Как производители решений и провайдеры услуг по защите от DDoS пережили 2022 год? Какие векторы атак преобладали в прошлом году? Что нас ждёт в этой сфере дальше? Как правильно выбирать Anti-DDoS и что должно быть прописано в соглашении по качеству (SLA) между поставщиком услуги и клиентом?
- Введение
- 2022 год в сфере защиты от DDoS-атак
- Технологии DDoS-атак и борьбы с ними
- Практика использования и выбора системы защиты от DDoS-атак
- Прогнозы экспертов
- Итоги эфира
- Выводы
Введение
Тема DDoS-атак в 2022 году очень громко звучала в информационном пространстве, причём далеко не только в специализированных медиа. Шквал атак, накрывший российские компании весной, заставил многие из них срочно искать средства защиты. Как пережили этот период вендоры Anti-DDoS? Чему их научил 2022 год и изменились ли подходы заказчиков к выбору систем противодействия DDoS-атакам? Какие техники чаще всего использовали злоумышленники и какие технологии противопоставили им разработчики? На эти и другие вопросы мы попытались ответить вместе с представительным составом экспертов в рамках очередного выпуска онлайн-конференции AM Live.
Рисунок 1. Спикеры прямого эфира AM Live в студии
Спикеры прямого эфира:
- Кирилл Герасименко, руководитель направления по развитию бизнеса компании Servicepipe.
- Александр Гутников, руководитель направления разработки продуктов по защите онлайн-сервисов компании «Лаборатория Касперского».
- Рамиль Хантимиров, сооснователь и исполнительный директор компании StormWall.
- Дмитрий Никонов, руководитель направления защиты от DDoS уровня L7 компании DDoS-GUARD.
- Владимир Зайцев, директор по клиентскому сервису компании NGENIX.
Ведущий и модератор дискуссии: Рустэм Хайретдинов, заместитель генерального директора компании «Гарда Технологии».
2022 год в сфере защиты от DDoS-атак
Открывая прямой эфир, Рустэм Хайретдинов попросил экспертов рассказать, чем запомнился 2022 год в сфере защиты от DDoS-атак. Проводили ли клиенты анализ, выбирая провайдера защиты от DDoS, или в панике бросались к первому попавшемуся претенденту?
Александр Гутников:
— Мы увидели колоссальный рост числа атак. Количество, сложность и продолжительность атак возросли на порядки. Из-за ухода иностранных компаний с российского рынка появились проблемы с поставками и сторонними сервисами. Однако рост числа атак привёл и к росту клиентской базы. Было тяжело, но мы справились.
Александр Гутников, руководитель направления разработки продуктов по защите онлайн-сервисов, «Лаборатория Касперского»
Кирилл Герасименко:
— Заказчиков стало больше за счёт перераспределения клиентов на фоне возросшего числа атак. Заказчики стали более комплексно подходить к выбору защиты. Атакующие стали чаще менять векторы и инструменты: с марта было три-четыре волны таких изменений. На эти вызовы приходилось оперативно реагировать.
Владимир Зайцев:
— В феврале и марте люди приходили с запросом на срочную защиту. Времени выбирать у них не было. По мере того как тренд на массовые DDoS-атаки стал спадать, спрос тоже снизился. 2022 год оставил ощущение дежавю: точно так же, как во время пандемии, жизнь поменялась, только теперь мы столкнулись с тем, что сервисам нужна защита.
Владимир Зайцев, директор по клиентскому сервису компании NGENIX
Дмитрий Никонов:
— 2022 год можно назвать годом в режиме тушения пожара. На фоне геополитической ситуации DDoS-атаки на рунет выросли на 800 % по сравнению с 2021 годом. Среднее количество атак в сутки выросло в 10 раз, а основной удар пришёлся на СМИ, госсектор и банки. Мы зафиксировали за год более миллиона атак, и это в разы выше, чем в 2021-м.
Рамиль Хантимиров:
— По нашей статистике, Россия впервые заняла 4-е место среди самых DDoS-атакуемых стран. В начале года большинство атак были организованы хактивистами, которые объединялись через соцсети. Специфика была в том, что ботнеты состояли из компьютеров добровольцев, которые самостоятельно запускали на них вредоносные инструменты.
