В последние годы глобальный цифровой ландшафт характеризует резкое усиление активности киберпреступников. Одним из наиболее опасных направлений их деятельности стали распределенные атаки типа «отказ в обслуживании» или DDoS. Подобные нападения теперь массово угрожают не только крупному интернет-бизнесу, но и критической ИТ-инфраструктуре финансовых и промышленных предприятий, ведущих СМИ, а также государственных ведомств.
Одной из причин, по которой DDoS представляют столь серьезную угрозу, является сложность их отражения. Зачастую, тут не спасает даже наличие в организации собственного ИТ-отдела и достаточных технических ресурсов. Распределенные атаки, производимые десятками различных способов с огромного количества захваченных устройств по всему миру, способны за считанные минуты «положить» даже самый мощный сервер, оснащенный защитными средствами.
Неудивительно, что успешно справляться с DDoS-атаками способны только профессионалы, специализирующиеся на информационной безопасности (ИБ) и обладающие достаточным инструментарием для решения столь сложных задач. В этой статье мы подробно расскажем, как выбрать сервис защиты от DDoS, опираясь не на красивую «картинку» и громкое имя, а на фактические возможности провайдера и потребности собственного информационного ресурса.
Что такое DDoS
DDoS (Distributed Denial of Service, «распределенный отказ в обслуживании») — это кибератака, которая вызывает нарушения работы сети, веб-сервиса, сайта или сервера, через переполнение системы трафиком или запросами с внешних зараженных устройств. Подобные захваченные устройства или боты обычно объединены в «зомби-сеть» (ботнет) под контролем одного или нескольких киберпреступников (ботмастеров).
Наиболее часто DDoS-атаки направлены на инфраструктуру компаний или организаций, чья деятельность тесно связана с интернетом. В списке жертв подобных распределенных нападений регулярно оказываются крупные интернет-магазины и маркетплейсы, медиа-порталы, официальные сайты государственных предприятий, банков, СМИ, серверы гигантов ИТ-индустрии и телеком-провайдеров. В последние годы участились DDoS-атаки на так называемые объекты критической информационной инфраструктуры (КИИ), имеющие стратегическое значение для всего государства. .
С развитием информационных технологий DDoS-атаки постоянно усложняются и становятся мощнее, а доступ к ним получают даже те, кто имеет минимальное знакомство со сферой ИТ. Сегодня этот инструмент используют не только хакеры или кибервымогатели, но и простые обыватели, желающие свести личные счеты или выразить политические взгляды. Начать DDoS может любой желающий в «пару кликов» — достаточно ноутбука, смартфона или другого устройства с выходом в интернет.
Чем опасны DDoS-атаки
Потеря прибыли и клиентов
DDoS-атаки генерируют поток ложных данных, который блокирует легитимный трафик на серверы организации или компании. После этого, веб-ресурс становится недоступен — иногда на часы, а при особо крупных нападениях, даунтайм (время простоя) может исчисляться сутками. Когда речь идет о сайтах электронной коммерции или коммерческих порталах, цена подобного простоя может быть прямым ударом по прибыли. Ведь клиенты не будут ждать и просто уйдут к конкурентам.
Понижение репутации
Остановка работы сайта компании может нести не только финансовые, но и репутационные риски. Клиенты и партнеры, недовольные качеством работы веб-ресурса, могут озвучивать свое мнение в отзывах на тематических площадках. Эта публично размещенная информация будет оказывать отложенный негативный эффект, даже спустя годы, после исчерпания инцидента.
Потеря данных
Часто DDoS-атаки служат отвлекающим маневром для совершения других киберпреступлений, например, взлома корпоративных сетей для кражи ценной коммерческой или личной информации. Захваченные данные могут потом появится в свободном доступе или быть проданы конкурентам. В худшем случае, злоумышленники могут просто заблокировать корпоративные базы данных программами-вымогателями с целью получения выкупа или просто стереть их, нанеся непоправимый ущерб информационной инфраструктуре предприятия.
