Introdução
Nos últimos anos, o setor de telecomunicações tem experimentado avanços expressivos em suas infraestruturas, tanto físicas quanto lógicas. As redes físicas de fibra ótica estão cada vez mais consolidadas e redundantes, garantindo altos níveis de estabilidade e velocidade. Paralelamente, as redes lógicas evoluem em inteligência e eficiência, impulsionadas pela adoção de protocolos de roteamento e técnicas de engenharia de tráfego cada vez mais robustas. Entretanto, um desafio crescente tem perturbado especialmente os ISPs de pequeno e médio porte: a escalada nos ataques cibernéticos, com destaque para os ataques DDoS. Esse cenário tem forçado os provedores de serviços de internet a redobrar seus esforços na busca pela segurança e estabilidade em suas operações.
O aumento de incidentes de ataques
A frequência de ataques cibernéticos tem crescido de maneira alarmante. Estudos recentes apontam que ameaças como ataques DDoS (Distributed Denial of Service) e tentativas de exploração de vulnerabilidades em equipamentos e sistemas de ISPs estão se tornando cada vez mais comuns. Um relatório da empresa Huge Networks, com base em dados globais de provedores de serviços de rede, projeta que o número de ataques DDoS em 2025 deve atingir 25 milhões de casos, um aumento de 16% em comparação aos 21,5 milhões registrados em 2023. Esses ataques podem provocar desde instabilidades até interrupções completas nos serviços oferecidos pelos provedores aos seus clientes. A crescente dependência da sociedade moderna em relação à internet amplifica ainda mais os impactos desses incidentes, gerando prejuízos financeiros significativos e afetando diretamente a reputação dos provedores diante de seus clientes.
A sofisticação das técnicas utilizadas para ataques
Os ataques DDoS estão evoluindo não apenas em termos de quantidade, mas também em sua complexidade técnica e sofisticação. Os agentes maliciosos desenvolvem e implementam constantemente novas técnicas e metodologias cada vez mais elaboradas e eficientes para identificar e explorar vulnerabilidades, contornar sistemas de defesa e causar impactos significativos nas redes e sistemas dos ISPs. A variedade de vetores de ataque utilizados é extensa, podendo ser classificados em duas categorias principais: ataques de inundação (‘Flood’) e ataques de ampliação (‘Amplification’).
Na categoria de ataques de 'Flood', encontramos diversas variações como UDP Flood, ICMP Flood, SYN Flood, ACK Flood, HTTP Flood e DNS Query Flood, entre outros. Cada um desses vetores possui características específicas e visa sobrecarregar diferentes aspectos dos alvos. Os ataques de ampliação, por sua vez, incluem técnicas como DNS Amplification, NTP Amplification e Memcached Amplification. Nesses casos, os agentes maliciosos exploram serviços e protocolos legítimos para gerar um volume desproporcional de tráfego a partir de pequenas requisições, visando sobrecarregar a largura de banda ou a capacidade de processamento dos equipamentos da rede do alvo.
Um aspecto preocupante é a crescente tendência dos atacantes em utilizar abordagens híbridas e dinâmicas. Visando maximizar o impacto e dificultar a detecção e mitigação pelos sistemas de defesa, os agentes maliciosos frequentemente empregam técnicas combinadas e diferentes vetores em paralelo. Por exemplo, podem executar simultaneamente um ataque de DNS Amplification com HTTP Flood. Quando o sistema defensor implementa uma técnica eficaz contra esses ataques, os agentes mudam automaticamente os vetores, criando cenários ainda mais complexos.
Metodologias como ‘Carpet-Bombing’ e ‘Hit-and-Run’ também vêm se destacando. Os ataques ‘Carpet-Bombing’ distribuem tráfego malicioso por vários endereços IPs do ISP, enquanto os ataques 'Hit-and-Run' alternam rajadas de tráfego intenso com intervalos de inatividade, confundindo os sistemas de defesa. Essas abordagens tornam a detecção e a resposta efetiva ainda mais desafiadoras.
Como se preparar
O primeiro passo para enfrentar esses desafios é reconhecer a importância da segurança como um tema central. Os líderes dos ISPs devem adotar uma postura proativa, buscando se antecipar aos desafios futuros.
É fundamental contar com sistemas de monitoramento capazes de identificar tráfego malicioso e alertar as equipes responsáveis para respostas rápidas e eficazes. O monitoramento deve ser abrangente, incluindo indicadores como volumetria de tráfego, quantidade de pacotes processados, utilização de CPU, consumo de protocolos, perda de pacotes e disponibilidade de dispositivos. Roteadores de borda e BNG's merecem atenção especial. Além disso, ferramentas de análise baseadas em ‘flow’, como NetFlow, sFlow ou IPFIX, são essenciais para uma visibilidade detalhada do tráfego e para automações que aumentem a velocidade e precisão das respostas.
Sistemas de mapeamento de vulnerabilidades também são cruciais. Eles ajudam a identificar IPs expostos, portas abertas sem necessidade e firmwares desatualizados, reduzindo riscos e reforçando a postura preventiva do ISP.
Outro ponto chave é contar com uma equipe de NOC preparada para lidar com esses incidentes, integrando processos de pesquisa, monitoramento e ações preventivas no dia a dia. Caso o ISP não tenha um SOC, o NOC deve incorporar essas funções e criar rotinas que garantam a segurança e a saúde da rede.
Finalmente, para pequenos e médios ISPs, é fundamental contar com operadoras que ofereçam serviços de trânsito IP mitigado. Isso evita que o tráfego malicioso chegue à rede do provedor, aliviando o impacto e garantindo a continuidade dos serviços. Esse tipo de solução está se tornando um requisito essencial para garantir a qualidade e segurança no setor.
Conclusão
Os ataques DDoS são uma realidade desafiadora para qualquer ISP, independentemente do porte. Como vimos, os ataques estão mais sofisticados e frequentes, exigindo muito mais dos provedores em termos de tecnologia, equipe e estratégia.
Provedores que priorizam a prevenção e implementam boas práticas, como monitoramento detalhado, ferramentas de análise de tráfego e parceria com operadoras que ofereçam serviços de trânsito IP mitigado, estão mais bem preparados para enfrentar esses desafios. Além disso, investir em treinamento contínuo das equipes e integrar processos de segurança no dia a dia da operação são passos fundamentais para garantir a resiliência.
A segurança não pode ser tratada como um gasto, mas sim como um investimento indispensável para assegurar a estabilidade dos serviços e a confiança dos clientes. Com planejamento e ação proativa, é possível mitigar os riscos e operar com excelência, mesmo em um cenário de ameaças cada vez mais constantes e complexas. ISPs que se mantêm comprometidos em proteger suas redes não apenas ganham vantagem competitiva, mas também contribuem para um ecossistema de internet mais seguro e confiável para todos.
-Gustavo Linhares, Gerente NIIS. Publicado em: https://ispmais.com.br/#flipbook-df_730/45/