskatus, glabāšanas pakalpojumus un tehnisko atbalstu, kas atspoguļo likumīgas komerciālas darbības.
DDoS kā pakalpojuma platformu pieejamība ir ievērojami palielinājusi uzbrukumu biežumu un demokratizējusi spēju veikt graujošus kiberuzbrukumus. Organizācijām tagad ir jāņem vērā ne tikai izsmalcinātu noziedzīgu grupējumu, bet arī neapmierinātu indivīdu, konkurentu vai aktīvistu draudi, kuri ar minimāliem ieguldījumiem var piekļūt spēcīgām uzbrukumu iespējām.
DDoS mazināšanas un aizsardzības stratēģijas
Efektīvai DDoS mazināšanai nepieciešama visaptveroša, daudzslāņaina aizsardzības stratēģija, kas apvieno proaktīvu sagatavošanos un reaģēšanas spējas. Organizācijām jāīsteno risinājumi, kas spēj atklāt un mazināt dažādus uzbrukumu vektorus, vienlaikus saglabājot pakalpojumu pieejamību likumīgajiem lietotājiem uzbrukumu laikā.
DDoS aizsardzības pamats sākas ar izpratni par datplūsmas modeļiem un normālas darbības bāzes rādītāju noteikšanu. Organizācijām ir jāīsteno nepārtraukta tīkla datplūsmas, serveru veiktspējas un lietotāju uzvedības modeļu uzraudzība, lai varētu ātri atklāt anomālas darbības. Šie bāzes dati kļūst izšķiroši svarīgi, lai atšķirtu likumīgus datplūsmas uzplūdus no ļaunprātīgu uzbrukumu datplūsmas.
Jaudas plānošana un infrastruktūras dublēšana nodrošina būtiskas aizsardzības iespējas pret apjomīgiem DDoS uzbrukumiem. Organizācijām jānodrošina joslas platums un serveru resursi, kas ievērojami pārsniedz parastās maksimālās prasības, lai gan izmaksu apsvērumu dēļ nav praktiski nodrošināt pietiekamu jaudu, lai absorbētu lielākos iespējamos uzbrukumus, izmantojot tikai infrastruktūru.
Infrastruktūras ģeogrāfiskais sadalījums, izmantojot satura piegādes tīklus un mākoņpakalpojumus, palīdz absorbēt uzbrukumu datplūsmu vairākās vietās, nevis koncentrēt ietekmi uz vienu kļūmes punktu. Šāds sadalījums arī uzlabo pakalpojumu veiktspēju likumīgajiem lietotājiem, vienlaikus nodrošinot vairākus ceļus datplūsmas maršrutēšanai uzbrukumu laikā.
Tehniskās ietekmes mazināšanas metodes
Ātruma ierobežošana ir būtiska DDoS mazināšanas metode, kas kontrolē pieprasījumu biežumu no atsevišķām avota IP adresēm vai lietotāju sesijām. Efektīvas ātruma ierobežošanas implementācijas nošķir dažādus pieprasījumu veidus, piemērojot stingrākus ierobežojumus resursietilpīgām operācijām, vienlaikus saglabājot saprātīgus ierobežojumus pamata lapu skatījumiem un API izsaukumiem.
Datplūsmas filtrēšanas sistēmas analizē ienākošās datplūsmas modeļus un bloķē pieprasījumus, kas atbilst zināmām uzbrukumu pazīmēm vai uzrāda aizdomīgas iezīmes. Mūsdienu filtrēšanas sistēmās tiek izmantoti mašīnmācīšanās algoritmi, lai identificētu jaunus uzbrukumu modeļus un automātiski atjauninātu filtrēšanas noteikumus bez cilvēka iejaukšanās. Šīm sistēmām ir jāsabalansē drošība un pieejamība, lai izvairītos no likumīgu lietotāju bloķēšanas.
Slodzes līdzsvarošana sadala ienākošo datplūsmu starp vairākiem serveriem, lai novērstu vienas sistēmas pārslodzi. Uzlabotie slodzes balansētāji var noteikt, kad serveri tuvojas jaudas robežām, un novirzīt datplūsmu uz alternatīviem resursiem. Uzbrukumu laikā slodzes balansētāji var izolēt skartās sistēmas, vienlaikus saglabājot pakalpojumu pieejamību, izmantojot neskarto infrastruktūru.