Рамиль Хантимиров, сооснователь и исполнительный директор компании StormWall
Как изменился портрет атакующего? Действительно ли профиль типового злоумышленника сильно сместился в сторону хактивизма? Наши эксперты подтвердили эту тенденцию и рассказали, что в начале года атаки представляли собой массовый, но достаточно простой DDoS, с которым было легко бороться. При этом профессиональные киберпреступники в таких атаках не участвовали, чтобы не раскрывать свои ботнеты. Естественно, вредоносные программы писали специалисты по DDoS, после чего распространяли их среди активистов. На направления атак очень сильно влияли новостная повестка и, конечно же, доступность ресурсов. Постепенно массовый тренд пошёл на спад, поскольку непрофессионалам надоело этим заниматься. В данный момент атак стало меньше и они стали избирательнее.
Почти 40 % компаний, в которых работают зрители прямого эфира AM Live, подвергались атакам в 2022 году. Об этом свидетельствуют результаты проведённого нами опроса. При этом 30 % были атакованы многократно, а 9 % — один раз. Не зафиксировали DDoS-атак на свою организацию также 30 % респондентов, а 31 % затруднился ответить на этот вопрос.
Рисунок 2. Подверглась ли ваша организация DDoS-атакам в 2022 году?
Технологии DDoS-атак и борьбы с ними
В продолжение беседы модератор предложил обсудить технологические особенности DDoS-атак. В частности, Рустэм Хайретдинов попросил спикеров рассказать, какие техники и тактики используют злоумышленники. Гости прямого эфира пояснили, что одной из особенностей текущего периода является поиск уязвимостей конкретного ресурса: по всем сетям и IP-адресам компании выявлялись незащищенные порты или же предпринимались попытки обойти защиту. Другой техникой могла быть атака на слабозащищённый внутренний контур ресурса с целью нарушить работоспособность внешнего.
Рустэм Хайретдинов, заместитель генерального директора компании «Гарда Технологии»
Чем на это отвечают разработчики средств противодействия DDoS? Какие технологии применяются для защиты ресурсов заказчиков? Эксперты AM Live отметили, что в сложившейся ситуации важно иметь точки фильтрации в России и ближайшем зарубежье, чтобы принимать трафик там, поскольку злоумышленники активно используют прокси-серверы. С точки зрения технологий всё большее внимание уделяется фильтрации трафика на уровне приложений. При этом со стороны клиентов растёт запрос на самостоятельную настройку систем фильтрации: передовые заказчики хотят собственными силами индивидуализировать защиту от DDoS в своей компании.
В условиях резко увеличившейся нагрузки разработчики защитных решений столкнулись с необходимостью наращивать свои аппаратные инфраструктуры, а также оптимизировать работу программных ядер, наращивая их производительность и возможности масштабирования. Эксперты отметили, что технологии развиваются эволюционно, в соответствии с требованиями заказчиков, а команду реагирования, например, пришлось в 2022 году серьёзно увеличивать. У некоторых вендоров рост численности инженеров составил 40 %, другие разработчики рассказали об увеличении числа специалистов техподдержки.
По мнению зрителей прямого эфира AM Live, защита от DDoS-атак в целом справляется со своими задачами. Проведённый нами опрос показал, что у 37 % респондентов в 2022 году защита отработала отлично. Ещё 16 % отметили, что считают результат противодействия атакам положительным, но случались простои. Менять защиту под атакой пришлось 9 % опрошенных, а 5 % меняли хостинг или вносили изменения в инфраструктуру. Считают, что их не атаковали, 33 % участников опроса.
Рисунок 3. Справилась ли ваша защита с DDoS-атаками 2022 года?
Практика использования и выбора системы защиты от DDoS-атак
Как выбрать Anti-DDoS
Как сейчас компании выбирают систему защиты от DDoS? На что в первую очередь смотрят заказчики — SLA, технологические возможности, интерфейсы пользователя? Какие рекомендации могут дать эксперты тем, кто сегодня задумался о приобретении средства противодействия этому типу атак? По мнению наших гостей, начать выбор решения следует с задач, которые перед ним будут стоять. Какие векторы атак ожидаются, какие существуют риски при потере тех или иных сервисов, знаем ли мы вообще все сервисы, которые могут быть атакованы?
Спикеры онлайн-конференции сформулировали три ключевых вопроса, которые задают потенциальные заказчики:
- Кто ваши клиенты? Кто может дать рекомендацию?
