«Золота» середина при побудові захисту від DDoS-атак

18.05.2021 13

Розподілені атаки, спрямовані на відмову в обслуговуванні (Distributed Denial-Of-Service) набирають обертів: згідно з дослідженнями аналітиків Arbor Networks, в 2016 році понад третини компаній щомісяця піддавалися атакам. При цьому експерти прогнозують, що в майбутньому будь-яка компанія, що має свій майданчик в Інтернеті, буде піддаватися DDoS-атакам як мінімум кілька разів на рік.

Вартість проведення атаки обійдеться зловмисникам від декількох сотень до декількох тисяч доларів за один день, проте збиток від атак, як правило, виявляється на порядок більше. Як оцінюються ці втрати? Перш за все, компанія не має можливості здійснювати основну діяльність: не працює основний сайт, call-центр, системи ДБО (для банку), відсутній доступ до критичної бізнес-інформації. Все це призводить до втраченого прибутку і контрактами, а також вимагає додаткових витрат, пов’язані з витратами на розслідування атаки, усунення її наслідків і залучення консультантів по ІБ. Також DDoS-атака загрожує втратою довіри клієнтів, причому половина респондентів вважають, що це найгірше, що може трапитися.

ддос

Вищенаведені дані підтверджує спільне дослідження Kaspersky Lab і B2B International, проведене на початку цього року. Згідно з результатами, успішна DDoS-атака на онлайн-ресурс компанії тягне за собою збитки в середньому від 52 тисяч до 444 тисяч доларів, в залежності від розміру компанії. У суму збитку від DDoS-атаки входять репутаційні втрати і витрати, викликані недоступністю публічного онлайн-ресурсу для партнерів і клієнтів, а також витрати на усунення
ддоспоследствій інциденту. Наприклад, 65% компаній були змушені скористатися послугами консультантів з інформаційної безпеки, 49% оплачували роботи зі зміни власної IT-інфраструктури, 46% зверталися до юристів, а 41% – до консультантів з ризик-менеджменту. І це тільки найпоширеніші статті витрат.

Подібні загрози призводять до швидкого зростання ринку рішень для захисту від DDoS-атак. У компанії IDC стверджують, що за підсумками 2015 року цей ринок в глобальному масштабі складе 657,9 млн доларів, а до 2018 року збільшиться до 944,4 млн.

Анатомія DDoS-атак

Як правило, DDoS-атаки націлені на додатки або мережеву інфраструктуру компанії з метою ускладнення доступу до ресурсів / додатки або повного запобігання доступу до них. Типовими жертвами даних атак є інтернет-майданчики, банки і страхові компанії, ЗМІ, держустанови, сайти ігрових спільнот.

Згідно з дослідженнями Arbor Networks, найчастіше хакери атакують HTTP-сервіси, далі йдуть DNS-, HTTPS-, SMTP-, SIP / VoIP-сервіси та інші. З технологічної точки зору DDoS можна розділити на три основні категорії: TCP State-Exhausting, Volumetric і Application Layer.

Атаки TCP State-Exhausting націлені на традиційну структуру мережевої безпеки – пристрої зв’язку з контролем станів (load balancers, firewalls, application servers).

Друга категорія – атаки класу Volumetric – спрямовані на те, щоб перевантажити канал зв’язку, що надається оператором зв’язку.

У свою чергу атаки рівня додатки (Application Layer Attacks) беруть під приціл определѐнние уразливості ПО. В процесі нападу зловмисники здійснюють повільні малопотужні атаки, які виводять з ладу веб-сервери (ці атаки також називаються low-and-slow). Як правило, вони здійснюються із застосуванням невеликих об’ємів трафіку. Атаки на рівні додатків генерують постійні звернення до ресурсів підприємства – наприклад, до веб-сайтам, веб-додатків, серверів і т.д. В результаті застосування значно уповільнюють або зовсім зупиняють свою роботу.

Для виконання DDoS-атак зловмисники попередньо заражають і беруть під контроль будь-які підключені до інтернету пристрою: ПК, планшети, мобільні телефони і т. Д. Всі ці пристрої стають частиною ботнету, який потім використовуються для проведення DDoS-атак. Перші ботнети сформувалися більш десяти років тому в середовищі комп’ютерних гравців, на базі ресурсів ігрової індустрії і сайтів електронної торгівлі. Протягом кількох наступних років активність DDoS-атак поступово росла, а 2012 року її почала зростати лавиноподібно, причому саме на 2012 рік припало найбільше число руйнівних DDoS-атак. Ігрова індустрія досі залишається привабливим об’єктом для нападів. У той же час за останні кілька років сфера застосування DDoS-атак помітно розширилася і тепер включає в себе фінансовий, урядовий, технологічний сектори, а також сферу розваг в цілому.

