DDoS-атаки на сети: цифровизация бизнеса и «удалёнка» увеличили риски
Продолжающаяся цифровизация и цифровая трансформация бизнеса в сочетании с массовыми карантинными мерами не только существенно повысили нагрузку на сети и дата-центры, но и усилили интерес злоумышленников к DDoS-атакам на сетевом уровне. Как меняются связанные с ними риски сегодня? Рамиль Хантимиров, CEO и со-основатель StormWall, делится своими наблюдениями о текущей ситуации в области DDoS-атак на сети и прогнозами на ближайшее будущее.
Насколько в России критична ситуация с DDoS-атаками на сеть в настоящее время?
Наши самые свежие данные говорят о продолжающемся росте DDoS-атак на сетевом уровне. В частности, в январе нынешнего года по сравнению с декабрем прошлого года количество атак на телеком-компании взлетело аж на 38%, при этом по сравнению с январем прошлого года рост составил 8%. Причиной всплеска атак стало появление нового ботнета. Под прицелом хакеров оказались мелкие интернет-провайдеры, хостинг-провайдеры и небольшие дата-центры, которые не располагают достаточными ресурсами для отражения мощных DDoS-атак на сети.
Как выросло количество DDoS-атак на сеть за последний год и почему?
В прошлом году Россия стабильно входила в десятку стран-лидеров по числу DDoS-атак на сети с долей, по разным оценкам, от 2,2% до 2,5% от всех атак уровня L3 и L4, наблюдавшихся в мире. Относительно невысокая доля нашей страны по сравнению, скажем, с США объясняется тем, что в Штатах имеется гораздо больше автономных систем и собственных сетей, принадлежащих компаниям, чем в других странах. В США многие предприятия владеют собственными IP-адресами, поэтому и риски атак на сети в США выше. В Европе, в том числе в России, многие организации предпочитают арендовать IP-адреса у своих провайдеров.
В прошлом году количество DDoS-атак на телекоммуникационную отрасль выросло на 35%, причем большую их часть составили именно атаки на сетевом уровне. Этот рост мы объясняем заметно возросшей конкуренцией на рынке телекома: с переходом сотрудников на «удаленку» возросли требования к непрерывности интернет-доступа, а также критичность этой инфраструктуры. Этим как раз и воспользовались конкуренты, организовавшие или «заказавшие» атаки на конкурентов.
Какую эволюцию в развитии DDoS-атак на сети можно отметить?
В эволюции DDoS-атак мы наблюдаем следующие тенденции. Во-первых, если раньше атакующие выбирали одну конечную цель в сети жертвы и, как правило, атаковали именно ее, то теперь все чаще объектом атаки становится вся сеть компании или интернет-провайдера, а также его провайдеров.
Во-вторых, появились атаки, которые используют методику Traffic Replay, чтобы имитировать легитимный трафик сети с подменой IP-адресов получателей, — такие атаки можно отфильтровать, только подключив специализированную защиту. Стандартная защита, которую обычно предоставляет интернет-провайдер, не поможет.
В третьих, атаки стали дешевле, а, стало быть, и дольше: каждая отдельная атака может продолжаться несколько суток — пока жертва не подключит эффективную защиту.
Наконец, атаки на сеть часто стараются обойти средства асимметричной защиты, используя их слабости. Например, атаки типа TCP Reflection могут быть до конца отражены только в симметричном режиме, для этого необходимо подключение специализированной DDoS-защиты, а не той, что предоставляет интернет-провайдер.
Как организовать эффективную защиту от DDoS-атак на сети?
Для эффективной защиты от DDoS-атак нужно использовать специализированные решения или сервисы. Но само по себе решение или сервис anti-DDoS вас не спасет — понадобится целый ряд мер.
Например, нужно позаботиться о том, чтобы пограничные (Edge) маршрутизаторы были достаточно производительными — в противном случае он не сможет работать в условиях повышенной нагрузки после начала DDoS-атаки. Также нужно проверить, не стоят ли на границе сети дешевые маршрутизаторы, ориентированные на домашнее использование, или старые медленные устройства. Чтобы удостовериться в устойчивости сети хотя бы к слабым DDoS-атакам, нужно провести стресс-тесты, например, с помощью популярной утилиты hping3.