- Какую максимальную мощность атаки вы можете отразить?
- Что мы можем смотреть и самостоятельно настраивать в личном кабинете?
Эксперты посоветовали также обратить внимание на расположение точек фильтрации выбранного сервиса и оценить, совпадают ли они с расположением оборудования заказчика. Полезно узнать, как работает техподдержка: доступна ли она круглосуточно, можно ли связаться с ней по телефону или в чате. Также стоить обратить внимание на политику ценообразования услуги защиты: зависит ли она от интенсивности атак или каких-то других параметров. Необходима совместная работа между поставщиком и клиентом. Провайдер услуги должен как можно больше знать о защищаемых ресурсах, чтобы подобрать наиболее адекватные методы противодействия атакам.
Портрет потенциального клиента в области защиты от DDoS
В продолжение дискуссии мы спросили экспертов о том, какая доля клиентов обращается к поставщику услуг защиты только во время DDoS-атаки. Спикеры прямого эфира пояснили, что это во многом зависит ото внешних обстоятельств. Например, в марте, когда число атак возросло, таких обращений было около 30 %; в более спокойные периоды доля подобных клиентов не превышает 10 %. Существует также некоторая сезонность: по словам специалистов, в ноябре обращений «под атаками» традиционно больше. Эксперты рекомендовали потенциальным клиентам задуматься о защите заранее, поскольку организация противодействия в тот момент, когда атака уже развивается, обойдётся им дороже, а ущерб от действий злоумышленников будет больше.
Результаты опроса зрителей нашей онлайн-конференции подтвердили мнение экспертов. Как оказалось, 43 % из них покупают подписку или оборудование заранее. Ещё 14 % рассчитывают в вопросе защиты только на свои силы, а 11 % обращаются к поставщику только в момент атаки. Не думали об этом вопросе 32 % респондентов.
Рисунок 4. Как вы подходите к организации защиты от DDoS?
Как поставляется услуга Anti-DDoS
Насколько популярны облачные сервисы и как часто предпочтение отдаётся локальным (on-premise) решениям? Спикеры пояснили, что собственный программно-аппаратный комплекс может отразить только атаки, которые не превышают размера канала, имеющегося у клиента. Поэтому для эффективной защиты от DDoS лучше использовать облачные или гибридные технологии. Часть систем, например сервер чистого трафика, можно выносить в инфраструктуру клиента. Важно также понимать, что не все заказчики могут полностью отдать весь трафик для фильтрации в облако. Так, банки ограничены в этом требованиями законов, а значит, часть проверок должна происходить на их собственном оборудовании.
Опрос зрителей прямого эфира AM Live показал, что компании используют самые разные методы защиты канала связи от DDoS-атак. В частности, защита силами провайдера, а также использование гибридных методов защиты набрали по 23 % голосов респондентов; защита на базе облачного сервиса — 21 %. Ещё 20 % участников опроса предпочитают установку программно-аппаратного комплекса на периметре. При этом самописному решению доверяют лишь 2 % опрошенных. Вариант «Другое» выбрали 11 % наших зрителей.
Рисунок 5. Какой вариант защиты от DDoS-атак на канал связи вам больше подходит?
Можно ли использовать несколько систем противодействия DDoS одновременно
Интересная дискуссия развернулась по поводу возможности совместного использования нескольких сервисов или решений от разных провайдеров. Одни эксперты считают это рабочим вариантом каскадной защиты, другие спикеры убеждены, что разумной интеграции в этом случае не получится. Дело в том, что при таком подходе существенно растёт время реакции и падает скорость решения проблем — при минимальном увеличении эффективности защиты. Даже если трафик на уровне DNS-балансировки просто распределяется между двумя провайдерами, будет трудно понять, какое решение работает эффективно, а какое «недорабатывает».
Как пояснили эксперты, два решения в активном режиме могут конфликтовать между собой. Если же один из сервисов работает как пассивная защита, то компания должна решить для себя, готова ли она платить за крайне редко используемую услугу.
Что должно быть указано в SLA
Ведущий решил затронуть тему ответственности сервис-провайдера и попросил экспертов рассказать о том, что входит в SLA по защите от DDoS-атак. Спикеры онлайн-конференции отметили, что SLA, безусловно, важен, однако это — инструмент решения конфликтов, а не регламент повседневной работы сервиса. В общем случае там должно быть указано следующее:
- что такое очистка трафика,
- что такое атака,
- что такое защищаемый ресурс,
- что считается недоступностью ресурса,
- качество очистки с расшифровкой этого понятия,
- время непрерывной работы сервиса (аптайм),
- скорость обработки запросов,
- скорость обработки инцидентов,
- какие события не учитываются.
Прогнозы экспертов
В завершение прямого эфира мы попросили каждого из экспертов поделиться своим видением рынка защиты от DDoS-атак на ближайшие годы, а также предложить план действий в этой сфере для клиентов.
Дмитрий Никонов:
— Моя главная рекомендация — готовиться ко всему заранее. Даже если вы считаете, что DDoS-атака вас не коснётся, всё равно лучше «подстелить соломку», чем расхлёбывать последствия. Думаю, атаки продолжатся, однако станут более точечными и направленными на наиболее чувствительные части инфраструктур клиентов.
Дмитрий Никонов, руководитель направления защиты от DDoS уровня L7 компании DDoS-GUARD
Рамиль Хантимиров:
— Атак станет больше, поскольку сотни тысяч хактивистов научились организовывать DDoS-атаки, теперь они будут эти знания монетизировать. Спрос на автономные (standalone) решения будет снижаться, а на услуги облачных провайдеров — расти из-за конкуренции и увеличения сложности атак.
Владимир Зайцев:
— Атаки точно не прекратятся, поэтому я рекомендую компаниям заранее готовиться к ним. Даже если у вас нет возможности купить защиту, продумайте хотя бы риски, которые есть на вашей стороне. Определите проблемные места и составьте план работ, который вы будете реализовывать, постепенно выстраивая защиту.
Кирилл Герасименко:
— DDoS-атаки, безусловно, будут, даже если вдруг всё станет хорошо. Традиционные векторы никуда не делись, и мы фиксируем, что помимо атак хактивистов по-прежнему идут атаки из Китая и Латинской Америки. Поэтому нужно быть готовым, следить за контекстом и общаться с коллегами по цеху.
Кирилл Герасименко, руководитель направления по развитию бизнеса компании Servicepipe
Александр Гутников:
— Я не вижу никаких тенденций к улучшению ситуации. Атаки будут расти и усложняться. Насколько — вопрос отдельный. Но меня больше беспокоит тенденция к милитаризации интернета. В худшем сценарии мы получим развал глобальной сети на отдельные сегменты. Я надеюсь, этого не произойдёт, но пока мы идём в эту сторону.
Итоги эфира
Как обычно, в финале выпуска мы спросили у зрителей, насколько изменились их мнения о защите от DDoS-атак после эфира. Оказалось, что 38 % респондентов убедились в правильности выбора имеющегося у них решения. О смене инструмента защиты от DDoS думают 3 % опрошенных. При этом 28 % заявили о желании тестировать и внедрять защиту, а 5 % думают, что им такие системы пока не нужны. По мнению 10 % участников опроса, спикеры недостаточно убедительно доказывали необходимость защиты от DDoS. Ещё 16 % зрителей так и не поняли, о чём шла речь во время эфира.
Рисунок 6. Каково ваше мнение о защите от DDoS-атак после эфира?
Выводы
Дискуссия показала, что тема противодействия DDoS-атакам остаётся одной из самых актуальных в сфере информационной безопасности. Как верно отметили эксперты в студии, даже если причины, которые вызвали массированные атаки на российские компании, изменятся, армия овладевших инструментами DDoS злоумышленников продолжит нападения с целью монетизации своих навыков — причём это будет уже не узконаправленная и локальная проблема, а глобальная.
Так или иначе, надеяться на уменьшение числа атак и снижение их мощности не приходится, а значит, буквально каждой компании, имеющей доступные из интернета ресурсы, стоит задуматься о защите. Если это возможно, лучше выбирать облачный сервис: он может справиться с атаками большей мощности и зачастую обходится дешевле, чем локальная система. Эксперты рекомендуют внимательно читать SLA, но не забывать, что это — лишь формальная сторона защиты.
Мы продолжим обсуждение самых горячих для российского кибербеза тем в следующих выпусках проекта AM Live. Чтобы не пропускать прямые эфиры, обязательно подпишитесь на YouTube-канал Anti-Malware.ru. До новых встреч в нашей студии!