«Золотая» середина защиты от DDoS-атак

19 Января, 2016 11:09
Виталий Зарицкий
Распределенные атаки, направленные на отказ в обслуживании (Distributed Denial-Of-Service) набирают обороты: согласно исследованиям аналитиков Arbor Networks, в 2015 году свыше трети компаний каждый месяц подвергались атакам. При этом эксперты прогнозируют, что в будущем любая компания, имеющая свою площадку в Интернете, будет подвергаться DDoS-атакам как минимум несколько раз в году.

Вышеприведенные данные подтверждает совместное исследование Kaspersky Lab и B2B International, проведенное в начале этого года. Согласно результатам, успешная DDoS-атака на онлайн-ресурс компании влечет за собой убытки в среднем от 52 тысяч до 444 тысяч долларов, в зависимости от размера компании. В сумму ущерба от DDoS-атаки входят репутационные потери и издержки, вызванные недоступностью публичного онлайн-ресурса для партнеров и клиентов, а также расходы на устранение последствий инцидента. Например, 65% компаний были вынуждены воспользоваться услугами консультантов по информационной безопасности, 49% оплачивали работы по изменению собственной IT-инфраструктуры, 46% обращались к юристам, а 41% — к консультантам по риск-менеджменту. И это только самые распространенные статьи расходов.

Подобные угрозы приводят к быстрому росту рынка решений для защиты от DDoS-атак. В компании IDC утверждают, что по итогам 2015 года этот рынок в глобальном масштабе составит 657,9 млн долларов, а к 2018 году увеличится до 944,4 млн.

Анатомия DDoS-атак

Как правило, DDoS-атаки нацелены на приложения или сетевую инфраструктуру компании с целью затруднения доступа к ресурсам/приложения или полного предотвращения доступа к ним. Типичными жертвами данных атак являются интернет-площадки, банки и страховые компании, СМИ, госучреждения, сайты игровых сообществ.

Согласно исследованиям Arbor Networks, чаще всего хакеры атакуют HTTP-сервисы, далее следуют DNS-, HTTPS-, SMTP-, SIP/VoIP-сервисы и другие. С технологической точки зрения DDoS можно разделить на три основные категории: TCP State-Exhausting, Volumetric и Application Layer.

Атаки TCP State-Exhausting нацелены на традиционную структуру сетевой безопасности — устройства связи с контролем состояний (load balancers, firewalls, application servers).

Вторая категория — атаки класса Volumetric — направлены на то, чтобы перегрузить канал связи, предоставляемый оператором связи.

В свою очередь атаки уровня приложения (Application Layer Attacks) берут под прицел определѐнные уязвимости ПО. В процессе нападения злоумышленники осуществляют медленные маломощные атаки, которые выводят из строя веб-серверы (эти атаки также называются low-and-slow). Как правило, они осуществляются с применением небольших объемов трафика. Атаки на уровне приложений генерируют постоянные обращения к ресурсам предприятия — например, к веб-сайтам, веб-приложениям, серверам и т.д. В результате приложения значительно замедляют или вовсе останавливают свою работу.

Для выполнения DDoS-атак злоумышленники предварительно заражают и берут под контроль любые подключенные к интернету устройства: ПК, планшеты, мобильные телефоны и т. д. Все эти устройства становятся частью ботнета, который затем используются для проведения DDoS-атак. Первые ботнеты сформировались более десяти лет назад в среде компьютерных игроков, на базе ресурсов игровой индустрии и сайтов электронной торговли. В течение нескольких последующих лет активность DDoS-атак постепенно росла, а 2012 года она начала расти лавинообразно, причем именно на 2012 год припало наибольшее число разрушительных DDoS-атак. Игровая индустрия до сих пор остается привлекательным объектом для нападений. В то же время за последние несколько лет сфера применения DDoS-атак заметно расширилась и теперь включает в себя финансовый, правительственный, технологический секторы, а также сферу развлечений в целом.

В последние годы DDoS-атаки стали заметно изощреннее, в то же время для конечного потребителям они стали проще в реализации. Например, теперь злоумышленники имеют возможность арендовать ботнеты через интернет за небольшую сумму, воспользовавшись услугами подрядчиков для управления атакой. При этом для успешной реализации DDoS-атаки не требуются особые знания.

