Стандартный заголовок новостей по информационной безопасности последних нескольких месяцев начинается со слов "Отмечен резкий рост DDoS-атак на…". Дальше следуют страна, название компании, отрасли. Так, в последнее время часто атаковались СМИ, сайты госструктур, промышленные объекты, больницы, банки, ИТ-компании, компании, связанные с ОПК. Если вы не нашли в этом кратком списке ваш бизнес, вам повезло, но никто уже не может быть уверен, что его деятельность не интересна злоумышленникам.
Тема защиты от атак на отказ в обслуживании (DoS – Denial of Service) не нова. Впервые с более-менее серьезными DOS-атаками я столкнулся в своей практике в 2009–2010 гг. во время волны атак на системы дистанционного банковского обслуживания (ДБО) юридических лиц. У злоумышленников некоторое время была тактика, что после проведения несанкционированного списания средств со счетов какой-то организации они пыталось DoSить сервис ДБО. Возможно, они опасались, что клиент быстро отреагирует на несанкционированное списание, и таким образом пытались помешать ему получить информацию о состоянии расчетного счета. Но очень скоро они поняли, что достаточно вывести из строя компьютер бухгалтера организации, с которого они крали логин/пароль и ключи электронной цифровой подписи, и отказались от DoS-атак. Что касается самих DoS-атак, то они были достаточно просты, не отличались большой мощностью и редко достигали цели – банковские системы ДБО продолжали работать.
Много воды утекло с тех пор. Технологии шагнули далеко вперед, в том числе технологии проведения DDoS-атак (Distributed Denial of Service) и защиты от них.
Мы с вами живем в эпоху цифровой трансформации. Практически любая уважающая себя компания имеет или использует какие-то сервисы в интернете. С учетом пандемии многие используют удаленный формат работы, как минимум есть возможность удаленной работы с электронной почтой. Все эти сервисы могут стать мишенью для DoS-атаки. Так что актуальность DoS- и DDoS-атак растет с каждым годом. Долгое время многие компании считали, что DDoS-атаки им не грозят, что они никому не интересны, никто их DDoSить не будет. Но цели злоумышленников могут быть совершенно различны. Вас могут атаковать с целью вымогания денег за прекращение DDoS-атаки и восстановление работоспособности вашего сервиса, вас могут "заказать" конкуренты, вас могут DDoSить по политическим мотивам!
События марта-апреля 2022 г. показали, что никто не застрахован от DDOS-атак. Атакам подверглось огромное количество компаний в России из разных областей деятельности.
Основной удар пришелся на государственные структуры, финансовый сектор и СМИ, но и остальным отраслям тоже досталось. В текущей ситуации кибератаке может подвергнуться любая российская организация. В арсенале хакеров значительное число различных кибератак, но весной 2022 г. основную часть составляли именно DDoS-атаки. Связано это с участием в них значительного числа политически мотивированных хактивистов, основная цель которых – навредить. А относительно простые и наиболее деструктивные атаки – это атаки на отказ в обслуживании.
Если вы решили защищаться от DDoS-атак, принципиально вы можете выбрать для себя одну из трех стратегий:
Я не сторонник реализации систем защиты от DDoS собственными силами (on-premise), но все же перечислю те классы устройств, которые вы можете использовать для решения данной задачи.
IPS обычно имеют в своем составе преднастроенные политики и правила защиты от DoS-атак. Но возможности IPS по защите от DDoS-атак достаточно ограниченны. По умолчанию это правила по обрезанию трафика при достижении пороговых значений, при этом режется любой, в том числе и легальный, трафик. Как таковая чистка трафика не производится.
Можно разработать более интеллектуальные правила, но это требует высокой квалификации и значительных временных затрат, в том числе на постоянную актуализацию таких правил.
На самом деле эффективность отражения DDoS-атаки зависит не столько от ваших действий по ее отражению в ходе самой атаки, сколько от правильной подготовки системы защиты и ваших бизнес-сервисов, которые вы защищаете.
Как мы выяснили в предыдущей части, целесообразнее использовать внешний сервис защиты от DDoS, а не реализовывать систему защиты самостоятельно. Прежде всего надо убедиться, что провайдер услуги обеспечивает защиту от DDoS-атак как сетевого, так и прикладного уровня. Защиту от DDoS сетевого уровня обеспечивают практически все крупные телеком- и интернет-провайдеры, а вот с защитой от DDoS прикладного уровня ситуация не всегда так же хороша.
В свое время мы столкнулись с ситуацией, когда только один из двух интернет-провайдеров обеспечивал защиту от DDoS прикладного уровня. Нам пришлось вырабатывать довольно хитрые схемы переключений, чтобы при DDoS-атаках прикладного уровня весь трафик шел только через этого провайдера.
Настройки МСЭ должны быть выверены, никаких лишних открытых портов и протоколов. Еще лучше, если вы заранее продумаете, от каких сервисов вы готовы отказаться во время DDoS-атаки.
Необходимо определить геолокацию основного пула пользователей ваших сервисов. Тогда при DDoS-атаке вы сможете заблокировать все, кроме конкретных стран и регионов (например, оставить только российский сегмент).
Важно убедиться, что системы, на которых построены ваши интернет-сервисы, имеют запас не просто под пиковые нагрузки, а под небольшую DDoS-атаку. В момент начала DDoS-атаки, даже если у вас есть сервис защиты от провайдера, на систему будет повышенная нагрузка, так как система очистки трафика включается не мгновенно. И важно, чтобы ваш сервис не "лег" в этот момент.