Ухудшение производительности
DDoS-атаки могут нанести сокрушительный вред функционированию сетевых ресурсов компании, что нанесет вред и другим компонентам производственного процесса. Сотрудники, потерявшие доступ к привычным средствам внутренней связи, корпоративным приложениям и базам данных, потеряют возможность к штатному исполнению своих обычных обязанностей.
Дополнительные расходы на восстановление
Обнаружение и прекращение DDoS не исчерпывают перечень мер по борьбе с подобным киберпреступлением. Ресурсу, подвергшемуся атаке, предстоит еще справится с её последствиями — восстановить нормальную работу сети, обеспечить защиту от повторения таких инцидентов. Для этого компаниям часто приходится дополнительно привлекать профессионалов из сферы информационной безопасности (ИБ), оплата услуг которых ляжет серьезным обременением на бюджет.
Этапы отражения DDoS-атаки
Обнаружение
Обнаружение отклонений в текущем потоке трафика — первый щаг по борьбе с распределенными атаками типа «отказ в обслуживании». Решение по защите от DDoS-атак предварительно обучается на сигнатурах, характеризующих нормальный пользовательский трафик. Затем защитная система начинает отслеживать в режиме реального времени любые отклонения от этой нормы с целью мгновенной детекции кибернападения.
Перенаправление
Обнаруженный подозрительный трафик перенаправляется от целевого сервера с помощью нескольких методов: DNS-маршрутизации или протокола BGP. После этого шага система делает выбор: фильтровать или полностью отбрасывать перенаправленный трафик.
Фильтрация
На этапе фильтрации зараженный DDoS-трафик отсеивается от обычного (например, от пользователей, поисковых роботов или API приложений). Система защиты выявляет закономерности и анализирует различия между легитимным и вредоносным трафиком. Цель этого шага — заблокировать любые разновидности DDoS-атаки, не мешая работе пользователя.
Анализ
На этом этапе система регистрирует любую атаку или событие, чтобы идентифицировать злоумышленника и улучшить будущую функциональность защиты. Существуют различные уровни анализа. Стандартное ведение журнала (логов) требует некоторой доли обработки информации вручную. Существуют и продвинутые аналитические инструменты безопасности, которые могут дать более детальную информацию об атаке, чтобы понять, как она произошла и, возможно, откуда она взялась.
На что обращать внимание при выборе провайдера
Каждое предприятие уникально и будет иметь разные приоритеты при выборе поставщика защиты от DDoS-атак. Однако, есть несколько ключевых технических аспектов, на которые нужно обратить внимание каждому, кто ищет подобный сервис.
Модель развертывания
Каждый провайдер защиты от DDoS-атак развертывает свои решения, следуя собственной технологической модели. Среди типовых моделей развертывания анти-DDoS решений выделяют следующие виды:
- Локальная — на канале устанавливается устройство, которое анализирует трафик перед отправкой в целевую сеть. Обычно реализацией служат специализированные центры очистки на стороне интернет-провайдера.
- Облачная — главное преимущество этой модели быстрое развертывание, которое не зависит от локального оборудования.
- Гибридная — модель гибридного развертывания объединяет лучшие практики двух предыдущих подходов. Выбранная вами модель развертывания должна зависеть от вашего профиля риска, типа атак и локальной установки.
При выборе поставщика услуги важно убедится, что их модель развертывания соответствует хостинг-платформе защищаемого ресурсы, а также подходит под профиль предполагаемых угроз, тип и интенсивность трафика.
Емкость сети
Пропускная способность сети — один из основных способов быстро оценить возможности решения по предотвращению DDoS-атак. Этот параметр напрямую отражает, насколько большой объем вредоносного трафика система способна обработать в случае кибернападения. Например, DDoS-защита с сетевой емкостью в 1 Тбит/с должна быть способная отражать атаки мощностью до 1 Тбит/с.
Существует также определенная полоса пропускания, необходимая защищаемому веб-сервису для поддержания своей базовой функциональности. При выборе сервиса защиты от DDoS, нужно убедиться, что пропускная способность сети этого сервиса достаточно высока, чтобы покрыть объем трафика, необходимый для корректной работы защищаемого ресурса.
