На AM Live рассказали, какие последствия может иметь успешная DDoS-атака для организаций, инфраструктур и пользователей. Как проверить, насколько ваш сайт или приложение уязвимы для DDoS-атаки, какие для этого существуют эффективные инструменты и технологии?
- Введение
- Эволюция DDoS-атак
- Техники защиты от DDoS-атак
- Тренды в защите и реализации DDoS-атак
- Итоги эфира
- Выводы
Введение
Хакеры продолжают подвергать российские компании DDoS-атакам с целью нанести финансовый ущерб. Эта проблема очень актуальна, например, для компаний из сферы ретейла, так как их доход зависит от доступности сайтов и приложений. Сейчас количество DDoS-атак на ретейл в России в три раза больше, чем год назад, в марте 2023-го. Поэтому для компаний остаётся актуальным вопрос выбора отечественных инструментов для защиты от DDoS. Спикеры нового эфира AM Live поговорили об актуальных рисках в этой области и о способах обеспечить безопасность российских ресурсов.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Глеб Хохлов, директор по продукту MITIGATOR;
- Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений, DDoS-GUARD;
- Вадим Солдатенков, руководитель направления продуктов по защите от DDoS, «Гарда Технологии»;
- Дмитрий Белянин, руководитель направления предпродаж, StormWall;
- Антон Апряткин, руководитель отдела клиентских решений NGENIX.
Ведущий и модератор дискуссии — Артём Избаенков, заместитель директора по продуктовому развитию, ГК «Солар».
Эволюция DDoS-атак
Актуальные атаки
Сейчас заметны действия и хактивистов, и тех, кому выгодно «выбивать» инфраструктуры конкурентов, указал Глеб Хохлов. В ряде случаев, по словам спикера, DDoS-атаки используются для «прощупывания» контура компании.
Дмитрий Никонов отметил, что мишенями хактивистов стали в том числе СМИ, предприятия электронной коммерции и др. Результатом становится не только репутационный, но и финансовый ущерб.
Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений, DDoS-GUARD
Александр Рукосуев, начальник отдела повышения уровня защищённости объектов КИИ Минцифры, рассказал, что DDoS сейчас используют как основной инструмент анализа инфраструктуры жертвы. Самая продолжительная атака в 2023 г. растянулась на девять месяцев. При этом методы и тактики злоумышленников постоянно совершенствуются.
Дмитрий Белянин:
— Сейчас атаки в большей части смещаются в сторону ботнетов и их комбинаций, которые генерируют большое количество трафика. Мы видим увеличение доли атак на «умные» устройства, так как у них есть функция генерации полноценного трафика. Возрастает и актуальность защиты DNS.
Дмитрий Никонов добавил, что боты — это вызов всем провайдерам защиты. Роботов трудно выявить, и компании всё чаще обращаются за помощью в связи с этим.
По словам Луки Сафонова, технического директора Weblock, раньше атаки были нацелены на «забивание» полосы пропускания. Сейчас появляются новые утилиты, например «Тысяча игл», и атаки из простых становятся всё более сложными. Но и с такими угрозами компании уже научились справляться.
По мнению 35 % зрителей телеэфира, вероятность того, что их компания подвергнется DDoS-атаке, очень велика. «Высокий» уровень выбрали 30 % опрошенных, а «умеренный» — 25 %. 4 % оценивают такую вероятность как низкую, 6 % — как очень низкую.
Рисунок 2. Как вы оцениваете вероятность того, что ваша организация может столкнуться с DDoS-атакой?
Поможет ли геофильтрация
Эксперты отметили также, что географическая фильтрация не является панацеей от DDoS. Антон Апряткин считает, что пользоваться таким инструментом следует в последнюю очередь, так как последствия его применения затрагивают и простых пользователей. Кроме того, всё больше атак запускают изнутри России на базе арендованных мощностей.
Вадим Солдатенков:
— Геофильтрация неэффективна и не нужна. Сейчас в стране ведётся работа по созданию централизованной базы геоданных, и с определением принадлежности устройств к региону всё будет хорошо.
Вадим Солдатенков, руководитель направления продуктов по защите от DDoS, «Гарда Технологии»
При этом, по мнению Глеба Хохлова, атак с площадок российских хостеров станет меньше, потому что правительство начало тесно взаимодействовать с ними по этому вопросу.