Кроме того, надо удостовериться в том, что ваши IP-адреса нельзя определить путем трассировки (например, с помощью traceroute), а те, что можно, защищены средствами ACL. Умный злоумышленник наверняка проведет трассировку, чтобы узнать IP-адрес на стыке сетей провайдера защиты от DDoS-атак и его клиента (этот адрес, как правило, не защищен) и начать атаку на него. Для этого надо, во-первых, защитить стыковые адреса средствами ACL (через провайдера), и, во-вторых, скрыть эти адреса от трассировки так, чтобы они не были видны ни снаружи сети, ни изнутри (на случай если в связке со злоумышленником работает кто-то внутри сети).
И еще один важный аспект. Чтобы обеспечить эффективную защиту от DDoS-атак, нужно представить себя на месте злоумышленника, определить, какие методы и инструменты для атаки он мог бы использовать, постараться выявить уязвимости, а затем не только их устранить, но и тщательно протестировать защиту вашей сети от атак.
Какие решения для защиты от DDoS-атак есть на рынке?
Существуют разные классы решений для защиты от DDoS-атак на сети. Локальные (on-premise) решения могут быть как программными, так и программно-аппаратными (appliances). Они гибкие, у них низкая задержка, но их стоимость велика, к тому же для работы с ними требуется квалифицированный персонал, что еще более увеличивает общую стоимость владения. Еще один важный недостаток решений on-premise в том, что они обладают ограниченной пропускной способностью.
Облачные решения для защиты от DDoS-атак реализуют практически тот же функционал пакетной защиты, что и решения on-premise, при этом обладают невысокой стоимостью приобретения и дальнейшего владения (в том числе благодаря тому, что не нужно нанимать или обучать дополнительный персонал) и высокой пропускной способностью. Они быстро подключаются, к тому же обеспечивают фильтрацию атак не только на сети, но и на веб-сайты на уровне приложений (на уровне 7 модели OSI).
Наконец, есть гибридные решения, которые представляют собой комплект из решения on-premise и подписки на облачный сервис DDoS-защиты. Это позволяет нивелировать основной недостаток решений on-premise — ограничение по объему атаки и совместить преимущества первых двух типов решений.
В большинстве случаев рекомендуется подключать именно облачные решения. Для этого не нужны дополнительные ресурсы, оборудование или ПО. Подключение производится достаточно просто и быстро, но не мгновенно. Чтобы подключить и протестировать облачный сервис защиты от DDoS-атак, судя по нашему опыту, требуется от нескольких часов до двух-трех дней в зависимости от конфигурации сети заказчика, поэтому о подключении DDoS-защиты необходимо позаботиться заранее.
Как изменится интенсивность DDoS-атак на сети в обозримом будущем?
Мы ожидаем, что количество и мощность DDoS-атак на сети будет продолжать расти. По нашим оценкам, количество DDoS-атак на онлайн-ресурсы компаний в 2021 году увеличится, как минимум, на 20%. По мере цифровизации экономики ИТ-системы и сервисы будут иметь все более важное значение для бизнеса и общества, поэтому и последствия сбоев в них будут все более драматичными. Критически важными становятся не только сервисы, но и сам доступ к интернету, и поскольку одними из основных целей DDoS-атак на сети являются интернет-провайдеры, логично ожидать увеличения количества, интенсивности и сложности этих атак.
Число DDoS-атак может еще более вырасти за счет притока в ряды киберпреступности студентов и школьников, оказавшихся на дистанционном обучении во время локдауна и располагающих множеством свободного времени. Кроме того, в интернете появляются новые мощные и относительно доступные инструменты для организации DDoS-атак. Мощность атак также может вырасти вследствие распространения и развития сетей 5G, что позволит запускать мощные атаки с мобильных устройств и ботнетов на их основе.
Еще одна серьезная тенденция — рост «интеллектуальности» атак за счет применения ботов, способных самостоятельно обходить распространенные методы защиты.
Ответом на новые виды и инструменты атак наверняка станет интеграция различных типов решений для защиты от атак (Anti-DDoS, WAF, антибот, IDS/IPS), а также встраивание в эти решения технологий искусственного интеллекта и машинного обучения — они помогут точнее выявлять злонамеренные действия и быстрее их блокировать.