Распределенные DDoS-атаки типа «отказ в обслуживании» в последнее время являются одними из трендовых. В зоне риска оказываются те организации и компании, которые по своему роду деятельности так или иначе связаны работают онлайн, используя каналы связи, веб-ресурсы и т.д: СМИ, ритейл, госорганы, банки, телеком-провайдеры.
Ландшафт угроз
В последнее время было предпринято очень много громких атак. Еще больше — тех, сам факт которых предпочли замолчать. По целям атак можно выделить несколько трендов.
- Атаки на бизнес с целью нанесения финансового ущерба, в результате которых компании несут как финансовые, так и репутационные потери.
- Хактивизм – цифровое выражение социально-политического протеста. В настоящее время инструменты для атак легко распространяются через соцсети. Злоумышленники развили даже опцию «взлом как сервис».
Эти тренды вряд ли можно считать новыми, но их основная угроза — все возрастающая массовость и изощренность, — принимает уже катастрофические масштабы.
Основные задачи при борьбе с DDoS-атаками
- Обеспечение доступности ресурса.
- Снижение количества автоматизированной вредоносной активности (ботов), которые пытаются обратиться к ресурсу.
Из последних изменений можно выделить снижение критичности доступа к ресурсу из других регионов мира. Для государственного и финансового секторов стала популярна возможность блокировать те или иные зоны по GEO IP.
Состав современных сервисов по защите от DDoS
Посмотрим на типовой состав современных сервисов по защите от DDoS. Здесь наиболее наглядно показаны уровни зрелости сервиса и типы атак.
На первом уровне необходимы лишь средства борьбы с сетевыми атаками.
Следующим этапом развития сервисов являются инструменты блокировки прикладных атак, в том числе с элементами машинного обучения. Они позволяют бороться с HTTP-флудом и медленными атаками.
Что должен включать современный сервис по защите от DDoS?
- Защита не только от сетевых атак L3 и L4, но и от L7.
- Включение сервиса ускоренно — от десятков минут до нескольких часов. Это бывает очень актуально, когда компания уже атакована и нужно незамедлительно принять меры.
- Поддержка современных протоколов HTTP 2.0 и т.д.
- Возможность качественной защиты без использования массовых блокировок по географическому признаку.
- Наличие у клиента инструментов настройки фильтрации, в частности возможность управления черными и белыми списками доступа к защищаемым ресурсам.
- Доступность экспертизы провайдера в случае атаки, благодаря которой можно оперативно и своевременно менять правила в зависимости от изменения ситуации.
Что можно сделать для снижения рисков уже сейчас?
- Провести ревизию периметра. Для снижения риска атак желательно провести инвентаризацию, затрагивающую ресурсы и публикуемые сервисы, а затем отказаться от неиспользуемых, так как они могут расширить поверхность атаки и стать точкой отказа для инфраструктуры.
- Уделить внимание защите веб-ресурсов. Воспользоваться Anti-DDoS, WAF и т.д. — есть сервисы, которые позволяют подключать все эти инструменты со скоростью до одних суток. И даже уже под атакой этот вопрос можно решить довольно быстро.
- Пересмотреть планы реагирования на основные типы инцидентов. Имея такой план, можно правильно и, главное, вовремя реагировать на возникающие угрозы, не делая лишних или ошибочных действий и не поддаваясь панике.
- Провести стресс-тестирование ресурсов, позволяющее определить границы деградации их производительности. Стресс-тестирование представляет собой контролируемое направление на сервис или портал набора различных DDoS-атак так называемой «лесенкой», с помощью которой можно понять, при какой нагрузке ресурсы начнут деградировать до определенного критического уровня. В результате станет ясно, какой ширины канала достаточно под атакой и достаточно ли текущих ресурсов, чтобы справиться с ожидаемыми нападениями.
- Проверить парольные политики. Рекомендуется госорганами.
- Использовать превентивную киберразведку. В частности, есть продукты по мониторингу интернета, поиску информации в даркнете, позволяющие собрать индикаторы по подготовке атак.
Поскольку DDoS-атаки являются не только элементами хулиганства и кибервойны, но также используются как элемент конкурентной борьбы, то их результаты могут сильно отличаться в зависимости от целей, поставленных атакующими.