Обрабатывающая способность
Возможности обработки защитной сети отражают скорость пересылки данных, с которой центры очистки могут анализировать и пересылать пакеты в процессе отражения атаки. Обрабатывающая способность измеряется в пакетах в секунду (PPS). Понимание вычислительной мощности анти-DDoS инструмента имеет первостепенное значение для оценки того, насколько сильной будет защита во время атаки.
Если представить защиту от DDoS-атак в виде условной стены, то вычислительная мощность будет определять, насколько толста стена и насколько сильна атака, которую она может выдержать, прежде чем рухнет. В современном мире скорость DDoS-атак обычно достигает 50 миллионах пакетов в секунду, но мощные кибернападения могут достигать скорости от 200 до 300 миллионах пакетов в секунду.
Какие уровни OSI защищаются
Сетевая модель OSI (Open Systems Interconnection) отражает универсальные пути взаимодействия различных сетевых устройств в телекоммуникационных и компьютерных системах. Всего таких уровней различают семь, но наиболее уязвимыми для DDoS-атак, а соответственно приоритетными в плане защиты, являются третий (L-3 OSI, Сетевой), четвертый (L-4 OSI, Транспортный) и седьмой (L-7 OSI, Прикладной).
DDoS-атаки на сетевом уровне полагаются на крупные объемы зараженного трафика, который забивает каналы и сильно влияет на ИТ-инфраструктуру «цели». Существует несколько основных методов защиты от подобных атак «на объем» (Volume-based attacks), включая нулевую маршрутизацию (null routing), использование «воронки» (sinkholing), очистку (scrubbing) и маскировку IP-адресов (IP masking).
DDoS-атаки на транспортном уровне в основном направлены на уязвимости основных протоколов, используемых для передачи данных по L-4 OSI, включая UDP (User Datagram Protocol) и TCP (Transmission Control Protocol). Такие атаки на протоколы (Protocol attacks), как SYN-флуд стремятся вызвать чрезмерное потребление ресурсов сервера и/или сетевого оборудования, такого как брандмауэры и балансировщики нагрузки.
DDoS-атаки на прикладном уровне обычно отличаются меньшим масштабом, чем атаки на L-3 OSI, но зато они гораздо более скрытые. Этот тип кибернападений пытается имитировать обычный трафик, чтобы обойти защитные инструменты. Чтобы остановить атаки на L-7 OSI, защитное решение должно иметь возможность профилировать трафик HTTP/S и отделять ботов от легитимных пользователей.
Современные технологии позволяют проводить сложные многовекторные DDoS-атаки, использующие одновременное нападения на разных уровнях OSI и способные адаптироваться к стандартным средствам защиты. Поэтому, помимо стандартной для крупных анти-DDoS решений защиты на L-3, L-4 и L-7, приобретает особую важность способность провайдера защитить клиента от нападений и на других уровнях OSI, а в идеале — контролировать безопасность всех семи.
От каких типов DDoS защищает провайдер
Существует множество различных типов DDoS-атак, различающихся по направленности на определенный уровень модели OSI, используемым протоколам передачи данных и механизму воздействия.
По данным статистики, большинство распределенных атака типа «отказ в обслуживании» имеют смешанный характер. Поэтому, при выборе поставщика защиты от DDoS, важно убедиться, что он имеет успешный практический опыт борьбы как с наиболее распространенными типами этих киберугроз, так и с новыми их разновидностями.
Механизм фильтрации трафика
Качество DDoS-защиты во многом зависит от комплексности услуги. Не в последнюю очередь это относится к методике, применяемой провайдером для фильтрации и очистки клиентского трафика. Различают две основные схемы такой фильтрации:
- Симметричная — через фильтры центра очистки прогоняется и входящий, и исходящий трафик. Это решения хотя и дороже, но позволяет обеспечить максимальный уровень защиты от уязвимости к DDoS-атакам, включая такие сложные в отражении типы, как TCP Reflection (атака с усилением отражения) или случайно генерируемый UDP-флуд. Симметричную схему фильтрации часто применяют при защите прикладного уровня L-7 OSI, а также при выстраивании систем киберобороны критически важных приложений и сервисов.
