Как обнаруживать современные DDoS-атаки и реагировать на них

Как обнаруживать современные DDoS-атаки и реагировать на них

Как обнаруживать современные DDoS-атаки и реагировать на них

На AM Live рассказали, какие последствия может иметь успешная DDoS-атака для организаций, инфраструктур и пользователей. Как проверить, насколько ваш сайт или приложение уязвимы для DDoS-атаки, какие для этого существуют эффективные инструменты и технологии?

 

 

 

 

 

 

  1. Введение
  2. Эволюция DDoS-атак
    1. 2.1. Актуальные атаки
    2. 2.2. Поможет ли геофильтрация
    3. 2.3. Сколько стоит DDoS-атака
    4. 2.4. Помогают ли регуляторы справляться с DDoS
    5. 2.5. Как Россия справилась с атаками
  3. Техники защиты от DDoS-атак
    1. 3.1. Что лучше: локальное решение или облако
    2. 3.2. Эффективные инструменты защиты от DDoS
    3. 3.3. Машинное обучение и DDoS-атаки
    4. 3.4. Рекомендации по защите веб-ресурсов
  4. Тренды в защите и реализации DDoS-атак
  5. Итоги эфира
  6. Выводы

Введение

Хакеры продолжают подвергать российские компании DDoS-атакам с целью нанести финансовый ущерб. Эта проблема очень актуальна, например, для компаний из сферы ретейла, так как их доход зависит от доступности сайтов и приложений. Сейчас количество DDoS-атак на ретейл в России в три раза больше, чем год назад, в марте 2023-го. Поэтому для компаний остаётся актуальным вопрос выбора отечественных инструментов для защиты от DDoS. Спикеры нового эфира AM Live поговорили об актуальных рисках в этой области и о способах обеспечить безопасность российских ресурсов.

 

Рисунок 1. Эксперты отрасли в студии телепроекта AM Live

Эксперты отрасли в студии телепроекта AM Live

 

Спикеры прямого эфира:

  • Глеб Хохлов, директор по продукту MITIGATOR;
  • Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений, DDoS-GUARD;
  • Вадим Солдатенков, руководитель направления продуктов по защите от DDoS, «Гарда Технологии»;
  • Дмитрий Белянин, руководитель направления предпродаж, StormWall;
  • Антон Апряткин, руководитель отдела клиентских решений NGENIX.

Ведущий и модератор дискуссии — Артём Избаенков, заместитель директора по продуктовому развитию, ГК «Солар».

 

Эволюция DDoS-атак

Актуальные атаки

Сейчас заметны действия и хактивистов, и тех, кому выгодно «выбивать» инфраструктуры конкурентов, указал Глеб Хохлов. В ряде случаев, по словам спикера, DDoS-атаки используются для «прощупывания» контура компании.

Дмитрий Никонов отметил, что мишенями хактивистов стали в том числе СМИ, предприятия электронной коммерции и др. Результатом становится не только репутационный, но и финансовый ущерб.

 

Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений, DDoS-GUARD

Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений, DDoS-GUARD

 

Александр Рукосуев, начальник отдела повышения уровня защищённости объектов КИИ Минцифры, рассказал, что DDoS сейчас используют как основной инструмент анализа инфраструктуры жертвы. Самая продолжительная атака в 2023 г. растянулась на девять месяцев. При этом методы и тактики злоумышленников постоянно совершенствуются.

Дмитрий Белянин:

Сейчас атаки в большей части смещаются в сторону ботнетов и их комбинаций, которые генерируют большое количество трафика. Мы видим увеличение доли атак на «умные» устройства, так как у них есть функция генерации полноценного трафика. Возрастает и актуальность защиты DNS.

Дмитрий Никонов добавил, что боты — это вызов всем провайдерам защиты. Роботов трудно выявить, и компании всё чаще обращаются за помощью в связи с этим.

По словам Луки Сафонова, технического директора Weblock, раньше атаки были нацелены на «забивание» полосы пропускания. Сейчас появляются новые утилиты, например «Тысяча игл», и атаки из простых становятся всё более сложными. Но и с такими угрозами компании уже научились справляться.

По мнению 35 % зрителей телеэфира, вероятность того, что их компания подвергнется DDoS-атаке, очень велика. «Высокий» уровень выбрали 30 % опрошенных, а «умеренный» — 25 %. 4 % оценивают такую вероятность как низкую, 6 % — как очень низкую.

 

Рисунок 2. Как вы оцениваете вероятность того, что ваша организация может столкнуться с DDoS-атакой?

Как вы оцениваете вероятность того, что ваша организация может столкнуться с DDoS-атакой

 

Поможет ли геофильтрация

Эксперты отметили также, что географическая фильтрация не является панацеей от DDoS. Антон Апряткин считает, что пользоваться таким инструментом следует в последнюю очередь, так как последствия его применения затрагивают и простых пользователей. Кроме того, всё больше атак запускают изнутри России на базе арендованных мощностей.