Сколько стоит DDoS-атака
Десять лет назад найти информацию о стоимости DDoS-атаки было не так легко: нужно было использовать Tor и искать подобные предложения от англоязычных пользователей, отметил Вадим Солдатенков. Сейчас хакеры повысили уровень маркетинга и подобную информацию можно просто «загуглить». В массе своей злоумышленники общаются в Telegram, оплачиваются такие услуги в криптовалюте. Стоимость начинается от 40 долларов США. Цена обычно зависит от цели (жертвы): атака сервера, сайта, приложения и т. д. При этом атаковать защищённую компанию будет гораздо дороже — от 1000 долларов (по данным Дмитрия Никонова — от 6000 долларов).
Эксперты напомнили, впрочем, что следует принимать в расчёт и стоимость самой информации.
Помогают ли регуляторы справляться с DDoS
Внимание государства сосредоточено на защите объектов критической информационной инфраструктуры. Приказ ФСТЭК России № 31, в частности, предписывает обеспечить меры противодействия распределённым атакам по типу «отказ в обслуживании». В то же время сертифицированных средств защиты от DDoS-атак в стране пока только три.
Сейчас ФСТЭК России предъявляет требования не к производителю, а к возможностям самого решения, считает Глеб Хохлов.
Банк России требует отчётности по атакам, которые связаны с недоступностью сервисов, от банков. У других сфер пока есть только общие рекомендации ФСТЭК.
Глеб Хохлов, директор по продукту MITIGATOR
В этом году будет запущена НСПА — национальная система противодействия атакам. Пока этот механизм отлаживается. Государство также активно блокирует VPN-сервисы. Повышены штрафы за утечки персональных данных.
Эксперты в студии упомянули среди прочего необходимость использования госзаказчиками и госкомпаниями того оборудования и ПО, которое числится в реестрах Минцифры и Минпромторга.
Как Россия справилась с атаками
По мнению большинства экспертов в студии, страна хорошо справилась с волнами обрушившихся на неё хакерских атак. Российские вендоры, которые ранее смотрели на иностранные ИБ-компании как на идолов, теперь могут конкурировать с ними. Вендорам пришлось вложить много средств в развитие своих решений, а компаниям — делать выводы и учиться в режиме реального времени.
При этом Глеб Хохлов отметил, что первые полгода страна была не совсем готова к объёму и уровню атак, поэтому «падали» ресурсы почти всех компаний. Однако позже ситуация стабилизировалась и компании привыкли жить в новой реальности, в которой постоянно нужно думать о защите. Теперь вендоры стали задумываться о защите на этапе разработки новых решений.
Техники защиты от DDoS-атак
Что лучше: локальное решение или облако
Компании могут пойти двумя путями: справиться своими силами или обратиться за услугой к специализированным вендорам. Первый подход могут применять те, для кого ущерб от DDoS невелик. Если же недоступность ресурсов повлечёт за собой крупные репутационные и финансовые потери или компания владеет КИИ, то тут стоит использовать защиту от специализированного провайдера, считает член правления АРСИБ Константин Саматов.
Дмитрий Белянин:
— Облачные решения, безусловно, дешевле и покрывают 99 % потребностей заказчиков.
Локальные инсталляции дороже, их сложнее реализовывать и обслуживать в условиях кадрового голода на рынке.
Эксперты также посоветовали компаниям сначала тестировать решения, а уже потом их приобретать.
Большинство зрителей эфира для защиты от DDoS-атак используют комплексный подход. 22 % защищают только каналы связи, а 11 % — только веб-приложения и API. 19 % респондентов вообще не пользуются такими инструментами.
Рисунок 3. Какой защитой от DDoS-атак вы пользуетесь?
Эффективные инструменты защиты от DDoS
Дмитрий Никонов:
— Эффективнее всего выстраивать эшелонированную защиту и использовать комплексный подход к решению задач. Есть автоматизированные инструменты. Также нужно обращать внимание на работу поддержки. Стоит вручную настраивать трафик и в конце закрыть это всё WAF.
Антон Апряткин напомнил о необходимости принимать меры по обеспечению безопасности своего IP-адреса, чтобы не полагаться только на защиту провайдера.
Вадим Солдатенков:
— Эшелонированную защиту нужно начинать с устранения уязвимостей приложений и закрытия ненужных выходов в интернет. Нужно также отрабатывать заранее сценарии реагирования на атаки.
Глеб Хохлов отметил важность эффективного выстраивания процессов, взаимодействия с вышестоящими эшелонами и владельцами ресурсов. Нужно чётко понимать, какие процессы идут в компании, и уже на этой основе выбирать нужные инструменты защиты.
Антон Белянин:
— Нужно обращать внимание на конечный сервис и соблюдать правила цифровой гигиены. Очень важно не забывать приоритизировать ресурсы по критической значимости.
Машинное обучение и DDoS-атаки
Ведущий предложил экспертам задуматься над важным вопросом использования машинного обучения в проведении DDoS-атак и реагировании на них.
Артём Избаенков, заместитель директора по продуктовому развитию, ГК «Солар»
Вендоры ИБ пока недостаточно доверяют искусственному интеллекту и внедряют его очень осторожно. При этом атакующие уже начинают использовать ИИ в своих атаках; рано или поздно компаниям придётся защищаться с помощью подобных инструментов.
ИИ применяется пока не в реагировании, а в сборе информации, анализе подозрительной активности и т. д. Решение же о реагировании остаётся (и будет оставаться) за человеком.
Сейчас есть вполне эффективные методы реагирования на DDoS и без использования нейросетей, отметили эксперты в студии.
43 % зрителей эфира игнорируют риски DDoS из-за высокой стоимости защиты. 29 % смущены процессом настройки, а пятая часть респондентов считает, что такие атаки не оказывают влияния на их процессы и репутацию. 7 % ответили, что у них нет внешних ИТ-ресурсов, которые требуют защиты.
Рисунок 4. По какой причине вы игнорируете риски DDoS-атаки?
Эксперты при этом подчеркнули, что защита, безусловно, дорога, однако заказчик заплатит ещё больше, если пострадает от успешной атаки злоумышленников.
Рекомендации по защите веб-ресурсов
Ведущие эксперты телеэфира AM Live посоветовали для защиты веб-ресурсов отказываться от устаревших решений (legacy). Важно, чтобы сама архитектура приложения обеспечивала защиту. Решение также должно быть масштабируемым.
Нужно выбирать дорогой хостинг, который вкладывается в ресурсы защиты. Если же заказчики получают что-то дёшево или вовсе бесплатно, то, скорее всего, им предоставляют некачественные услуги.
Тренды в защите и реализации DDoS-атак
Дмитрий Белянин:
— Количество атак и их ёмкость будут только увеличиваться. Какой бы хорошей ни была защита, ботнет может «положить» ресурсы. Нужно будет активно вкладываться в исследования и наращивать мощности по защите.
Дмитрий Белянин, руководитель направления предпродаж, StormWall
Вадим Солдатенков:
— Стоит учитывать распространение «умных» устройств и атак на них. Вместе с эволюцией таких устройств становятся всё более сложными атаки с их помощью.
Антон Апряткин:
— В краткосрочной перспективе атаки будут связаны с государством в преддверии выборов. Но с выходом новых технологий будут появляться и новые уязвимости в них.
Антон Апряткин, руководитель отдела клиентских решений NGENIX
Дмитрий Никонов:
— Поддерживаю коллег в прогнозах. Действительно стоит обратить внимание на мобильные прокси-фермы. Количество атак будет расти вместе с их интенсивностью. Под атаки будут попадать все компании.
Итоги эфира
Подавляющее большинство зрителей эфира AM Live (67 %) убедились, что они всё делают правильно. 17 % планируют менять поставщиков и усиливать защиту, а 12 % — заинтересовались защитой от DDoS, но пока посчитали её избыточной для себя. 4 % опрошенных ответили, что эксперты не смогли убедить их в необходимости защиты от таких атак.
Рисунок 5. Каково ваше мнение о защите от DDoS-атак после эфира?
Выводы
Компания в первую очередь должна оценить риски и стоимость защиты: не превышает ли она стоимость самих данных. Если превышает, то нужно отлаживать процессы и заранее отыгрывать сценарии кибератак, выстраивать эшелонированную защиту и не забывать об обучении персонала кибергигиене. Однако в современном мире ни одна компания не сможет избежать встреч с какой-либо из хакерских угроз, поэтому нужно заранее готовиться и обеспечивать безопасность.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