В останні роки DDoS-атаки стали помітно витонченішими, в той же час для кінцевого споживачам вони тепер значно легше в реалізації. Наприклад, тепер зловмисники мають можливість орендувати ботнети через інтернет за невелику суму, скориставшись послугами підрядників для управління атакою. При цьому для успішної реалізації DDoS-атаки не потрібні особливі знання.

Експерти відзначають, що багато DDoS-атаки демонструють постійна зміна тактик, і це наштовхує на думку, що більшість таких атак – лише розвідка боєм. Тим самим кіберзлочинці намагаються знайти слабке місце в захисті організації. Крім того, DDoS-атаки часто служать відволікаючим маневром від інших, більш агресивних дій хакерів. Наприклад, паралельно може здійснюватися непомітне впровадження шкідливого ПО через зовсім інші інтернет-ресурси організації.

Рецепти протидії

Для захисту від DDoS-атак зазвичай використовуються брандмауери і системи IDS / IPS. Однак вони знаходяться безпосередньо перед ресурсом, який підлягає захисту, і не можуть протидіяти атакам на переповнення каналу зв’язку. У певних випадках може допомогти правильна настройка системи, однак це працює тільки в разі невеликих і погано підготовлених атак.

З боку провайдерів може застосовуватися маршрутизація в «чорні діри», вона полягає в перенаправлення трафіку, на який здійснюється атака. Проблема в тому, що разом з ним перенаправляються і легальні запити. Таким чином, кіберзлочинці все ж досягають своєї мети, оскільки ресурс стає недоступним для користувачів.

Щодо ефективним є багаторазове резервування ресурсів, однак це вкрай дорогий спосіб, а тому недоступний для більшості організацій.

Варто відзначити, що ІТ-відділи компаній не завжди можуть сказати, хто атакував і які атаки були зафіксовані протягом певного періоду часу. Іноді ІТ-фахівці зауважували, що стали жертвою вдалої DDoS-атаки тільки через 2-3 діб. Бувало, що негативні наслідки атаки (флуд-атаки) виливалися в зайві витрати на оплату надлишкового Internet-трафіку, що з’ясовувалося лише при отриманні рахунку від інтернет-провайдера.

Дослідження говорять, що в 21% випадків компанії дізнаються про атаку після скарг користувачів, які намагаються отримати доступ до послуг. Ще 14% фахівців реєструють такого роду активність кіберзлочинців за перебоїв в роботі власної інфраструктури. І такий же відсоток опитаних зазначив збій корпоративних інтернет-додатків. Але визначити, чи була дана атака проведена зловмисником, або відмова в обслуговуванні був наслідком нештатного події, вони не можуть.

Подвійний удар

Наш досвід свідчить про те, що найбільш оптимально використовувати гібридний підхід для протидії DDoS-атакам, коли захист встановлена як на стороні клієнта, так і на стороні провайдера. Погляньмо на цей підхід більш докладно.

Щоб вирішити проблему переповнення каналу, необхідно використовувати захисні системи на стороні провайдера. Оскільки у останнього набагато ширша смуга пропускання вхідного каналу, переповнити його канал набагато важче. Технологія очищення трафіку на стороні провайдера складається з двох етапів: спочатку рішення аналізує трафік (по BGP / flow / SNMP / NetFlow / sFlow, etc.) з різних ділянок мережі провайдера – з кордону, опорної мережі, мережі агрегації. У разі детектування атаки заражений трафік відправляється в центр очищення, де проходить через цілий ряд різних систем. Уже чистий трафік відправляється далі до клієнта. Послуга може надаватися на базі регулярної абонентської плати або в режимі «швидкої допомоги», коли замовник звертається до провайдера послуги при детектуванні атаки на свої сервери.

Однак є одна складність: необхідно знайти провайдера, який надає послугу захисту від DDOS-атак. Крім того, в подальшому у клієнта з’являється залежність від одного провайдера.

Останнім часом, через появу атак, націлених на веб-сервери, виникає необхідність в захисті на «останньої милі», тобто на стороні замовника. В результаті аналізуються всі проходять пакети і можуть детектуватиметься всі можливі DDoS-атаки. Подібні атаки складно виявити на стороні провайдера через їх малої потужності.

В рамках такого захисту на стороні клієнта встановлюється програмно-апаратний комплекс для фільтрації DDOS-атак в його інфраструктурі, наприклад, від Arbor або Fortinet. Такі рішення компанії доведеться адмініструвати своїми силами, що потребують витрат на утримання та навчання додаткового персоналу.

Тому ми вважаємо що на сьогоднішній день оптимальним рішенням щодо захисту від DDoS є підхід, яких поєднує в собі наступне: очищення на рівні провайдера для відсікання лавиноподібних атак і рішення для захисту на стороні кінцевого замовника.