Вадим Солдатенков:

Геофильтрация неэффективна и не нужна. Сейчас в стране ведётся работа по созданию централизованной базы геоданных, и с определением принадлежности устройств к региону всё будет хорошо.

 

Вадим Солдатенков, руководитель направления продуктов по защите от DDoS, «Гарда Технологии»

Вадим Солдатенков, руководитель направления продуктов по защите от DDoS, «Гарда Технологии»

 

При этом, по мнению Глеба Хохлова, атак с площадок российских хостеров станет меньше, потому что правительство начало тесно взаимодействовать с ними по этому вопросу.

Сколько стоит DDoS-атака

Десять лет назад найти информацию о стоимости DDoS-атаки было не так легко: нужно было использовать Tor и искать подобные предложения от англоязычных пользователей, отметил Вадим Солдатенков. Сейчас хакеры повысили уровень маркетинга и подобную информацию можно просто «загуглить». В массе своей злоумышленники общаются в Telegram, оплачиваются такие услуги в криптовалюте. Стоимость начинается от 40 долларов США. Цена обычно зависит от цели (жертвы): атака сервера, сайта, приложения и т. д. При этом атаковать защищённую компанию будет гораздо дороже — от 1000 долларов (по данным Дмитрия Никонова — от 6000 долларов).

Эксперты напомнили, впрочем, что следует принимать в расчёт и стоимость самой информации.

Помогают ли регуляторы справляться с DDoS

Внимание государства сосредоточено на защите объектов критической информационной инфраструктуры. Приказ ФСТЭК России № 31, в частности, предписывает обеспечить меры противодействия распределённым атакам по типу «отказ в обслуживании». В то же время сертифицированных средств защиты от DDoS-атак в стране пока только три.

Сейчас ФСТЭК России предъявляет требования не к производителю, а к возможностям самого решения, считает Глеб Хохлов.

Банк России требует отчётности по атакам, которые связаны с недоступностью сервисов, от банков. У других сфер пока есть только общие рекомендации ФСТЭК.

 

Глеб Хохлов, директор по продукту MITIGATOR

Глеб Хохлов, директор по продукту MITIGATOR

 

В этом году будет запущена НСПА — национальная система противодействия атакам. Пока этот механизм отлаживается. Государство также активно блокирует VPN-сервисы. Повышены штрафы за утечки персональных данных.

Эксперты в студии упомянули среди прочего необходимость использования госзаказчиками и госкомпаниями того оборудования и ПО, которое числится в реестрах Минцифры и Минпромторга.

Как Россия справилась с атаками

По мнению большинства экспертов в студии, страна хорошо справилась с волнами обрушившихся на неё хакерских атак. Российские вендоры, которые ранее смотрели на иностранные ИБ-компании как на идолов, теперь могут конкурировать с ними. Вендорам пришлось вложить много средств в развитие своих решений, а компаниям — делать выводы и учиться в режиме реального времени.

При этом Глеб Хохлов отметил, что первые полгода страна была не совсем готова к объёму и уровню атак, поэтому «падали» ресурсы почти всех компаний. Однако позже ситуация стабилизировалась и компании привыкли жить в новой реальности, в которой постоянно нужно думать о защите. Теперь вендоры стали задумываться о защите на этапе разработки новых решений.

Техники защиты от DDoS-атак

Что лучше: локальное решение или облако

Компании могут пойти двумя путями: справиться своими силами или обратиться за услугой к специализированным вендорам. Первый подход могут применять те, для кого ущерб от DDoS невелик. Если же недоступность ресурсов повлечёт за собой крупные репутационные и финансовые потери или компания владеет КИИ, то тут стоит использовать защиту от специализированного провайдера, считает член правления АРСИБ Константин Саматов.

Дмитрий Белянин:

Облачные решения, безусловно, дешевле и покрывают 99 % потребностей заказчиков.

Локальные инсталляции дороже, их сложнее реализовывать и обслуживать в условиях кадрового голода на рынке.

Эксперты также посоветовали компаниям сначала тестировать решения, а уже потом их приобретать.

Большинство зрителей эфира для защиты от DDoS-атак используют комплексный подход. 22 % защищают только каналы связи, а 11 % — только веб-приложения и API. 19 % респондентов вообще не пользуются такими инструментами.

 

Рисунок 3. Какой защитой от DDoS-атак вы пользуетесь?

Какой защитой от DDoS-атак вы пользуетесь

 

Эффективные инструменты защиты от DDoS

Дмитрий Никонов:

Эффективнее всего выстраивать эшелонированную защиту и использовать комплексный подход к решению задач. Есть автоматизированные инструменты. Также нужно обращать внимание на работу поддержки. Стоит вручную настраивать трафик и в конце закрыть это всё WAF.

