Bezpieczeństwo pracy zdalnej
Jak chronić Jednostki Samorządu Terytorialnego przed atakami DDoS
(26.05.2020)

— Marek Makowski — Znaczenie ataków typu DDoS znacząco wzrosło w ostatnim czasie. Spośród ataków wymagających jakiegokolwiek udziału technologicznego, a występujących faktycznie w cyberprzestrzeni, ten typ ataków jest zdecydowanie najpopularniejszy, pomijając przestępczość internetową związaną z groźbami karalnymi i hejtem, które to są adresowane w trochę inny sposób i nie wymagają wsparcia technologii i szczególnej wiedzy. Opowiemy dziś Państwu o naszych doświadczeniach związanych z cyberbezpieczeństwem, o atakach DDoS i jaki mają one wpływ na ciągłość działania. Wspomnimy również o tym jak bronić się przed tymi atakami z wykorzystaniem opracowanej przez nas platformy.

04:15
Jesteśmy na rynku telekomunikacyjnym od ponad 20 lat i prężnie na nim działamy. Zapewniamy usługi profesjonalnej transmisji danych dla podmiotów działających w Polsce, jak również zapewniamy możliwość globalnej, hurtowej transmisji danych, dla globalnych graczy i operatorów. Odpowiadamy za jedną z największych autostrad transmisyjnych w kierunku wschodnim i zachodnim. Jesteśmy też obecni we wszystkich istotnych, międzynarodowych punktach wymiany ruchu. Jest to rdzeń naszej działalności i z tego też jest najwięcej przychodów, ale rozwój i zapewnienie ciągłości działania w tym obszarze, wiąże się z tym, że musimy działać bardzo prężnie również na obszarach bardzo mocno powiązanych z zapewnieniem odpowiedniej jakości. Oprócz transmisji, rozwijamy bardzo mocno cyberbezpieczeństwo, usługi integratorskie i działamy w obszarze innowacji. W związku z tym, że sieć się rozrasta, zapewnienie cyberbezpieczeństwa jest istotne, zarówno dla nas jak i dla naszych klientów. Żeby je zapewnić, musimy wiedzieć w którą stronę idziemy. Na przykładzie sieci 5G widzimy, że kwestia innowacyjności i budowa stabilnego wizerunku wiarygodnego partnera wobec podmiotów z którymi współpracujemy, wiąże się z tym, że chcemy wytwarzać własne technologie. W 2014 roku przystąpiliśmy do udziału w projekcie unijnym RAPID-5G. Wtedy jeszcze ta technologia nie była tak popularna jak dzisiaj. Kilka osób zadawało sobie pytanie: po co operatorowi stacjonarnemu udział w projekcie, który jest związany z technologiami mobilnymi? Obecnie jesteśmy pomysłodawcą i liderem przedsięwzięcia o nazwie Polskie 5G i hurtowym operatorem 5G w paśmie 700 MHz. Jesteśmy przekonani, że właśnie udział w tworzeniu własnych technologii i udział w projektach innowacyjnych, to odpowiednia droga dla firmy EXATEL, jako stabilnego i wiarygodnego partnera, którym jesteśmy i w dalszym ciągu chcemy być.

07:48
Ważne jest dla nas oczywiście zapewnienie bezpieczeństwa i stabilność tej sieci, stąd też wychodzimy z nowymi inicjatywami, takimi jak TAMA – autorska platforma do ochrony przed atakami DDoS – czy też SDNbox i SDNcore – własne rozwiązania do softwarowego zarządzania siecią. Ta działalność innowacyjna jest na tyle szeroka, że pojawia się tutaj współpraca z silnymi ośrodkami naukowymi z Polski i zagranicy. Skupmy się jednak na platformie i kwestii budowania bezpieczeństwa. Nasze rozwiązanie wyróżnia kilka podstawowych cech: kompleksowość, skalowalność, wydajność, elastyczność, stabilność, integrowalność, transparentność i to, że rozwiązanie jest zaprojektowane z myślą o potrzebach polskiego rynku. Od samego początku, gdy zaczęliśmy tworzyć te rozwiązanie, chcieliśmy by chroniło ono przed atakami wolumetrycznymi, które są naprawdę bardzo dużym problemem w dzisiejszym świecie i patrząc na statystyki, możemy zauważyć, że ten problem tylko i wyłącznie rośnie. Chcieliśmy również by rozwiązanie spełniało wymagania co do wydajności, skalowalności i bezpieczeństwa. Rozwiązanie te działa w architekturze rozproszonej, więc nie jest tak, że mamy jedną jednostkę, która chroni naszą sieć, tylko staramy się działać już na brzegu naszej sieci, aby szkielet nie był wykorzystywany i żebyśmy mogli elastycznie podchodzić do potrzeb naszych klientów. Jesteśmy właścicielem tego kodu, w związku z tym w ramach tego co my i klienci uważamy za słuszne, jesteśmy w stanie tę platformę rozwijać. Nie jesteśmy zależni absolutnie od nikogo. Co więcej – jesteśmy w stanie integrować się z platformami bezpieczeństwa naszych klientów, więc te podstawowe cechy, którymi się kierowaliśmy przy opracowywaniu tego rozwiązania, zostały w ten sposób opracowane.

— Rafał Broda —
11:01
Aby spełnić wspomniane tutaj cechy, przyjęliśmy pewne założenia projektowe, które siłą rzeczy były zgodne z obecnymi standardami programistycznymi. Żyjemy obecnie w świecie DevOps-u – z jednej strony chcemy oprogramować wszystko, a z drugiej zachować zdrowo pojęty rozsądek kosztowy, więc oczywistym kierunkiem było oparcie się o architekturę x86, jej wyspecjalizowane układy scalone czy procesory. Poza podkładem, który jest standardem rynkowym, uzyskaliśmy też dodatkową wartość – jeśli oprogramowaliśmy, to możemy się też łatwo integrować z potrzebami naszych klientów. Mowa tutaj o API, czyli Aplikacyjnych Interfejsach Programistycznych. To była wartość, która została przy okazji zaspokojona. Kolejne założenie, które przyjęliśmy to trend, od którego nie da się uciec. Widzimy coraz większe wolumeny ruchu generowane w sieci internetowej, więc samo rozwiązanie musiało zapewniać pewnego rodzaju skalowalność, aby momencie dojścia do górnej granicy, usługa się nie zatrzymała. Obecnie pojedynczy klienci zamawiają u nas łącza kilkugigabitowe, choć jeszcze kilka lat temu była to domena tylko operatorów. Po kilku latach rozwoju tego produktu, możemy więc stwierdzić, że założenie było bardzo słuszne, bo tak naprawdę skalowalność rozwiązań, którą osiągnęliśmy, jest na zasadzie składania – użyję tutaj frazesu – kolejnych pudełek. Mówimy tu zarówno o punktach styku międzyoperatorskiego, jak również patrząc w kierunku klientów indywidualnych. Kolejnym założeniem było połączenie dwóch światów – z jednej strony inżynierów sieciowych, a z drugiej programistów. Oczywiście przy każdej tego typu operacji, pojawia się takie słowo jak synergia. Czasami jest to pusty frazes, jednak u nas okazało się, że nim nie jest. Już z tych kilku lat doświadczeń, które mamy przy produkcie, są pewne wartości dodane, które można powiedzieć „wytrąciły się” w procesie tworzenia produktu. Dotyczy to głównie czasów reakcji, które są bardzo szybkie i czasu uczenia się całego systemu, bo tak należy patrzeć na systemy anty-DDoS – jako na całościowy system. Kolejnym założeniem było coś, co jest standardem na rynku operatorskim, a coś czego my nawet wymagamy od naszych poddostawców, czyli możliwość multi-tenancy, co oznacza system przygotowany dla wielu odbiorców końcowych, którego założeniem jest separacja potrzeb biznesowych klientów przy jednoczesnym uwzględnieniu szczegółowych charakterystyk różnych klientów. Klienci różnią się od siebie, a chodzi o to, by system z jednej strony mógł objąć wszystkie ich potrzeby, a z drugiej strony by ich potrzeby – tudzież zasoby obliczeniowe – nie przenikały się, aby system działał niezależnie dla każdego klienta. Byłoby to rozwiązanie „szyte na miarę”. Ostatnim dużym założeniem było to, by cały system był szybki w identyfikacji.

