Back to blog Raportowanie incydentów DDoS zgodnie z KSC i NIS2

Raportowanie incydentów DDoS zgodnie z KSC i NIS2

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, obejmuje obowiązkami znacznie szerszą grupę podmiotów niż dotychczas - w tym operatorów telekomunikacyjnych i dostawców usług internetowych. Dla wielu ISP oznacza to zupełnie nową sytuację: atak DDoS przestaje być wyłącznie problemem operacyjnym, a staje się incydentem, który trzeba udokumentować i zgłosić do właściwego CSIRT w ustawowym terminie.

I tu zaczyna się realny problem. Nie sama detekcja ataku - tę większość operatorów w jakiejś formie posiada. Problemem jest odtworzenie przebiegu incydentu w postaci, którą można przedstawić w zgłoszeniu: kiedy dokładnie atak się zaczął, jaki miał wolumen, jaki wektor, co zostało zaatakowane, jakie działania mitygacyjne podjęto i kiedy incydent się zakończył. Jeżeli te dane trzeba składać ręcznie z logów routerów, wykresów z kolektora NetFlow i notatek zespołu NOC, przygotowanie jednego zgłoszenia potrafi zająć więcej czasu niż sam atak.

Co w praktyce oznacza obowiązek raportowania incydentów

Dyrektywa NIS2 wprowadza etapowy model zgłaszania poważnych incydentów: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełniejsze zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy po zakończeniu obsługi. Polska nowelizacja KSC przenosi ten model na grunt krajowy, a szczegółowe wymagania warto zawsze weryfikować z aktualnym stanem prawnym i wytycznymi właściwego CSIRT.

Niezależnie od finalnego kształtu formularzy jedno jest pewne: zgłoszenie musi opierać się na twardych danych technicznych. Dla ataku DDoS oznacza to co najmniej:

  • precyzyjne znaczniki czasu - wykrycie ataku, pierwszy pakiet, początek mitygacji, zakończenie incydentu,
  • skalę ataku - maksymalny wolumen w Gbps i pakiety na sekundę,
  • wektor ataku - wykorzystane protokoły i techniki (np. amplifikacja DNS, CLDAP, TCP-SYN flood),
  • zaatakowane zasoby - docelowe adresy IP, prefiksy, porty usług,
  • podjęte działania - jakie reguły filtrowania zastosowano i jak szybko zadziałały,
  • materiał dowodowy - próbki ruchu, statystyki, zrzuty pakietów.

Zespół, który w trakcie ataku skupia się na przywróceniu usług, rzadko ma czas na równoległe prowadzenie dokumentacji. A po fakcie część danych jest już nie do odzyskania.

LiveShield: dane do zgłoszenia CSIRT gotowe w momencie zakończenia ataku

LiveShield od początku rejestruje pełny przebieg każdego incydentu - nie dlatego, że wymaga tego ustawa, tylko dlatego, że te same dane są potrzebne do skutecznej, automatycznej mitygacji. Nowa funkcja raportowania KSC wykorzystuje ten fakt: system generuje raport incydentów, który może posłużyć jako informacja wyjściowa do przygotowania zgłoszenia do CSIRT.

Dla każdego incydentu raport zawiera m.in.:

  • komplet znaczników czasu: wykrycie ataku, pierwszy pakiet, pierwsza reguła filtrowania, zakończenie ataku,
  • czas trwania ataku oraz czas do mitygacji liczony w sekundach,
  • maksymalny wolumen (Gbps) i maksymalne PPS,
  • wektor ataku i wykorzystane protokoły,
  • docelowe adresy IP i prefiksy, docelowe porty oraz próbkę źródłowych adresów IP,
  • zastosowane reguły BGP FlowSpec i BGP Blackholing,
  • statystyki ruchu per-minuta oraz odnośniki do zrzutów ruchu (pcap),
  • flagę detekcji ataku typu carpet bombing,
  • ocenę istotności incydentu według konfigurowalnych progów.

Oprócz szczegółowej tabeli incydentów raport zawiera podsumowanie zarządcze dla wybranego zakresu dat: liczbę incydentów, częstotliwość, rozkład wolumenów, podział według istotności, najczęstsze protokoły ataku oraz oś czasu incydentów. To format czytelny nie tylko dla inżyniera, ale też dla osoby odpowiedzialnej za zgodność z KSC po stronie zarządu.

pdf_summary.png


Czas do mitygacji jako twardy dowód należytej staranności

Jest jeszcze jeden aspekt, o którym warto pamiętać. Przepisy KSC wymagają od podmiotów objętych ustawą stosowania środków adekwatnych do ryzyka. W przypadku ataków DDoS najlepszym dowodem skuteczności tych środków jest mierzalny czas reakcji.

LiveShield nakłada pierwsze reguły filtrowania w ciągu pojedynczych sekund od wykrycia anomalii - i dokumentuje to w raporcie osobnym polem dla każdego incydentu. Operator nie deklaruje, że "zareagował szybko". Ma na to znacznik czasu.

W praktyce oznacza to również, że znaczna część ataków kończy się, zanim klienci końcowi cokolwiek zauważą. Incydent trafia do raportu, usługi działają bez przerwy, a zespół NOC nie musi przerywać innych prac.

Ochrona i raportowanie w jednym systemie, we własnej infrastrukturze

LiveShield działa on-premise, w infrastrukturze operatora. Dane o ruchu i incydentach nie opuszczają sieci - co przy rosnących wymaganiach dotyczących ochrony informacji ma znaczenie nie tylko techniczne. Detekcja per-IP i per-subnet, automatyczna mitygacja przez BGP FlowSpec i RTBH oraz raportowanie zgodne z potrzebami KSC są częścią jednej licencji, bez dodatkowych modułów.

Dla operatora oznacza to prostą kalkulację: jedno wdrożenie zamyka jednocześnie temat ochrony anty-DDoS i temat przygotowania danych do zgłoszeń wymaganych przez Krajowy System Cyberbezpieczeństwa.

Chcesz zobaczyć, jak wygląda raport incydentów w praktyce? Wersja demonstracyjna systemu dostępna jest pod adresem demo.liveshield.net. W sprawie oferty i wdrożenia zapraszamy do kontaktu: office@liveshield.net.

Niniejszy artykuł nie stanowi porady prawnej. Szczegółowe obowiązki wynikające z ustawy o KSC należy weryfikować z aktualnym stanem prawnym.