Антон Апряткин напомнил о необходимости принимать меры по обеспечению безопасности своего IP-адреса, чтобы не полагаться только на защиту провайдера.

Вадим Солдатенков:

Эшелонированную защиту нужно начинать с устранения уязвимостей приложений и закрытия ненужных выходов в интернет. Нужно также отрабатывать заранее сценарии реагирования на атаки.

Глеб Хохлов отметил важность эффективного выстраивания процессов, взаимодействия с вышестоящими эшелонами и владельцами ресурсов. Нужно чётко понимать, какие процессы идут в компании, и уже на этой основе выбирать нужные инструменты защиты.

Антон Белянин:

Нужно обращать внимание на конечный сервис и соблюдать правила цифровой гигиены. Очень важно не забывать приоритизировать ресурсы по критической значимости.

Машинное обучение и DDoS-атаки

Ведущий предложил экспертам задуматься над важным вопросом использования машинного обучения в проведении DDoS-атак и реагировании на них.

 

Артём Избаенков, заместитель директора по продуктовому развитию, ГК «Солар»

Артём Избаенков, заместитель директора по продуктовому развитию, ГК «Солар»

 

Вендоры ИБ пока недостаточно доверяют искусственному интеллекту и внедряют его очень осторожно. При этом атакующие уже начинают использовать ИИ в своих атаках; рано или поздно компаниям придётся защищаться с помощью подобных инструментов.

ИИ применяется пока не в реагировании, а в сборе информации, анализе подозрительной активности и т. д. Решение же о реагировании остаётся (и будет оставаться) за человеком.

Сейчас есть вполне эффективные методы реагирования на DDoS и без использования нейросетей, отметили эксперты в студии.

43 % зрителей эфира игнорируют риски DDoS из-за высокой стоимости защиты. 29 % смущены процессом настройки, а пятая часть респондентов считает, что такие атаки не оказывают влияния на их процессы и репутацию. 7 % ответили, что у них нет внешних ИТ-ресурсов, которые требуют защиты.

 

Рисунок 4. По какой причине вы игнорируете риски DDoS-атаки?

По какой причине вы игнорируете риски DDoS-атаки

 

Эксперты при этом подчеркнули, что защита, безусловно, дорога, однако заказчик заплатит ещё больше, если пострадает от успешной атаки злоумышленников.

Рекомендации по защите веб-ресурсов

Ведущие эксперты телеэфира AM Live посоветовали для защиты веб-ресурсов отказываться от устаревших решений (legacy). Важно, чтобы сама архитектура приложения обеспечивала защиту. Решение также должно быть масштабируемым.

Нужно выбирать дорогой хостинг, который вкладывается в ресурсы защиты. Если же заказчики получают что-то дёшево или вовсе бесплатно, то, скорее всего, им предоставляют некачественные услуги.

Тренды в защите и реализации DDoS-атак

Дмитрий Белянин:

Количество атак и их ёмкость будут только увеличиваться. Какой бы хорошей ни была защита, ботнет может «положить» ресурсы. Нужно будет активно вкладываться в исследования и наращивать мощности по защите.

 

Дмитрий Белянин, руководитель направления предпродаж, StormWall

Дмитрий Белянин, руководитель направления предпродаж, StormWall

 

Вадим Солдатенков:

Стоит учитывать распространение «умных» устройств и атак на них. Вместе с эволюцией таких устройств становятся всё более сложными атаки с их помощью.

Антон Апряткин:

В краткосрочной перспективе атаки будут связаны с государством в преддверии выборов. Но с выходом новых технологий будут появляться и новые уязвимости в них.

 

Антон Апряткин, руководитель отдела клиентских решений NGENIX

Антон Апряткин, руководитель отдела клиентских решений NGENIX

 

Дмитрий Никонов:

Поддерживаю коллег в прогнозах. Действительно стоит обратить внимание на мобильные прокси-фермы. Количество атак будет расти вместе с их интенсивностью. Под атаки будут попадать все компании.

Итоги эфира

Подавляющее большинство зрителей эфира AM Live (67 %) убедились, что они всё делают правильно. 17 % планируют менять поставщиков и усиливать защиту, а 12 % — заинтересовались защитой от DDoS, но пока посчитали её избыточной для себя. 4 % опрошенных ответили, что эксперты не смогли убедить их в необходимости защиты от таких атак.

 

Рисунок 5. Каково ваше мнение о защите от DDoS-атак после эфира?

Каково ваше мнение о защите от DDoS-атак после эфира

 

Выводы

Компания в первую очередь должна оценить риски и стоимость защиты: не превышает ли она стоимость самих данных. Если превышает, то нужно отлаживать процессы и заранее отыгрывать сценарии кибератак, выстраивать эшелонированную защиту и не забывать об обучении персонала кибергигиене. Однако в современном мире ни одна компания не сможет избежать встреч с какой-либо из хакерских угроз, поэтому нужно заранее готовиться и обеспечивать безопасность.

Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru