Атаки типа «отказ в обслуживании» (Denial of Service, DoS) и особенно их распределенные разновидности (Distributed DoS, DDoS) знакомы сегодня многим. Основные причины возникновения таких атак вполне понятны: действия конкурентов —
с целью сделать недоступными сайты «противников»; мошенничество — в этом случае целью является получение доступа к компьютеру и блокировка системы, а также «прикрытие» для других злонамеренных действий; иногда это своеобразное развлечение или тренировочная «база» начинающих хакеров.
Чаще всего такие атаки применяются, если необходимо вызвать сбой в обслуживании хорошо защищенной компании или правительственной организации. Однако нападению такого рода нередко подвергаются и небольшие компании. Какими возможностями защиты от таких атак они обладают?
Под ударом
Большая часть сотрудников организаций, чья работа непосредственно связана с Интернетом, представляют себе в общих чертах схему реализации атак DDoS. Такие атаки выполняются с помощью зараженных специальными троянскими программами компьютеров, которые называют «компьютерами-зомби». В ходе DDoS-атаки множество специальных запросов направляется на атакуемый веб-ресурс с помощью сети зараженных компьютеров (ботнеты или зомби-сети), в результате чего доступ к ресурсу для реальных пользователей блокируется. В период DDoS-атаки зачастую происходят попытки взлома систем защиты конфиденциальной информации, вследствие чего пароли, ключи, ЭЦП, персональные данные клиентов и другая закрытая корпоративная информация становятся доступными злоумышленникам.
Популярность и сложность DDoS-атак растут, появляются все новые типы и способы их организации. Злоумышленники атакуют либо канал связи, либо ресурсы сервера или оборудования на пути к сервису, а вариаций на эти основные темы может быть множество. Чаще всего атаки реализуются не в «чистом» виде, а в смешанном: злоумышленники сочетают различные технологии для достижения цели.
Растет не только популярность атак, но также их мощность и продолжительность. По данным аналитиков «Лаборатории Касперского», во второй половине 2012 года средняя мощность атаки составляла 34 Мбит/с, а в начале 2013 года планка поднялась до 2,3 Гбит/с. При этом максимальная мощность атак во втором полугодии доходила до 60 Гбит/с «благодаря» набирающим в 2013 году популярность атакам типа DNS Amplification. Продолжительность атак в Рунете также выросла в два раза и более, достигая порой двух десятков часов.
Как хорошо уметь считать
Угроза сетевых атак актуальна для всех компаний, чья деятельность связана с присутствием в Интернете. Чаще всего нападениям подвергаются интернет-магазины, системы классов «клиент-банк», «интернет-банк», виртуальные туристические площадки и корпоративные веб-cайты.
Защитой от подобных атак в крупных организациях занимаются отделы ИБ. В организациях небольшого размера (не более 150 сотрудников), как правило, нет специалистов, способных обеспечить защиту от DDoS. Что же им следует предпринять в условиях растущей угрозы, как обезопасить себя?
Главное, советуют эксперты, — правильно оценить риски. Основная задача, по мнению специалистов, — понять, какие сервисы критичны для компании. Ведь фактически атаковать можно все: и веб-сайт, и FTP-сервис, и точку входа VPN, и т. д.
Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch, подчеркивает, что важно не только определить критичные сервисы, но и посчитать (в деньгах) возможные потери от их недоступности, оценить критичное время для восстановления. Затем, по его мнению, необходимо провести анализ существующей ИТ-инфраструктуры, оценить состояние информационной безопасности. По результатам данной работы спланировать и реализовать необходимые меры по совершенствованию системы безопасности. Завершающим этапом должны стать формирование стратегии и плана реагирования на инциденты, связанные с DDoS, обучение персонала и заключение необходимых договоров с внешними организациями.
Алексей Тюрин, директор департамента аудита защищенности компании Digital Security, уверен, что начать построение грамотной обороны от DDoS в небольшой компании необходимо с того, чтобы «выжать» максимум из имеющегося оборудования и ПО. Он считает, что большое внимание стоит уделить корректной настройке сетевого оборудования и веб-сервисов, наличию необходимых обновлений. Затем силами своих ИТ-специалистов можно провести тестирование на нагрузку или на DDoS-атаки, чтобы выявить слабые места и продумать их возможное усиление. Например, добавить дополнительные серверы или каналы связи, внедрить балансировку нагрузки. Также желательно установить хоть какую-то систему мониторинга своих сервисов, которая позволит не только быстро выявить атаку, определить ее тип и источник, но и оценить, можно ли защититься от нее своими силами.
Если по итогам таких внутренних работ выяснится, что риски для бизнеса слишком высоки, но при этом квалифицированных сотрудников приглашать в штат очень невыгодно, Владимир Рындин, инженер-проектировщик компании «Газинформсервис», рекомендует прибегнуть к аутсорсингу. Пока что цены на защиту от DDoS-атак, будь то непосредственно поставщик услуг Интернета или внешний провайдер, достаточно демократичны. В среднем они начинаются от 200–250 долл. в месяц и обеспечивают защиту от атаки силой в 2–5 Гбит/c. Рындин считает, что необязательно заключать договор на защиту от DDoS на постоянной основе, так как поставщики таких услуг готовы «отвести» атаку в тот момент, когда она уже началась. Такой вариант обойдется дешевле, но и скорость реагирования окажется на порядок меньше, чем в условиях постоянного мониторинга и мгновенного реагирования.
Справедливости ради стоит отметить, что ценовые предложения по защите в варианте «лайт» неприемлемы, если речь идет о виртуальном сервисе продажи билетов на самолеты и поезда или о бизнесе туроператора, построенном на продаже «горячих» туров. Компаниям, блокирование работы сайта которых даже на полчаса грозит многотысячными убытками, необходимо обезопасить себя, заключив договор с провайдерами услуг связи, предлагающими качественную многоуровневую защиту от DDoS-атак. Их предложения вполне гибки и масштабируемы, поэтому и на этом этапе можно при желании сэкономить деньги, исключив избыточные опции.
Алексей Афанасьев, руководитель проекта Kaspersky DDoS «Лаборатории Касперского», считает, что компаниям, ведущим свой бизнес в Интернете, может помочь наличие независимой от провайдера сети, подключение своего веб-ресурса к нескольким провайдерам с каналами свыше 10 Гбайт и наличие квалифицированных специалистов и высококачественного оборудования по фильтрации мощных атак. Основная сложность состоит в том, что пограничное оборудование многих провайдеров таких функций просто не имеет, поэтому их компаниям-клиентам они недоступны.
А у вас есть план?
В любом случае компания, предоставляющая услуги через Интернет, должна быть постоянно начеку — ей необходимо иметь четкий план действий на случай DDoS-атаки. По мнению Алексея Волкова, начальника отдела эксплуатации средств защиты информации управления по защите информации компании «Северсталь», «при малейшем подозрении на DDoS необходим переход на «ручное управление»: нужно организовать ведение хронологии всех событий и шагов, происходящих и предпринимаемых во время атаки». По его словам, это очень поможет для оперативного получения выводов и принятия мер по снижению рисков от атак. Необходимо оповестить провайдеров, чтобы те активировали входные фильтры, это позволит блокировать «мусорный» трафик в тех точках, где он входит в сеть провайдера. Пока это лучший способ снизить мощь массированной DDoS-атаки и, возможно, быстро ее остановить. Волков подчеркивает также, что «для снижения репутационных рисков следует обеспечить обратную связь с пользователями, организовать оповещение по ситуации, после инцидента довести информацию о причинах простоя сервиса (осуществить почтовую рассылку с извинениями за перерыв в работе сервиса, разместить материал на портале, на общедоступной доске объявлений в офисе)».
В ближайшее время специалисты прогнозируют значительный рост и усложнение таких атак. Эксперты международной антивирусной компании Eset не сомневаются, что в нынешнем году еще шире развернутся киберактивисты, чаще DDoS-атаки будут являть собой форму протеста. Атакам будут подвергаться правительственные порталы, проправительственные СМИ и корпорации. Безусловно, в наступившем году также резко возрастет число атак в отношении площадок купли-продажи биткоинов.
Также следует учитывать то, что наметился активный рост атак DrDoS (Distributed reflection Denial of Service) — 256% за год по статистике Prolexic Technologies, а компания Black Lotus в декабре 2013 года зафиксировала аномальный рост вредоносного NTP-трафика. 2 января 2014 года NIST обозначил эту уязвимость CVE-2013-5211, а за первую неделю января средняя величина NTP-атак на серверы онлайн-игр составила 7,3 Гбит/с (по данным Black Lotus).
Поскольку DDoS-атаки сегодня предоставляют злоумышленникам широкие возможности для получения прибыли, активность их будет только усиливаться. И не стоит думать, что ваша компания не представляет интереса для хакеров, если она не ведет активные продажи через Интернет. Любой сайт может стать мишенью для DDoS-атаки хотя бы потому, что злоумышленникам нужно постоянно оттачивать свое мастерство. Что радует, защититься от DDoS-атак сегодня можно, даже не располагая большими ресурсами в области ИБ. Главное — осознать, что этот риск реален, и найти возможности для его минимизации.