Эксперты отмечают, что многие DDoS-атаки демонстрируют постоянное изменение тактик, и это наталкивает на мысль, что большинство таких атак — лишь разведка боем. Тем самым киберпреступники пытаются найти слабое место в защите организации. Кроме того, DDoS-атаки часто служат отвлекающим маневром от других, более агрессивных действий хакеров. Например, параллельно может осуществляться незаметное внедрение вредоносного ПО через совершенно иные интернет-ресурсы организации.

Рецепты противодействия

Для защиты от DDoS-атак обычно используются брандмауэры и системы IDS/IPS. Однако они находятся непосредственно перед ресурсом, который подлежит защите, и не могут противодействовать атакам на переполнение канала связи. В определенных случаях может помочь правильная настройка системы, однако это работает только в случае небольших и плохо подготовленных атак.

Со стороны провайдеров может применяться маршрутизация в «черные дыры», она заключается в перенаправлении трафика, на который осуществляется атака. Проблема в том, что вместе с ним перенаправляются и легальные запросы. Таким образом, киберпреступники все же достигают своей цели, поскольку ресурс становится недоступным для пользователей.

Относительно эффективным является многократное резервирование ресурсов, однако это крайне дорогой способ, а потому недоступный для большинства организаций.

Стоит отметить, что ИТ-отделы компаний не всегда могут сказать, кто атаковал и какие атаки были зафиксированы на протяжении определенного периода времени. Иногда ИТ-специалисты замечали, что стали жертвой удачной DDoS-атаки только спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от интернет-провайдера.

Исследования говорят, что в 21% случаев компании узнают об атаке после жалоб пользователей, пытающихся получить доступ к услугам. Еще 14% специалистов регистрируют такого рода активность киберпреступников по перебоям в работе собственной инфраструктуры. И такой же процент опрошенных отметил сбой корпоративных интернет-приложений. Но определить, была ли данная атака произведена злоумышленником, либо отказ в обслуживании был следствием нештатного события, они не могут.

Двойной удар

Наш опыт свидетельствует о том, что наиболее оптимально использовать гибридный подход для противодействия DDoS-атакам, когда защита установлена как на стороне клиента, так и на стороне провайдера. Рассмотрим данный подход более подробно.

Чтобы решить проблему переполнения канала, необходимо использовать защитные системы на стороне провайдера. Поскольку у последнего намного более широкая полоса пропускания входящего канала, переполнить его канал гораздо труднее. Технология очистки трафика на стороне провайдера состоит из двух этапов: вначале решение анализирует трафик (по BGP/flow/SNMP/NetFlow/sFlow, etc.) с разных участков сети провайдера – с границы, опорной сети, сети агрегации. В случае детектирования атаки зараженный трафик отправляется в центр очистки, где проходит через целый ряд различных систем. Уже чистый трафик отправляется далее к клиенту. Услуга может предоставляться на базе регулярной абонентской платы или в режиме «скорой помощи», когда заказчик обращается к провайдеру услуги при детектировании атаки на свои серверы.

Однако есть одна сложность: необходимо найти провайдера, который предоставляет услугу защиты от DDOS-атак. Кроме того, в дальнейшем у клиента появляется зависимость от одного провайдера.

В последнее время, из-за появления атак, нацеленных на веб-серверы, возникает необходимость в защите на «последней миле», то есть на стороне заказчика. В результате анализируются все проходящие пакеты и могут детектироваться все возможные DDoS-атаки. Подобные атаки сложно обнаружить на стороне провайдера из-за их малой мощности.

В рамках такой защиты на стороне клиента устанавливается программно-аппаратный комплекс для фильтрации DDOS-атак в его инфраструктуре, например, от Arbor или Fortinet. Такие решения компании придется администрировать своими силами, что потребует расходов на содержание и обучение дополнительного персонала.

Потому мы считаем что на сегодняшний день оптимальным решением по защите от DDoS является подход, которых совмещает в себе следующее: очистка на уровне провайдера для отсечения лавинообразных атак и решение для защиты на стороне конечного заказчика.

Автор статьи — руководитель направления информационной безопасности ITbiz Solutions

Материалы по теме:

Комментарии: