DDoS-атака: почему притвориться мертвым — не выход
Разбираемся почему утверждение «Интернет-сервис не работает из-за массированной DDоS-атаки» — свидетельство отсутствия стратегии эффективной защиты учреждения.
Протягом останніх місяців користувачі електронних сервісів в Україні частенько стикалися з проблемою їхньої тимчасової відсутності внаслідок DDоS-атак. Скажете, воно й недивно — живемо у стані війни. До того ж така ситуація багатьма сприймається, як стихійне лихо, яке не можна контролювати. Погоджуюсь і ні одночасно, бо точно знаю, коли за недоступністю сервісу стоїть злочинна недбалість.
Видео дня
Вимкнути все, аби ворог не пройшов. Саме така логіка стоїть за діями тих, хто «боронить» свої організації від DDоS-атак. Оскільки ми все частіше говоримо про кіберфронт, як про один з проявів загального фронту, уявимо собі ситуацію, коли під час атаки ворога наші хлопці замість того, щоб відбиватися, починають масово прикидатися мертвими. Безглуздя. Чому ж у кіберпросторі ми керуємося такими підходами?
Щоб не бути голослівним, я запросив трьох експертів, допомогти нам зануритися у питання проявів DDоS-атак та ефективного захисту від них. Почнемо з основ.
Що таке DDОS-атака
Олексій Севонькін, BDM Octava Defence:
Атака типу «відмова в обслуговуванні» (DoS) — це спроба заподіяти шкоду, зробивши недоступною цільову систему, наприклад веб-сайт або програму чи сервіс, для кінцевих користувачів. Зазвичай зловмисники генерують велику кількість пакетів або запитів, які зрештою перевантажують роботу цільової системи. Для здійснення атаки типу «розподілена відмова в обслуговуванні» (DDoS) зловмисник використовує безліч зламаних або контрольованих джерел (ботнет мережа).
У випадку DDoS-атаки можна розділити на типи залежно від того, на якому рівні моделі взаємодії відкритих систем (OSI) відбувається атака. Атаки на мережному рівні, транспортному рівні, рівні представлення та рівні застосунків найпоширеніші.
Атаки рівня інфраструктури
Це найпоширеніший тип DDoS-атак, який включає такі вектори, як SYN-флуд, та інші атаки відображення, такі як UDP-флуд. Подібні атаки зазвичай масові і спрямовані на те, щоб перевантажити пропускну здатність мережі або сервери програм. Проте такий тип атак має певні ознаки, тому їх легше виявити.
Атаки рівня програми
Ці атаки менш поширені, але водночас є складнішими. Як правило, вони не такі масові, як атаки рівня інфраструктури, але націлені на певні частини програм чи сервісів і призводять до того, що вони стають недоступними для користувачів. Як приклад, можна привести потік HTTP-запитів на сторінку входу в систему, API пошуку або навіть потоки запитів на систему Wordpress, на базі якої зазвичай працюють веб-сайти.
Найефективніша атака — це комбінована — вона включає атаку на всіх рівнях, що може ускладнювати захист. Крім того, можливо використання DDoS атак для відволікання уваги від реальної цілеспрямованої атаки, яку можуть не помітити — тому що приділяється увага більш вагомому та явному вектору DDoS атаки.
Що треба робити, аби запобігти DDоS-атаці
На жаль, однієї пігулки поки що не існує. Проте і лікування, і профілактичні заходи добре відомі професіоналам.
Забезпечення кібербезпеки починається з того, щоб навчити вашу систему
Борис Калачов, CBDO, WMGROUP:
Забезпечення захисту можливо за рахунок:
- Власних наземних (on-premise) рішень.
- Хмарних (cloud) послуг, і що вкрай важливо, доповнених managed services.
- Використання гібридної моделі, що поєднує on-premise та cloud у тому співвідношенні, що задовольняє потреби тієї, чи іншої інфраструктури.
- Послугів операторів зв’язку, що створили свої власні інфраструктури (зазвичай у гібридній моделі) та можуть надавати сервіс захисту на постійній основі або за потребою.
Власне, саме практичний досвід дозволяє нам рекомендувати таке:
Виключно оn-premise рішення давно втратили свою актуальність та не є ефективними на поточний момент, за виключенням малих за розміром, та низько-кваліфікованих атак.
Cloud можуть бути тимчасово ефективними, але обов’язково мають бути доповнені локальною (велика рідкість) або зовнішньою експертизою (managed services), яка, слід розуміти, має високу вартість та має відповідати співвідношенню критичності кінцевого сервісу для бізнесу та ризиків «цікавості» і здатності зловмисника розширити інструментарій.
Дуже важливо звертати увагу на граничні можливості Cloud провайдерів: кількість scrubbing center, ефективність моделі ліцензування (зазвичай легітимний трафік) до ваших реальних потреб, а не припущень.
Варіантів захисту від DDоS існує безліч. Важливо, щоб у вас були технічно грамотні люди, які можуть обрати адекватне рішення під конкретний сценарій і підтримувати його потім
На регулярній основі послуги операторів зв’язку можуть виглядати досить привабливими з точки зору ціна/якість, однак вибір провайдера треба робити дуже прискіпливо. І зараз саме той час, коли в бойових умовах закінчується маркетинг і можуть робитися об'єктивні висновки — на жаль, таких одиниці, але вони є.
Гібридна модель найефективніша, потребує більших інвестицій ніж попередні та, що важливо, часу. Вона потрібна далеко не всім. Але, на наш погляд, є цільовою в потенційній дорожній мапі розвитку такого сервісу захисту.
Олександр Атаманенко, СISO Octava Capital
Для боротьби з DDоS є багато різних інструментів. Вибір інструментів захисту залежить від сценарію «що захищаємо».
Для захисту технологічних сервісів, які не можна винести в хмару, наприклад, міжфілійної взаємодії, поштової системи або VPN-сервісу, тобто у випадку, коли DDOS-атака заважає нормальному функціонуванню внутрішніх процесів компанії, використовують послуги провайдера зв’язку. Через високу вартість апаратних рішень, які вони для цього застосовують, вартість послуги виходить достатньо високою, тому я рекомендую її резервувати та вмикати тільки в момент атаки за запитом.
Можна просто сховати свій сайт за хмарним сервісом, наприклад CloudFlare. Тут розробники сайтів не потрібні, але потрібні руки системних адміністраторів: переналаштувати NS-сервери, працювати з оператором послуг, налаштувати SSL сертифікат, налаштувати правила переадресації. Потрібно свідомо підійти до вибору тарифного плану. Наприклад, різниця у вартості тарифу, який підтримує відповідність PCI DSS, і без нього обчислюється десятками разів. Під час роботи самого сервісу треба відстежувати поточний стан системи. За необхідності вмикати режим «under attack» та вимикати по завершенню атаки для відновлення швидкого відгуку сайту для користувачів.
Безпеку зовнішнього веб-сайту або порталу можна забезпечити також, розмістивши його в Мережі доправлення і поширення контенту (CDN), наприклад, Akamai. Вони складаються з географічно розподілених багатофункційних платформ, взаємодія яких дозволяє максимально ефективно опрацьовувати і задовольняти велику кількість запитів при отриманні контенту на ваших ресурсах. Проте в цьому випадку сайт від початку має розроблятися з урахуванням роботи з CDN і відстежуватися в подальшому за показниками споживаного трафіку, щоб залишатися в межах оптимального тарифного плану.
Отже, варіантів захисту від DDоS існує безліч. Важливо, щоб у вас були технічно грамотні люди, які можуть обрати адекватне рішення під конкретний сценарій і підтримувати його потім. Інший варіант — доручити цю роботу організації, яка спеціалізується на послугах кібербезпеки.
Поки писав статтю, сталася низка нових DDоS-атак. Керівники великих підприємств, яким я при цьому телефонував з пропозицією допомогти, всі, як один, вважали тактику вимкнення сервісів ефективним способом протистояння.
Панове, тепер ви знаєте, що це злочинна відмазка, якою прикриваються ваші ІТ-менеджери. Працюйте на Перемогу, а не прикидайтеся мертвими.
Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.