15:23
Bezpieczeństwo systemu należy rozpatrywać w trzech aspektach: poufności, integralności i dostępności. Poufność oznacza, że potwierdzamy tożsamość osoby, z którą się komunikujemy i wiemy, że osoba, która jest na drugim końcu łącza, jest tą za którą się podaje. Druga sprawa to integralność danych, czyli zapewnienie tego, że dane nie zostają podmienione, zmodyfikowane – są oryginalne. Trzecia, najważniejsza kwestia, to dostępność, bo czymże byłaby sytuacja, w której mamy przygotowane serwery i system bazodanowy, natomiast nie mamy do niego dostępu w dowolnym momencie? Skupimy się teraz tylko na aspekcie dostępności. Podsumowując – atak DDoS, to atak nakierowany na utratę dostępności. Kiedy projektowaliśmy TAMĘ, nikt nie przewidział tego co będzie działo się obecnie w sieci, tj. o rzeczywistości covidowej, gdzie ranga dostępności urasta. Można na to patrzeć z dwóch perspektyw: perspektywy odbiorcy końcowego i perspektywy administratorów IT Security. Zauważmy, że nagle okazało się, że bardzo dużo rzeczy – w perspektywie odbiorcy końcowego – jest do załatwienia przez Internet. Wystarczy wspomnieć choćby o sprawach publicznych, systemie ePUAP, kwestii robienia zakupów online czy też pracy zdalnej. Znany dostawca systemu usług bezpieczeństwa, firma Kaspersky, w kwietniu bieżącego roku, przeprowadził badanie, z którego wyszło iż 46% respondentów nigdy nie pracowała z domu. Jeżeli dla tak wielu osób, praca zdalna okazała się kompletną nowością, to skuteczny atak DDoS mógłby tę pracę w jakiś sposób ukrócić. Jest jeszcze perspektywa administratorów IT, osób, które są odpowiedzialne za infrastrukturę. Wyobraźmy sobie, że mamy całą firmę postawioną w sposób taki, że jej współpracownicy łączą się przez tunele VPN. Proza życia – atak na koncentrator VPN-owy powoduje, że jesteśmy odcięci i nasza firma nie pracuje. Ogólnie ze statystyk rozróżniamy trzy typy ataków: wolumetryczny, czyli zapchanie „wąskiego gardła” jakim jest nasz dostęp do Internetu, aplikacyjny, gdzie jest bardzo konkretny atak na zasób serwerowy (wręcz konkretną aplikację), jak i – coraz popularniejszy – atak mieszany, czyli posiadający kilka cech ataku wolumetrycznego i aplikacyjnego. Miejmy również na uwadze, że ataki DDoS są często przykrywką do innych działań, czyli są np. powiązane z akcją phishingową. Bywają takie przypadki, że pracujemy w biurze, następuje atak DDoS i idzie oficjalny komunikat od administratorów, że przez najbliższą godzinę nie popracujemy. Ludzie idą na kawę, potem wracają do komputerów i zaczynają pracę w poczuciu utraconego czasu. W tym czasie – równie dobrze pod przykrywką tego ataku – mogło zostać wysłanych kilka maili np. z phishingiem czy próbujących ataków ransomware’owych, lub w najgorszym przypadku powodujących możliwość wycieku danych. Pamiętajmy więc, że DDoS może być często, z punktu widzenia cyberprzestępców, formą rekonesansu naszej sieci.