Хорошей практикой является размещение разных сервисов или даже элементов одного сервиса на разных серверах. В этих случаях вам проще будет сохранить работоспособность наиболее важных для вас сервисов. Если у вас есть возможность оперативного увеличения ресурсов системы – это будет дополнительным плюсом при DDoS-атаках.
Хорошо, если у вас не один интернет-канал, а несколько и от разных провайдеров. Это делает систему защиты более гибкой, как минимум снижает вашу зависимость от одного провайдера.
Особое внимание хочу уделить вопросу профилирования трафика для организации более эффективного отражения DDoS-атак. Профили должны разрабатываться для каждого из ваших сервисов, причем с учетом специфики его работы – у вас могут быть недельные, месячные или квартальные пики, какие-то другие особенности. Чем лучше выстроен профиль нормального трафика для конкретного сервиса, тем проще выявлять и блокировать различные аномалии.
Любая система очистки трафика режет какой-то процент легальных сессий. Профилирование трафика позволяет существенно снизить этот процент.
Независимо от того, какой способ реализации системы защиты от DDoS вы выбрали, как и любую систему защиты, ее нужно проверять, тестировать. Опыт весны 2022 г. показал, что этому не уделяется должного внимания.
Когда мы начинали тестировать нашу систему защиты от DDoS более пяти лет назад, далеко не все ИБ-интеграторы предоставляли такую услугу. Сейчас ситуация существенно улучшилась, но тем не менее зачастую тестирование носит достаточно формальный и упрощенный характер:
Как правило, проверка осуществляется не на боевых системах, а на тестовых, конфигурация которых не всегда соответствует боевым. При атаках прикладного уровня не проводится анализ атакуемого веб-приложения, просто открывается главная страница сайта (сервиса). Ни атакующая сторона не проводит никакого анализа, как реагирует система защиты на те или иные методы атак, не пытается в зависимости от этого менять векторы атаки; ни защищающаяся, ни на уровне провайдера, ни на стороне самого клиента тоже не проводит никакого анализа. Отбила система провайдера тестовые DDoS-атаки в автоматическом режиме – хорошо, нет – пишем провайдеру ругательное письмо.
Все это приводит к тому, что данные тесты очень далеки от реальных условий, когда на вас проводится настоящая DDoS-атака.
Тестирование от DDoS должно быть аналогом пентеста. Исполнитель должен не просто выполнять последовательность атак, а пытаться вывести из строя ваш сервис. Если вы проводите киберучения, то в план таких киберучений стоит включать и учения по защите от DDoS-атак.
Основной целью тестирования является оценка эффективности всех компонентов защиты от DDoS-атак в условиях, приближенных к реальным.
Тестирование помогает в отработке действий персонала по отражению атак, взаимодействия между службами внутри организации и со специалистами, оказывающими внешний сервис. Довольно часто можно наблюдать, что специалисты атакуемой организации просто не знают, что им делать, когда в какой-то момент система защиты перестает справляться с атакой.
Очень важно, чтобы тестирование проводилось либо на боевой системе, либо на тестовой, максимально приближенной к боевой. Узким местом может оказаться не обязательно конечный атакуемый сервер. В одном из случаев у нас узким местом оказался, например, балансировщик нагрузки. Выявление и устранение проблемных мест в ИТ-инфраструктуре при DDoS-атаках – это одна из целей тестирования.
В ходе тестов вы можете определить предельные нагрузки для ваших сервисов. Понятно, что есть нагрузочные тестирования, но, как правило, они не учитывают специфику проведения DDoS-атак прикладного уровня. Интернет-сервисы постоянно развиваются, появляется новый функционал, поэтому важно периодически проводить такую переоценку. В ходе тестов вы можете скорректировать тактики масштабирования ИТ-активов для повышения устойчивости атакуемых сервисов, принять иные меры по совершенствованию процедур реагирования на DDoS-атаки.
Успех тестирования во многом зависит от правильной подготовки и проведения тестирования. Сейчас появились сервисы для самостоятельного проведения теста системы защиты от DDoS, но я бы рекомендовал привлекать к этому специализированные компании, имеющие опыт проведения подобных работ. Мы, как правило, пользовались услугами именно таких компаний. Важно, так сказать, "на берегу" согласовать с исполнителем все основные моменты проведения тестирования. Все-таки это довольно деструктивное воздействие на ИТ-инфраструктуру, а ваша задача не в том, чтобы вывести из строя тот или иной интернет-сервис, а в том, убедиться в эффективной работе системы защиты.
Поэтому важно составить список всех атакуемых узлов и определить типы атак в зависимости от их назначения и используемых протоколов, определить предельные нагрузки – максимальную мощность DDoS-атаки.
Важно согласовать проведение работ внутри организации, чтобы, если что-то пойдет не так, у вас были подтверждения того, что вы не занимались самодеятельностью, а все работы были согласованы и все участники были предупреждены о возможных последствиях. Поэтому важно, чтобы в тестировании принимали участие не только специалисты ИБ, но и администраторы защищаемых сервисов, сетевые администраторы – все те, кто будет участвовать в отражении реальной атаки.
В ходе атаки целесообразно фиксировать не только доступность атакуемых систем, но и все основные их параметры, а также параметры сетевого оборудования и устройств, через которые проходит трафик. Все это необходимо будет проанализировать по итогам тестирования. Полезно сравнить полученные результаты с предыдущими тестами, оценить динамику.
DDoS-атаки – достаточно специфический вид кибератак. Зачастую есть большое желание отдать функцию защиты на аутсорсинг и забыть об этой проблеме. Но так не работает ни одна система безопасности. Необходимо регулярно тестировать вашу систему защиты, и только тогда реальная DDoS-атака не застанет вас врасплох.
Опубликовано в журнале "Системы безопасности" № 5/2022
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Источник фото: freepik.com