Martin Hořický
Partner • Digital Services
Simulace útoků typu DoS (Denial of Service) a DDoS (Distributed Denial of Service) je zásadní pro ověření, zda jsou kritické systémy organizace schopny odolat přetížení a zůstat funkční i pod tlakem. Tyto testy odhalují slabiny v oblasti síťové infrastruktury, aplikačních služeb i schopnosti reagovat na incidenty.
Přínosy simulace DoS/DDoS útoků:
- Ověření kapacit síťové a aplikační infrastruktury.
- Identifikace úzkých míst (bottlenecků) a nedostatečných ochranných mechanismů.
- Testování schopnosti detekce, mitigace a reakce v reálném čase.
- Validace konfigurací firewallů, WAF, CDN a anti-DDoS řešení.
- Plnění regulatorních požadavků (např. DORA, NIS2).
Hlavní cíle DoS a DDoS testování
- Simulace útoků s cílem přetížit kritické systémy a zjistit jejich mezní výkon.
- Ověření funkčnosti mitigací na síťové i aplikační vrstvě.
- Testování procesů incident response a spolupráce IT/SOC týmů.
- Identifikace zranitelností na vstupních bodech systémů.
- Zhodnocení robustnosti služeb poskytovaných třetími stranami (např. DNS, CDN, cloud hosting).
Typické útoky a rozdíly mezi DoS a DDoS
| Název útoku | Typ | Kategorie | Popis |
|---|---|---|---|
| SYN Flood | DoS/DDoS | Volumetrický | Zaplavení serveru TCP požadavky |
| HTTP GET/POST Flood | DDoS | Aplikační | Vysoký počet legitimních požadavků z mnoha klientů |
| ICMP Flood | DoS/DDoS | Volumetrický | Zaplavení serveru ICMP požadavky |
| Slowloris | DoS | Logický | Udržení HTTP spojení neúplnými hlavičkami |
Jak testování probíhá v praxi?
Přípravná fáze
Definování rozsahu testu, identifikace kritických systémů, získání souhlasů (např. od provozovatelů cloudových služeb).
Simulace útoků
Provádění řízených DoS/DDoS scénářů s různými vektory – např. SYN flood, HTTP flood, UDP flood, Slowloris, …
Monitoring a sběr metrik
Zaznamenání výkonnostních a stavových údajů o cílových systémech, přehled dopadu na SLA.
Analýza a reporting
Vyhodnocení účinnosti obrany, sepsání zjištění a návrhu opatření.
Retestování (volitelné)
Ověření nápravných opatření a zvýšení odolnosti po jejich implementaci.
Jaké jsou požadavky na testovací týmy?
- Odborná způsobilost v oblasti síťové bezpečnosti a traffic engineeringu.
- Zkušenosti s anti-DDoS technologiemi jako Cloudflare, Arbor, Radware, Akamai.
- DORA neukládá konkrétní certifikace, ale vyžaduje prokázat odpovídající odbornost týmu.
- Nezávislost a důvěryhodnost – interní tým musí být oddělen od provozu, externí subjekt musí doložit pojistné krytí a mlčenlivost.
- Znalost právních aspektů – důraz na povolení, dohled a zákonné mantinely testu.
Jaké požadavky stanovuje DORA v souvislosti s DoS/DDoS testováním?
01
Provádět výkonnostní a zátěžové testy kritických systémů (např. simulace DoS/DDoS), zejména u služeb kritických pro stabilitu a kontinuitu provozu.
02
Podle potřeby zahrnout scénářové testy (včetně zátěžových/DoS) a koordinaci s relevantními třetími stranami, pokud to odpovídá povaze služeb. Zapojit kvalifikované a nezávislé testovací týmy s prokazatelnou praxí v oblasti DoS/DDoS.
03
DORA neukládá konkrétní certifikace, ale vyžaduje odpovídající odbornost testovacího týmu.
04
Zajistit dokumentaci výsledků, návrh nápravných opatření a provést případné retestování.
05
Integrovat zjištění do širší strategie kybernetické odolnosti a připravenosti na incidenty.
06
Zajistit nezávislost testovacího týmu na vývojovém týmu, provozním IT oddělení a dodavatelích infrastruktury.
Proč spolupracovat s BDO?
BDO poskytuje simulace DoS/DDoS útoků jako součást celkové strategie testování kybernetické odolnosti v souladu s evropskou regulací DORA či NIS2 a osvědčenými standardy ISO 27001 či OWASP.
01 Technická odbornost a zkušenosti
Náš tým disponuje specializovanými znalostmi v oblasti síťových útoků, testování infrastruktury a konfigurace anti-DDoS obrany. Máme zkušenosti s testováním i největších finančních subjektů a provozovatelů cloudových platforem.
02 Znalost regulatorního rámce
Rozumíme požadavkům DORA a umíme testy přizpůsobit tak, aby výstupy byly využitelné při dohledu i auditu. Pomáháme nastavit testovací strategii a zajišťujeme její soulady s ostatními typy testování (TLPT, penetrační testy)
03 Nezávislost a důvěryhodnost
Jako nezávislá poradenská společnost nabízíme objektivní a důvěryhodné výsledky. Naše práce je signálem kvality pro regulátory i interní vedení klienta.
04 Certifikovaný tým s expertní praxí
Naši specialisté vlastní certifikace OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