Ģeogrāfiskā bloķēšana ierobežo piekļuvi no konkrētiem ģeogrāfiskiem reģioniem, kuros, visticamāk, nav likumīgu lietotāju, bet kuri bieži kalpo kā uzbrukumu datplūsmas avoti. Šis paņēmiens ir īpaši efektīvs organizācijām ar skaidri definētām ģeogrāfiskajām klientu bāzēm, lai gan tas ir rūpīgi jāīsteno, lai izvairītos no likumīgu starptautisko lietotāju bloķēšanas.
CAPTCHA uzdevumi un cilvēku verifikācijas sistēmas palīdz atšķirt automatizētu uzbrukumu datplūsmu no likumīgiem cilvēku lietotājiem. Šos uzdevumus var automātiski aktivizēt, ja datplūsmas modeļi liecina par iespējamiem uzbrukumiem, pieprasot lietotājiem veikt vienkāršus uzdevumus, kas ir sarežģīti automatizētām sistēmām, bet triviāli cilvēkiem.
Uzlabotas aizsardzības tehnoloģijas
Mašīnmācīšanās un mākslīgā intelekta tehnoloģijas ļauj veikt sarežģītu datplūsmas analīzi, kas ļauj identificēt smalkas DDoS uzbrukumu pazīmes. Šīs sistēmas vienlaicīgi analizē vairākus datplūsmas raksturlielumus, tostarp pieprasījumu laiku, ielādes modeļus, lietotāja aģentu virknes un uzvedības sekvences, ko manuāli būtu grūti noteikt cilvēku analītiķiem.
Uzvedības analīzes sistēmas izveido normālas lietotāja darbības profilus un identificē novirzes, kas var liecināt par automatizētu uzbrukumu datplūsmu. Analizējot datplūsmas avotu kopējos uzvedības modeļus, šīs sistēmas var atklāt uzbrukumus pat tad, ja atsevišķi pieprasījumi šķiet likumīgi.
Mākoņdatoros bāzēti tīrīšanas centri nodrošina mērogojamus DDoS mazināšanas pakalpojumus, filtrējot datplūsmu specializētos datu centros, pirms tīras datplūsmas pārsūtīšanas uz aizsargāto infrastruktūru. Šie pakalpojumi piedāvā praktiski neierobežotu jaudu apjomīgu uzbrukumu absorbēšanai, vienlaikus saglabājot specializētas zināšanas sarežģītu uzbrukumu vektoru apstrādei.
DNS aizsardzības pakalpojumi aizsargā pret uzbrukumiem, kas vērsti pret domēna vārdu izšķirtspējas infrastruktūru. Šie pakalpojumi nodrošina dublētu DNS mitināšanu, datplūsmas filtrēšanu DNS līmenī un ātras reaģēšanas iespējas uz uzbrukumiem DNS serveriem. DNS infrastruktūras aizsardzība ir ļoti svarīga, jo DNS darbības traucējumi var ietekmēt visus interneta pakalpojumus, kas atkarīgi no domēna vārdu izšķirtspējas.
Tīmekļa lietojumprogrammu ugunsmūri (WAF) nodrošina specifisku lietojumprogrammu aizsardzību pret lietojumlīmeņa uzbrukumiem, analizējot HTTP pieprasījumus un atbildes, lai atrastu ļaunprātīgus modeļus. Mūsdienīgi WAF risinājumi integrējas ar DDoS aizsardzības pakalpojumiem, lai nodrošinātu visaptverošu pārklājumu visos tīkla slāņos, vienlaikus saglabājot spēju atšķirt dažādus ļaunprātīgas datplūsmas veidus.
DDoS aizsardzības risinājumu izvēle
Lai izvēlētos piemērotus DDoS aizsardzības risinājumus, rūpīgi jāizvērtē organizācijas riska faktori, budžeta ierobežojumi un tehniskās prasības. Lēmuma pieņemšanas process jāsāk ar visaptverošu riska novērtējumu, kurā ņemti vērā organizācijas internetā pieejamie pakalpojumi, klientu bāze un iespējamie uzbrukumu motīvi, kas varētu būt vērsti pret uzņēmumu.
Uzņēmējdarbības ietekmes analīze palīdz kvantitatīvi novērtēt DDoS uzbrukumu izraisīto pakalpojumu sniegšanas traucējumu iespējamās izmaksas. Organizācijām jāaprēķina ieņēmumu zaudējumi, ietekme uz klientu pieredzi un atkopšanas izmaksas, kas saistītas ar dažādiem uzbrukumu scenārijiem. Šī analīze nodrošina pamatu, lai novērtētu ieguldījumu atdevi dažādos aizsardzības risinājumos un noteiktu atbilstošus budžeta piešķīrumus.
DDoS mazināšanas stratēģijā būtiska izvēle ir vienmēr ieslēgti vai pēc pieprasījuma pieejami aizsardzības pakalpojumi. Vienmēr ieslēgtie pakalpojumi visu datplūsmu nepārtraukti virza caur aizsardzības infrastruktūru, nodrošinot tūlītēju reakciju uz uzbrukumiem, bet, iespējams, radot kavēšanos normālā darbībā. Pēc pieprasījuma pakalpojumi aktivizējas tikai tad, kad tiek konstatēti uzbrukumi, līdz minimumam samazinot ietekmi uz normālu datplūsmu, bet, iespējams, pieļaujot īslaicīgus traucējumus uzbrukuma uzsākšanas laikā.
Novērtējot pakalpojumu sniedzēju, galvenā uzmanība jāpievērš pakalpojuma sniedzēja riska mazināšanas spējām, reaģēšanas laikam un pieredzei, risinot uzbrukumus, kas līdzīgi tiem, ar kuriem organizācija varētu saskarties. Organizācijām jāpieprasa detalizēta informācija par pakalpojumu sniedzēja infrastruktūras jaudu, globālo izplatību un vēsturiskajiem darbības rādītājiem. Līdzīgu organizāciju atsauces sniedz vērtīgu ieskatu par reālo veiktspēju un atbalsta kvalitāti.
Ieviešanas plānošanā jāņem vērā tehniskās integrācijas prasības un iespējamie pakalpojumu traucējumi ieviešanas laikā. Dažiem aizsardzības risinājumiem ir nepieciešamas DNS izmaiņas, kas ietekmē globālo datplūsmas maršrutēšanu, savukārt citi integrējas tīkla līmenī ar minimālām redzamām izmaiņām. Organizācijām jāplāno ieviešana zemas datplūsmas periodos un jāsaglabā atgriešanas iespējas integrācijas problēmu gadījumā.
Veiktspējas uzraudzība un testēšana palīdz apstiprināt aizsardzības efektivitāti un noteikt optimizācijas iespējas. Organizācijām regulāri jāveic testēšana, izmantojot kontrolētus datplūsmas ģeneratorus, lai pārbaudītu, vai aizsardzības sistēmas atbilstoši reaģē uz dažādiem uzbrukumu scenārijiem. Šai testēšanai jāietver viltus pozitīvo rezultātu rādītāju un ietekmes uz likumīgo datplūsmu novērtējums simulētu uzbrukumu laikā.
Regulāra pārskatīšana un atjaunināšana nodrošina, ka aizsardzības spējas attīstās atbilstoši mainīgajai draudu videi un biznesa prasībām. DDoS uzbrukumu metodes turpina attīstīties, un aizsardzības risinājumi ir jāatjaunina, lai risinātu jaunus uzbrukumu vektorus un pielāgotos izmaiņām datplūsmas modeļos, jo organizācijas aug un maina savu klātbūtni internetā.
Atlases procesā jāņem vērā arī pakalpojumu sniedzēja draudu izlūkošanas iespējas un integrācija ar citiem drošības rīkiem. Vadošie DDoS aizsardzības pakalpojumi nodrošina detalizētu uzbrukumu analīzi, draudu izlūkošanas plūsmas un integrācijas iespējas ar drošības informācijas un notikumu pārvaldības (SIEM) sistēmām, kas palīdz organizācijām izprast uzbrukumu modeļus un uzlabot vispārējo drošības stāvokli.
Biežāk uzdotie jautājumi
Vai mazie uzņēmumi var atļauties DDoS aizsardzību?
Jā, DDoS aizsardzības risinājumi kļūst arvien pieejamāki dažāda lieluma organizācijām. Mākoņtehnoloģiju aizsardzības pakalpojumi piedāvā sākuma līmeņa plānus, sākot no 20-100 ASV dolāriem mēnesī, un daudzi satura piegādes tīklu pakalpojumu sniedzēji DDoS mazināšanas pamatpaketes iekļauj savos standarta pakalpojumu komplektos. Dažos lielākajos mākoņpakāpju pakalpojumu sniedzējos ir pieejamas bezmaksas līmeņa opcijas, lai gan tās parasti piedāvā ierobežotu aizsardzības jaudu. Maziem uzņēmumiem vajadzētu pievērst uzmanību risinājumiem, kas nodrošina automātisku mērogošanu un maksāšanas par lietošanu cenu modeļus, lai izvairītos no pārmērīgas nodrošināšanas parastas darbības laikā.
