Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, obejmuje obowiązkami znacznie szerszą grupę podmiotów niż dotychczas - w tym operatorów telekomunikacyjnych i dostawców usług internetowych. Dla wielu ISP oznacza to zupełnie nową sytuację: atak DDoS przestaje być wyłącznie problemem operacyjnym, a staje się incydentem, który trzeba udokumentować i zgłosić do właściwego CSIRT w ustawowym terminie.
I tu zaczyna się realny problem. Nie sama detekcja ataku - tę większość operatorów w jakiejś formie posiada. Problemem jest odtworzenie przebiegu incydentu w postaci, którą można przedstawić w zgłoszeniu: kiedy dokładnie atak się zaczął, jaki miał wolumen, jaki wektor, co zostało zaatakowane, jakie działania mitygacyjne podjęto i kiedy incydent się zakończył. Jeżeli te dane trzeba składać ręcznie z logów routerów, wykresów z kolektora NetFlow i notatek zespołu NOC, przygotowanie jednego zgłoszenia potrafi zająć więcej czasu niż sam atak.
Co w praktyce oznacza obowiązek raportowania incydentów
Dyrektywa NIS2 wprowadza etapowy model zgłaszania poważnych incydentów: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełniejsze zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy po zakończeniu obsługi. Polska nowelizacja KSC przenosi ten model na grunt krajowy, a szczegółowe wymagania warto zawsze weryfikować z aktualnym stanem prawnym i wytycznymi właściwego CSIRT.
Niezależnie od finalnego kształtu formularzy jedno jest pewne: zgłoszenie musi opierać się na twardych danych technicznych. Dla ataku DDoS oznacza to co najmniej:
precyzyjne znaczniki czasu - wykrycie ataku, pierwszy pakiet, początek mitygacji, zakończenie incydentu,
skalę ataku - maksymalny wolumen w Gbps i pakiety na sekundę,
wektor ataku - wykorzystane protokoły i techniki (np. amplifikacja DNS, CLDAP, TCP-SYN flood),
podjęte działania - jakie reguły filtrowania zastosowano i jak szybko zadziałały,
materiał dowodowy - próbki ruchu, statystyki, zrzuty pakietów.
Zespół, który w trakcie ataku skupia się na przywróceniu usług, rzadko ma czas na równoległe prowadzenie dokumentacji. A po fakcie część danych jest już nie do odzyskania.
LiveShield: dane do zgłoszenia CSIRT gotowe w momencie zakończenia ataku
LiveShield od początku rejestruje pełny przebieg każdego incydentu - nie dlatego, że wymaga tego ustawa, tylko dlatego, że te same dane są potrzebne do skutecznej, automatycznej mitygacji. Nowa funkcja raportowania KSC wykorzystuje ten fakt: system generuje raport incydentów, który może posłużyć jako informacja wyjściowa do przygotowania zgłoszenia do CSIRT.
Dla każdego incydentu raport zawiera m.in.:
komplet znaczników czasu: wykrycie ataku, pierwszy pakiet, pierwsza reguła filtrowania, zakończenie ataku,
czas trwania ataku oraz czas do mitygacji liczony w sekundach,
maksymalny wolumen (Gbps) i maksymalne PPS,
wektor ataku i wykorzystane protokoły,
docelowe adresy IP i prefiksy, docelowe porty oraz próbkę źródłowych adresów IP,
zastosowane reguły BGP FlowSpec i BGP Blackholing,
statystyki ruchu per-minuta oraz odnośniki do zrzutów ruchu (pcap),
flagę detekcji ataku typu carpet bombing,
ocenę istotności incydentu według konfigurowalnych progów.
Oprócz szczegółowej tabeli incydentów raport zawiera podsumowanie zarządcze dla wybranego zakresu dat: liczbę incydentów, częstotliwość, rozkład wolumenów, podział według istotności, najczęstsze protokoły ataku oraz oś czasu incydentów. To format czytelny nie tylko dla inżyniera, ale też dla osoby odpowiedzialnej za zgodność z KSC po stronie zarządu.
Czas do mitygacji jako twardy dowód należytej staranności
Jest jeszcze jeden aspekt, o którym warto pamiętać. Przepisy KSC wymagają od podmiotów objętych ustawą stosowania środków adekwatnych do ryzyka. W przypadku ataków DDoS najlepszym dowodem skuteczności tych środków jest mierzalny czas reakcji.
LiveShield nakłada pierwsze reguły filtrowania w ciągu pojedynczych sekund od wykrycia anomalii - i dokumentuje to w raporcie osobnym polem dla każdego incydentu. Operator nie deklaruje, że "zareagował szybko". Ma na to znacznik czasu.
W praktyce oznacza to również, że znaczna część ataków kończy się, zanim klienci końcowi cokolwiek zauważą. Incydent trafia do raportu, usługi działają bez przerwy, a zespół NOC nie musi przerywać innych prac.
Ochrona i raportowanie w jednym systemie, we własnej infrastrukturze
LiveShield działa on-premise, w infrastrukturze operatora. Dane o ruchu i incydentach nie opuszczają sieci - co przy rosnących wymaganiach dotyczących ochrony informacji ma znaczenie nie tylko techniczne. Detekcja per-IP i per-subnet, automatyczna mitygacja przez BGP FlowSpec i RTBH oraz raportowanie zgodne z potrzebami KSC są częścią jednej licencji, bez dodatkowych modułów.
Dla operatora oznacza to prostą kalkulację: jedno wdrożenie zamyka jednocześnie temat ochrony anty-DDoS i temat przygotowania danych do zgłoszeń wymaganych przez Krajowy System Cyberbezpieczeństwa.
Chcesz zobaczyć, jak wygląda raport incydentów w praktyce? Wersja demonstracyjna systemu dostępna jest pod adresem demo.liveshield.net. W sprawie oferty i wdrożenia zapraszamy do kontaktu: office@liveshield.net.
Niniejszy artykuł nie stanowi porady prawnej. Szczegółowe obowiązki wynikające z ustawy o KSC należy weryfikować z aktualnym stanem prawnym.