30 марта 2020 г.
Миллионы людей, перешедших на «удаленку» из-за пандемии коронавируса, уже заметили сбои в работе интернета: то сайт недоступен, то сервис видеосвязи зависнет. Провайдеры в странах с карантином фиксируют рост трафика до 70% — выросла нагрузка на рабочие сервисы, игровые, стриминговые сайты, соцсети, СМИ. Медиа, кстати, сталкиваются не только с ростом обычного трафика — это одна из индустрий, которые прямо сейчас уже в России сталкиваются с трехкратным ростом DDoS-атак, по данным компании ServicePipe. В группе особенного риска также аптеки, совсем недавно начавшие переход на e-commerce модель из-за разрешения дистанционной продажи лекарств — теперь их сайты становятся целью DDoS также примерно в три раза чаще.
О том, что нужно знать о DDoS руководителю и техническому директору, и как защитить от атак бизнес надежно и быстро, рассказывает управляющий ServicePipe и член Ассоциации руководителей служб информационной безопасности (АРСИБ) Артем Избаенков.
Что такое DDoS-атака?
Из всех видов кибератак, DDoS — в топе сложнейших и самых разрушительных для бизнеса. Сложнейших, поскольку со временем они становятся все изощреннее. Разрушительных — с точки зрения бизнес-показателей и урона репутации. При этом тактика может быть достаточно простой.
Представьте, что вы на единственной открытой кассе в супермаркете. Подходит ваша очередь. В этот момент, не обращая внимания на вас и стоящих за вами людей, появляется масса оголтелых покупателей, которым необходимо рассчитаться срочно и без очереди. Вам приходится ждать, пока кассир освободится. Но этого не происходит: таких бесцеремонных покупателей миллионы. Ожидание длится часами, потом проходят сутки, двое...
DDoS атака работает похожим образом: без специальных средств защиты сервер, канал доступа к сети или веб-приложение не может отсеять обращения настоящих клиентов от запросов злоумышленников, пока не обработает их все. Поэтому бизнесу приходится бросить все ресурсы на анализ потока трафика и фильтрацию вредоносных запросов. Но этого попросту может не хватить, так как будет вызван отказ в обслуживании вашего интернет-канала или всего интернет-оператора, а ваши ИТ-специалисты самостоятельно с атакой не справятся.
Какие типы DDoS атак встречаются?
- Атаки на переполнение канала — объемные по трафику атаки свыше сотни Гбит/с, направлены на истощение канальной емкости жертвы.
- Атаки на инфраструктуру — огромное количество запросов для отказа сетевого оборудования или сервера.
- Атаки на приложение — тонкие атаки, истощающие ресурсы веб-приложения цели.
Пока бизнес уязвим хотя бы к одному типу атак, защита от DDoS не считается полноценной. Эффективная защита отражает все три типа атак.
Насколько опасен DDoS для моего бизнеса?
9 из 10 компаний подвергаются атаке хотя бы раз в год. Каждая десятая — раз в неделю. Больше всего страдают от DDoS-атак те компании, при недоступности в интернете теряющие заказы, клиентов, деньги и репутацию. В том числе интернет-магазины, онлайн-биржи, игровые сервисы.
Среди отраженных ServicePipe атак почти треть приходится на индустрию онлайн-игр — это самая частая цель злоумышленников. Почти по 20% атак направлены на хостинговые компании и финансовый сектор, далее в топ-5 — регистраторы доменов и технологические компании.
Стоит ли переживать, если мой бизнес небольшой?
Ответ простой: да. Закладывать в бюджет риск DDoS-атаки необходимо любому бизнесу, связанному с интернетом напрямую. Сегодня на черном рынке доступно множество сервисов, использование которых не требует специальных навыков. Атаку на сайт конкурентов, которая без эффективной защиты может надолго вывести из строя сайт или инфраструктуру, можно устроить бесплатно и безо всяких специальных знаний.
Какой урон наносит DDoS?
Ущерб включает прямые затраты на восстановление систем после атаки, а также финансовые и долгосрочные репутационные потери из-за незавершенных операций, недовольных клиентов, негативной огласки. Учитывая, что при отсутствии эффективной защиты от DDoS восстановление систем занимает от одного до трех дней, среднему российскому бизнесу успешная атака обойдется в
Если представить последствия атаки с точки зрения аспектов бизнеса:
- Для IT-отдела это огромная нагрузка на кадровые ресурсы.
- Когда в момент атаки свыше 100 Гбит/с бдительность отдела безопасности снижена, злоумышленники могут произвести тонкие специализированные атаки и заметать следы проникновения.
- Поддержка получит множество запросов и жалоб пользователей
- Данные, с которыми шла работа, могут быть потеряны, и для их восстановления потребуются десятки или сотни часов ваших сотрудников.
- Если организация работает по SLA, недоступность сервиса приведет к штрафам.
- Разочарованные клиенты могут уйти к конкурентам.
- Плохой пиар соответствующим образом повлияет на репутацию.
В каждой сфере деятельности последствия успешной DDoS-атаки специфические. Пара примеров:
- В последние недели особенно участились атаки на сайты СМИ, призванные прервать доступ читателей к определенной информации на сайтах. В период, когда трафик на сайты растет в разы, это приводит к огромной упущенной выгоде от рекламных продаж.
- Российские аптеки на фоне пандемии коронавируса получили возможность продавать лекарства дистанционно, и сразу после этого стали целями сотен DDoS-атак, призванных помешать осуществлению заказов, а в долгосрочном периоде — строительству успешного e-commerce бизнеса.
- Для криптовалютных бирж это значит полную остановку расчетов из-за потери доступа к майнинг-пулу валюты. DDoS особенно часто используется для остановки операций в начале анонсирования новой криптовалюты, когда активность клиентов на пике, а значит, потери бизнеса также будут максимально возможными.
- На рынке электронной коммерции DDoS — излюбленный способ вывести из строя сервера конкурента, особенно в дни акций и распродаж. Покупатели не могут зайти на сайт, эффект от акции сводится к нулю и магазин стремительно теряет клиентов, в том числе лояльных. В худшем случае под прикрытием DDoS-атаки может быть украдена база с данными клиентов, в том числе платежными, и в этом случае удар по репутации может быть непоправимым.
Что делать, чтобы защититься от DDoS?
Некоторые бизнесы ограничиваются покупкой пакета DDoS-защиты у провайдера или приобретением маршрутизатора с функцией защиты от DDoS. В первом случае производится так называемая грубая фильтрация трафика — поскольку без специальной аналитики отличить вредоносный трафик от обычного невозможно, в основном решения по защите концентрируются на фильтрации всего трафика на постоянной основе и блокировке определенных сервисных портов. В результате для некоторых клиентов сервисы могут быть недоступны, а система все еще уязвима к атакам на уровне приложения.
Во втором случае клиент устанавливает себе оборудование с ярким шильдиком «защищает от DDoS одной кнопкой» и продолжает бизнес спокойно. До первой атаки на переполнение канала. Без защиты на всех трех уровнях, которая включает защиту не только инфраструктуры и приложения, но также и канала связи с возможностью «переварить» трафик в сотни Гбит/с, а то и более, бизнес не будет защищен полностью.
Популярный и более продвинутый способ — использование центров очистки трафика. Они пропускают запросы через свои центры, фильтруют их и затем перенаправляют клиенту только те запросы, которые прошли проверку на легитимность. При этом запросы фильтруются на всем канале, без разбора, что может вызвать проблемы даже с легитимными клиентами, которые не находятся под атакой. В результате теряются переходы, конверсии, падает лояльность клиентов. При защите от DDoS атак крупных сетей речь идет о сотнях или тысячах IP-адресов, поэтому необходимо, чтобы центр очистки состоял не только из очистителей, но и анализаторов трафика. Благодаря этому в штатной ситуации трафик идет в обход противомер, а лишь в случае превышения определенных параметров атакуемый IP изолируется и производится его выделенная очистка.
Для защиты от более тонких атак, которые направлены не на переполнение канала, а используют уязвимости кода вашего сайта или сервиса, используются так называемые Web Application Firewall, отсеивающие вредоносные запросы. В них применяются разные подходы поведенческого анализа трафика и происходит более сильная интеграция с вашим приложением.
Как подобрать защиту именно для моего бизнеса?
Возможный сценарий атаки, ее тип и интенсивность зависят от злоумышленника — риски в каждом случае индивидуальны и защиту нужно конструировать заранее опираясь на лучшие практики мирового уровня, то есть от всех 3 типов DDoS атак.
Источник: Артем Избаенков, управляющий компании ServicePipe и член АРСИБ.