Cik ilgi parasti ilgst DDoS uzbrukumi?
DDoS uzbrukumu ilgums ievērojami atšķiras atkarībā no uzbrucēja motivācijas un resursiem. Lielākā daļa uzbrukumu ilgst no 4 līdz 6 stundām, bet daudzi īsāki uzbrukumi ilgst tikai dažas minūtes, lai pārbaudītu aizsardzību vai radītu īslaicīgus traucējumus. Tomēr noturīgas uzbrukumu kampaņas var turpināties vairākas dienas vai nedēļas, īpaši, ja to motivācija ir izspiešanas mēģinājumi vai ideoloģiski iemesli. Garākie reģistrētie uzbrukumi ir turpinājušies vairākus mēnešus, uzbrucējiem periodiski atsākot uzbrukumus pēc īsiem pārtraukumiem. Organizācijām jāsagatavo reaģēšanas procedūras gan īslaicīgiem traucējumiem, gan ilgstošām uzbrukumu kampaņām.
Vai DDoS testēšanas rīku izmantošana savos serveros ir likumīga?
DDoS aizsardzības testēšana pret savu infrastruktūru parasti ir likumīga, ja tā tiek veikta pareizi, taču tai nepieciešama rūpīga plānošana un autorizācija. Pirms testēšanas veikšanas organizācijām jāsaņem rakstiska atļauja no visām attiecīgajām ieinteresētajām personām un jānodrošina, lai testēšanas darbības neietekmētu koplietošanas infrastruktūru vai trešo pušu pakalpojumus. Daudzi uzņēmumi iesaista profesionālus iekļūšanas testēšanas uzņēmumus, lai veiktu kontrolētas DDoS simulācijas, kas atbilst juridiskajām prasībām un nozares standartiem. Pirms testēšanas ir ļoti svarīgi informēt interneta pakalpojumu sniedzējus un mitināšanas pakalpojumu sniedzējus, lai izvairītos no automātisko ļaunprātīgas reaģēšanas procedūru iedarbināšanas.
Vai DDoS uzbrukumi var nozagt datus vai instalēt ļaunprātīgu programmatūru?
Tradicionālie DDoS uzbrukumi ir vērsti uz pakalpojumu traucējumiem, nevis datu zādzību, taču tie var kalpot kā efektīva novirzīšanas taktika citām ļaunprātīgām darbībām. Kamēr drošības komandas reaģē uz DDoS uzbrukumu izraisītiem pakalpojumu pārtraukumiem, uzbrucēji vienlaikus var mēģināt ielauzties datos, instalēt ļaunprātīgu programmatūru vai veikt citus ielaušanās gadījumus, kas citādi varētu izraisīt drošības brīdinājumus. Dažos progresīvos DDoS uzbrukumos ir iekļautas sekundārās kravnesības, kas paredzētas, lai izmantotu uzbrukuma laikā atklātās ievainojamības vai kompromitētu sistēmas, kuru drošības resursi ir pārslogoti. Organizācijām jāuztur visaptveroša drošības uzraudzība, kas turpina efektīvi darboties pat DDoS incidentu laikā.
Kas jums nekavējoties jādara DDoS uzbrukuma gadījumā?
Tūlītējās reaģēšanas procedūrās jāietver: 1) incidentu reaģēšanas komandas aktivizēšana un galveno ieinteresēto pušu informēšana par pakalpojuma traucējumiem, 2) sazināšanās ar interneta pakalpojumu sniedzēju un ddos aizsardzības pakalpojumu sniedzēju, lai ziņotu par uzbrukumu un lūgtu neatliekamo palīdzību, 3) jebkuras ārkārtas datplūsmas filtrēšanas vai ātruma ierobežošanas iespēju aktivizēšana, kas pieejama ar hostinga pakalpojumu sniedzēja vai drošības rīku starpniecību, 4) uzbrukuma dokumentēšanas uzsākšana, tostarp par laiku, ietekmētajiem pakalpojumiem un visām prasībām vai paziņojumiem no uzbrucējiem, un 5) saziņas procedūru ieviešana, lai informētu klientus un lietotājus par pakalpojuma statusu un gaidāmajiem risināšanas termiņiem. Izvairieties no tūlītējām izmaiņām infrastruktūras konfigurācijā, kas varētu pasliktināt situāciju, un koncentrējieties uz iepriekš plānotu reaģēšanas procedūru aktivizēšanu, nevis improvizētu risinājumu meklēšanu krīzes laikā.