— Marek Makowski —
20:18
Z perspektywy cyberprzestępców, ataki DDoS to już w tej chwili bardzo dobrze rozwinięty biznes. Jeżeli przeszukamy odpowiednie fora internetowe, sieć TOR, można atak DDoS zamówić sobie jako usługę, której cena zaczyna się od dosłownie kilku dolarów za najkrótsze ataki. Ceny oczywiście idą w górę, w zależności od poziomu skomplikowania, celu czy scenariusza. Jeżeli wykorzystywana przez atakujących będzie sieć botowa, oparta o urządzenia IoT – które wiemy, że są bardzo słabo zabezpieczone i bardzo łatwo przejąć nad nimi kontrolę i zacząć wysyłać stamtąd pakiety – to atak ten będzie tańszy. Jeżeli natomiast atakujący w ramach swego wyposażenia, mają pod kontrolą serwery, do przejęcia których musiał się jednak troszeczkę bardziej natrudzić, to ten atak będzie dłuższy, a ceny różne, w zależności od celu, który ma być atakowany. Okazuje się np., że sklepy internetowe są niespecjalnie wysoko wyceniane przez cyberprzestępców, natomiast już infrastruktura rządowa, wiążąca się już z pewnym większym ryzykiem, wiąże się też z wyższymi cenami. Publikowane są wręcz benchmarki cenowe – inne ceny mogą być dla zamawiającego atak z Polski, a jeszcze inne dla kogoś ze Stanów Zjednoczonych. Istnieje nawet możliwość wykupienia abonamentu miesięcznego za usługę czy też skorzystania z promocji w Black Friday. Jest to więc bardzo dobrze rozwinięty biznes. Ataki DDoS – o czym już wspomniał Rafał – nierzadko bywają przykrywką dla innych działań właściwych. Skoro działanie właściwe można wykonać samemu, czemu więc tej prostszej roboty (ataku DDoS) nie zlecić komuś na zewnątrz? Oczywiście można to zrobić. Powody działania są naprawdę różne. Z raportu firmy Netscout, widzimy działania marketingowe, że żeby coś się dobrze sprzedawało, trzeba pokazać, że jest się dobrym i skutecznym w tym działaniu. Również cyberprzestępcy lubią pokazać, że są dobrzy i skuteczni. Oczywiście wchodzą w to wszelkiego rodzaju wymuszenia i haracze (np. zapłacenie 5 Bitcoinów aby ataki na sieć ustały). Zwykły wandalizm też przewija się przez te statystyki i widać działania na szkodę konkurencji.

— Rafał Broda —
24:39
Dysponujemy najświeższymi statystykami, do jakich udało się dotrzeć, czyli z kwietnia bieżącego roku. Dane te są akurat globalne, ale pokazują pewną tendencję i prawdę powiedziawszy, można je bardzo dobrze odnieść do polskich realiów, przy czym wartości i prędkości ataków są u nas oczywiście mniejsze. Warto jeszcze wspomnieć o jednej kwestii, czyli dwuwymiarowości ataków. Jak możemy zauważyć w lewym dolnym rogu slajdu (25:00), gigabity i terabity na sekundę, są już standardem na tym wykresie. Na początku kwietnia został odnotowany taki atak i to jest jeden wymiar. Drugi wymiar natomiast, którym równie dobrze możemy zakłócić działalność i ograniczyć dostępność, to jest prędkość ataków liczona w pakietach 'per second’ i tu wartości, które się przewijają to nawet 300 Mbps. Są to oczywiście statyki światowe i dla naszego kraju są one odpowiednio niższe, niemniej jednak tendencja rosnąca jest również zauważalna. Bardzo ciekawą rzeczą, o której będziemy jeszcze często wspominać, to długość ataku. Jeśliby tak spojrzeć z ręką na sercu na te ataki, zwróćmy uwagę, że jeśli ograniczymy się do ataków, które mogą trwać więcej niż godzinę, to tak naprawdę zawężamy sobie spektrum ataków do jakichś 8%. Ponad 90% ataków trwa krócej niż godzinę. Dla Polski ta przewaga jest jeszcze większa, ponieważ ataki, które trwają powyżej godziny występują bardzo rzadko. Warto o tym pamiętać, bo taka jest charakterystyka dzisiejszych ataków. Kolejny wykres pokazuje jak ataki DDoS współpracują z obecną pandemią COVID-19. Możemy na nim zauważyć m.in. niemal dwukrotny wzrost liczby ataków w pierwszym kwartale tego roku w stosunku do czwartego kwartału 2019. Nie mamy jeszcze statystyk za obecny kwartał – bo jesteśmy w jego trakcie – ale można się domyślać, że te skoki będą również spore.

— Marek Makowski —
27:43
Jak już wcześniej wspomniałem, ataki DDoS z punktu widzenia atakujących są świetnie rozwiniętym biznesem. Cyberprzestępcy doskonale zdają sobie sprawę z tego, że wiele branż pracuje najintensywniej w poniedziałek. Nie inaczej jest z atakującymi – największy udział procentowy ataków, przypada właśnie na ten dzień tygodnia. Charakterystyka samych ataków? Wykorzystywane są skutecznie, podatności związane z wykorzystywanymi najczęściej protokołami transmisyjnymi, flagi synchronizacyjne TCP odgrywają bardzo dużą rolę. Zalewając łącze są one w stanie spełnić swoją rolę blokując zasoby po stronie urządzeń, które komunikację mają przeprowadzać. Ponad 90% ataków odbywa się w ten sposób. Jeśli zaś chodzi o to kto atakuje i kto kontroluje, to także dysponujemy informacjami ze świata. Jeśli chodzi o sieci botnetowe, to najwięcej urządzeń generujących ten ruch pochodzi z Brazylii, zaś na drugim miejscu są Chiny. Tymi którzy najczęściej kontrolują, są Stany Zjednoczone – stamtąd pochodzi też najwięcej komunikacji typu command & control. Jeśli chodzi o nasze spostrzeżenia to w Polsce ten ruch niechciany, pochodzi najczęściej od naszych sąsiadów, Rosji i Niemiec. Kraje te najczęściej przeprowadzają tego typu ataki na terytorium Polski. To co według nas jest jeszcze bardzo istotne, to informacje przedstawione w raporcie firmy Kaspersky, które pokazują, że na zasoby edukacyjne i oficjalne strony internetowe miast, został odnotowany trzykrotny wzrost ataków. Ataki te stanowiły 19% incydentów w pierwszym kwartale 2020 roku, co na pewno trzeba wziąć pod uwagę przy zabezpieczaniu swojej sieci.

— Rafał Broda —
32:06
Jeżeli chodzi o narzędzia wybierane do obrony, to jest bardzo ciekawa statystyka firmy Netscout – dostawcę systemów bezpieczeństwa – która pokazuje, że wzrasta świadomość tego, że wyspecjalizowane systemy anty- DDoS (nazywane czasami wielowarstwowymi) są istotne. Narzędzia wybierane do obrony przez klientów/odbiorców końcowych, bazują na tym co mamy, czyli: firewall nowej generacji, tudzież staramy się robić to z pomocą takich duetów jak firewall i system inspekcji. Podsumowując: okazuje się, że przy dobrze zaplanowanym ataku (tudzież dużym ataku), tak naprawdę dobrze, że te urządzenia o których mówimy są oprogramowane, że mamy wielowarstwowy poziom. Jeżeli natomiast dochodzi już do poważnego ataku, to bez współpracy z operatorem, naszym dostawcą internetowym, nie jesteśmy sobie w stanie poradzić. Coraz częściej są zauważalne tendencje, że rośnie świadomość tego, iż systemy anty-DDos muszą być uwzględniane przy planowaniu dostępu do Internetu, natomiast sama praktyka pokazuje też, że dalej istnieją próby szycia na miarę tymi urządzeniami/systemami, które mamy. Mają one jednak dwa aspekty, których nie damy rady obejść. Pierwszy, to skuteczny atak DDoS na całkowitą przepustowość – urządzenie te, które mamy na brzegu naszej sieci, nie będzie miało szansy się wykazać, bo zostanie sparaliżowany cały dostęp. Drugi i najważniejszy aspekt – te urządzenia wymagają obsługi przez osoby, które wiedzą do czego to jest w stanie służyć. Kadra IT i Security musi być poszerzana, a z tego co widzimy u naszych klientów, jest to trudne choćby z racji budżetowania, bo jak uzasadnić racjonalnie wydatek na osobę, która miałaby się zajmować ochroną przed atakami DDoS, które występują raz na jakiś czas i są nieprzewidywalne? Jest to trudne i dlatego sensowną odpowiedzią wydaje nam się usługa „as a service”, którą można wykupić u operatora i scedować całe zarządzanie, proces ochrony – przynajmniej tym wycinkiem naszej infrastruktury – na naszego dostawcę.

— Marek Makowski —
34:56
Dodatkowo wiemy jeszcze, że operator posiada jednak troszeczkę inne przepustowości w ramach swojej sieci. Klient może wykupić łącze nawet jedno czy dziesięciogigowe, natomiast wiadomo, że szkielet operatorski jest zbudowany jednak na większych przepustowościach nx10 gbs, nx100 gbs, w zależności od potrzeb, i gdy mamy taki atak na wiele dziesiątków gbs czy setek gbs, to operator jednak jest w stanie w ramach swojej infrastruktury ów atak odeprzeć skuteczniej, niż gdy ten atak dojdzie do „wąskiego gardła”, jakim jest łącze dostępowe konkretnego klienta. Nasze operatorskie rozwiązanie TAMA, monitoruje przy wykorzystaniu netflow ruch wchodzący do naszej sieci we wszystkich punktach wymiany ruchu z innymi operatorami. Śledzimy ruch i jeżeli on skierowany do danego adresu IP, który spełnia pewne założenia czy sygnatury lub przekracza jakieś progi, które wskazują na to, że jest to prowadzony atak, to jesteśmy w stanie uruchomić działania mitygacyjne na swojej sieci i odeprzeć ten atak w sposób skuteczny w ramach ustalonego z klientem scenariusza reakcji. Jest to rozwiązanie oparte o architekturę rozproszoną, także ta skuteczność działania jest zdecydowanie większa. Poza tym nawet jeżeli jakaś jednostka jest czymś zajęta i nie jest w stanie już wydajnościowo sobie poradzić, to spokojnie możemy ten ruch przekierować do innej jednostki i w dalszym ciągu atak bardzo skutecznie odpierać.

— Rafał Broda —
37:25
Wspominaliśmy wcześniej o patrzeniu na potrzeby specyficznych klientów i naszą odpowiedzią są pakiety tych usług. Pierwszy pakiet to standardowa, w pełni automatyczna ochrona. W kolejnym, zaawansowanym już pakiecie, dostajemy ludzi w postaci naszych analityków i większą ilość obiektów do ochrony. Obiekty, w naszym rozumieniu, to bardzo głęboki poziom granulacji, bo jako obiekt potrafimy traktować całą klasę C, jak i pojedynczy adres IP. Pakiet premium natomiast, jest już bardzo wysublimowaną i dopasowaną ofertą i na palcach jednej ręki możemy policzyć klientów, których obsługujemy w tym modelu. Oferta, którą szczególnie jednak chcieliśmy zwrócić Państwa uwagę, a której nie znajdą Państwo w oficjalnym komunikacie, jest Anty-DDoS Basic. Pakiet ten jest w pełni automatyczny i polega na blokowaniu całego ruchu kierowanego do atakowanego adresu IP. To nie jest dodatkowy system – jest to część naszej TAMY, te same zasoby obliczeniowe, ta sama analityka i podpięty machine learning. Usługa charakteryzuje się tym, że polega na ciągłej analizie. W przypadku wykrycia ataku i przekroczenia ustalonych wcześniej statycznie progów (które mogą być później modyfikowane), dany adres jest blokowany. W zakresie tej usługi dajemy możliwość skorzystania z do trzech prefiksów IP, trzech obiektów. Dodatkowo na koniec miesiąca, przy wykupieniu usługi Anty-DDoS Basic, otrzymują Państwo raport z alarmami i mitygacjami.

— Marek Makowski —
41:03
Warto jeszcze zaznaczyć, że sam projekt rozwojowy został już zakończony. Działaliśmy tutaj we współpracy z NCBR. W dalszym ciągu skutecznie rozwijamy ten system, a prace rozwojowe – z uwzględnieniem dużego poziomu szczegółowości – mamy zaplanowane na najbliższe półtora roku. W każdym razie ciągle analizujemy potrzeby klientów na naszym rynku i cały czas będziemy szli w stronę tego, by dostosować tę platformę do specyfiki naszej i naszych klientów, po to by nie koncentrować się na takich funkcjonalnościach, które są rzadko wykorzystywane, a faktycznie na tym co jest najbardziej potrzebne, by mechanizmy były jak najbardziej skuteczne i chroniły zarówno nas, jak i naszych klientów. Nasza sieć się nieustannie rozwija i dokładamy do niej jednostki czyszczące, tak by cały czas był zachowany wysoki poziom bezpieczeństwa.

— Pytania —

44:40
„Czy wszystkie pakiety poza TAMA Basic Blackhole, blokują ruch do danego hosta do warstwy czwartej protokołu importu?”
Nie blokują, tylko czyszczą, czyli w przypadku blackholingu mamy do czynienia faktycznie z blokowaniem całości komunikacji żeby bronić daną sieć, żeby wszystkie pozostałe adresacje IP mogły być wykorzystywane zgodnie z przeznaczeniem. W przypadku trzech pozostałych faktycznie przepuszczamy ruch przez jednostkę czyszczącą, zwaną u nas Glados i ten ruch zostaje odfiltrowany. Natomiast w tym przypadku faktycznie poruszamy się w swojej detekcji i mitygacji do poziomu warstwy czwartej.

45:51
„Jak szybko system radzi sobie od momentu ataku do jego mitygacji?”
Atak przede wszystkim musi zostać wykryty, czyli trochę tego czasu upływa. W oficjalnym SLA podajemy czas pięciu minut od momentu wykrycia ataku do momentu rozpoczęcia mitygacji. Średni czas oscyluje więc w okolicach dwóch minut.

46:30
„Czy przepuszczanie przez Państwa ruchu przez scrubbing center, wiąże się z jakimiś opóźnieniami?”
Musi się to wiązać z dodatkowymi opóźnieniami, ponieważ ten ruch jest inaczej pokierowany w naszej sieci. Siłą rzeczy sieć operatorska jest niemała, także tutaj protokoły routingu decydują, żeby ta ścieżka była oczywiście pomiędzy wejściem na punkcie styku do samego klienta jak najkrótsza, że możemy przekierować ten ruch przez scrubbing center to opóźnienia faktycznie się pojawiają. Sama jednostka czyszcząca wprowadza opóźnienie poniżej jednej milisekundy no i kolejne dwie milisekundy trzeba dodać na ewentualne dodatkowe hopy w ramach sieci. Rafał Broda, Kierownik Projektu, EXATEL S.A. Marek Makowski, Kierownik ds. Produktu, EXATEL S.A.