Microsoft, dün gerçekleşen ve şirketin Azure bulut hizmetlerini yaklaşık sekiz saat boyunca kesintiye uğratan dağıtılmış hizmet engelleme (DDoS) saldırısının etkisinin artmasından bir uygulama hatasının sorumlu olduğunu söyledi.
Saldırı, Azure App Services, Azure IoT Central, Application Insights, Log Search Alerts ve Azure Policy dahil olmak üzere çeşitli Azure tekliflerini etkiledi. Yaklaşık 07:45 ET’de başlayıp 15:43 ET’ye kadar süren kesinti, ana Azure portalını ve Microsoft 365 ve Microsoft Purview veri koruma hizmetlerinin bir alt kümesini de etkiledi.
DDoS Siber Savunma Hatası Araştırılıyor
Birinde etkinlik özeti Microsoft dün DDoS saldırısını “beklenmeyen bir kullanım artışına” neden olarak tanımladı [that] Azure Front Door (AFD) ve Azure İçerik Dağıtım Ağı (CDN) bileşenlerinin kabul edilebilir eşiklerin altında performans göstermesine neden oldu.” Bu artış aralıklı hizmet hatalarına, zaman aşımlarına ve ani gecikme artışlarına neden oldu.
Bazı açılardan daha da endişe verici olanı, “ilk tetikleyici olay DDoS koruma mekanizmalarımızı harekete geçiren bir DDoS saldırısı olsa da, ilk araştırmalar savunma uygulamamızdaki bir hatanın saldırının etkisini azaltmak yerine artırdığını gösteriyor.”
Microsoft, DDoS saldırısını daha da kötüleştiren hatayı özel olarak tanımlamadı. Ancak 30 Temmuz olaylarının açıklamasına göre, şirketin DDoS azaltma çabalarını desteklemek için yaptığı ilk ağ yapılandırması değişiklikleri bazı beklenmedik “yan etkilere” yol açmış olabilir. Şirket, ilk olarak Asya-Pasifik bölgesi ve Avrupa’da kullanıma sunduğu ve ardından yaklaşımın işe yaradığını doğruladıktan sonra Amerika’da devreye aldığı güncellenmiş bir yaklaşım uyguladı.
Microsoft, “Ekibimiz olayı daha ayrıntılı olarak anlamak için dahili bir retrospektif gerçekleştirecek,” dedi. “Yaklaşık 72 saat içinde, ne olduğu ve nasıl yanıt verdiğimiz hakkında daha fazla ayrıntı paylaşmak için bir Ön Olay Sonrası İnceleme (PIR) yayınlayacağız.”
DDoS Azaltmada İstenmeyen Hatalar
Tenable’da araştırma mühendisi olarak çalışan Rody Quinlan, bir kuruluşun DDoS saldırılarını azaltma çabalarını sekteye uğratabilecek çeşitli yollar olduğunu söylüyor.
“Kuruluşlar, yanlış yapılandırılmış hız sınırlaması, verimsiz yük dengeleme, güvenlik duvarı yanlış yapılandırmaları, aşırı agresif güvenlik kuralları, yetersiz kaynak ölçeklemesi, yanlış trafik filtrelemesi ve tek hata noktalarına bağımlılık gibi çeşitli uygulama hataları yoluyla siber saldırıları istemeden artırabilir,” diyor. “Bu hatalar, engellenen meşru trafiğe, aşırı yüklenen sunuculara, darboğazlı güvenlik duvarlarına ve kritik hizmetlerin çevrimdışı kalmasına yol açabilir.”
Microsoft’un ilk tepkisi bu hafta Azure hizmetindeki sorunlara katkıda bulunmuş olsa da, bu olay DDoS saldırılarının, bir hedefin çevrimiçi varlığını bozmak ve zayıflatmak isteyen saldırganlar için ne kadar etkili olduğunu gösteren bir başka örnek.
A Cloudflare raporu bu yılın başlarında ağ katmanı DDoS saldırılarında yıllık %117’lik bir artış tespit edildi. Bunun bir nedeni de belirli bir DDoS saldırılarında artış Black Friday ve genel olarak tatil alışveriş sezonu civarında perakende, nakliye ve halkla ilişkiler web sitelerini hedef alan saldırılar. Ancak saldırıların çoğu, belirli bir mesaj göndermek isteyen gruplar tarafından da gerçekleştirildi veya belirli bir siyasi duruşu iletmekÖrneğin Cloudflare, bu bölgelerdeki jeopolitik gerginlikler nedeniyle Tayvan, İsrail ve Filistin sitelerini hedef alan DDoS saldırılarında ve çevre bilimleri web sitelerine yönelik saldırılarda büyük bir artış gözlemlediğini söyledi.
DDoS Saldırıları “Smash & Grab” Taktiklerini Benimsiyor
“DDoS’taki eğilimler genellikle döngüseldir, ancak şu anda saldırıların boyut olarak büyüdüğünü ve süre olarak kısaldığını görüyoruz,” diyor DDoS güvenlik satıcısı Nexusguard’ın yöneticisi Donny Chong. “En son verilerimiz, geçen yıl saldırı boyutlarının ortalama %183 arttığını ve ortalama boyutunun 0,80 Gbps olduğunu gösteriyor,” diyor. Aynı zamanda, 2022 ile 2023 arasında, DDoS saldırılarının ortalama süresi 101 dakikanın biraz üzerine düştü. Chong, şu anda DDoS saldırılarının %81’inin 90 dakikadan az sürdüğünü söylüyor.
“Saldırı süresindeki bu azalmanın bir kısmı, saldırganların iş kesintisi yaratırken giderek daha verimli hale gelmesinden kaynaklanıyor,” bunun nedeni muhtemelen bazı saldırıları otomatikleştirmek için yapay zeka (AI) kullanmaları. Ancak daha kısa saldırı sürelerinin aynı zamanda hafifletme teknolojilerinden de kaynaklanması muhtemel, diyor Chong.[Attackers] “Uzun süreli kesintileri sürdürmeyi giderek daha da zor buluyorlar. Bu yüzden, uzun süreli bir kuşatma yerine, artık daha çok ‘vur ve kap’ durumu söz konusu,” diyor.
Quinlan, DDoS kesintisini azaltmanın anahtarının gerçek zamanlı trafik analiz yeteneğine, ölçeklenebilir bulut altyapısına, yedekli sistemlere ve aşırı yüklenmeyi önlemek için akıllı yük dengelemeye sahip olmak olduğunu söylüyor. “Uygun hız sınırlama, kısıtlama ve WAF’ler [Web application firewalls] Quinlan, “Kötü amaçlı trafiği filtrelemek ve düzenli yazılım ve donanım güvenlik açığı giderme, sistemleri korumak için çok önemlidir” diyor. “Etkili bir olay yanıt planı ve İnternet servis sağlayıcıları ve güvenlik sağlayıcılarıyla işbirliği, algılama ve azaltma yeteneklerini artırır.”