- Асимметричная — фильтруется только входящий трафик. Это самая доступная по цене и простая схема, позволяющая быстро включить DDoS-защиту, но дающая гораздо меньший уровень защиты. Ее часто применяют те, кто уверен в способности собственных серверных ресурсов «переварить» огромный объем нелегитимного трафика от ботнета, без потери функциональности всей системы.
В отдельных случаях провайдеры сервисов защиты от DDoS предусматривают гибридную схему, при которой асимметричная фильтрации используется в качестве основной, а симметричная подключается по требованию, в случае сильной атаки.
Характеристики центров очистки трафика, используемых провайдером, не менее важны для оценки качества анти-DDoS услуг, чем модель фильтрации. Важно, чтобы эти сервисы обладали достаточной пропускной способностью, имели собственные CDN для быстрого кеширования статического контента, а также находились в той же стране, где расположен защищаемый сайт, сервер или сеть.
Модель оплаты
На рынке существует несколько различных моделей ценообразования на услуги защиты от DDoS. Каждая из них имеет свои сильные и слабые стороны, поэтому выбор должен основываться на индивидуальных предпочтениях и потребностях защищаемого веб-ресурса.
Фиксированная ежемесячная плата — это самая простая и распространенная модель ценообразования услуг защиты от DDoS-атак. Чтобы подобная система оплаты действительно отражала предполагаемый объем работ (который может достаточно сильно изменяться, при регулярных и массированных атаках), провайдеру услуг нужно проводить взвешенный предварительный анализ индивидуальных особенностей DDoS-защиты каждого ресурса.
Ценообразование на основе оказанных услуг — цена на защиту от DDoS-атак складывается из базовой стоимости услуг, а также оплаты за внедрение, поддержку или другие виды связанных работ. Это решение может хорошо работать, если у заказчика есть собственная опытная ИТ-команда, которую требуется усилить компетенциями сторонних специалистов по информационной безопасности.
Оплата по модели PAYG (Pay As You Go, «плати по мере потребления») — заказчик ничего не платит, до тех пор, пока его веб-ресурс не атакуют. Встречается также вариант оплаты по модели PAYG с учетом очищенного трафика. Это решение может показаться привлекательным для бизнеса, поскольку сулит экономию на регулярных платежах. Однако в случае крупной DDoS-атаки выгода может легко обернуться еще большими тратами на экстренное устранение последствий или оплату за объем очищенного трафика.
Скорость реакции и сроки устранения последствий
Большинство DDoS-атак рассчитаны на то, чтобы вывести из строя целевой сайт или сетевую инфраструктуру «с одного удара». От скорости реакции защитного периметра на кибернападение будет во многом зависеть, как быстро ресурс восстановит нормальную работу и насколько тяжелые последствия будет иметь атака. Помимо времени реакции автоматических систем, немаловажна и оперативность реагирования сотрудников техподдержки провайдера, а также доступность этих сотрудников в режиме 24/7.
Вопрос о том, сколько времени займет процесс полного устранения последствий DDoS-атаки также не является простой технической формальностью. Подобные нападения способны вывести из строя целевой сервер или сеть в течение нескольких минут, а процесс восстановления может занять несколько часов. Последствия простоя информационной инфраструктуры могут быть чрезвычайно дорогостоящими для любого предприятия и потенциально влиять на его работу в течение нескольких недель или месяцев.
Что нужно от заказчика
Покупатели анти-DDoS решений также должны узнать у поставщика услуги, что может потребоваться с их стороны для установки подобной защиты. Например:
- Легко ли решение настроить и использовать или оно требует крутой кривой обучения и будет сложным в освоении для сотрудников на месте?
- Нужно ли переключиться на нового интернет-провайдера или вносить изменения в конфигурацию используемого оборудования?
- Обязательна ли устанавливать защитное оборудование локально? Если да, то насколько сложен процесс настройки и установки, и сколько времени потребуется, чтобы начать работу?
Заключение
Выбирая лучший сервис защиты от DDoS-атак, нужно не только представлять себе механизм подобных кибернападений, но и обращать самое пристальное внимание на такие системные факторы, как:
- модель развертывания услуги;
- емкость и обрабатывающая способность сети;
- степень защищенности разных уровней сетевой модели OSI;
- виды DDoS, от которых защищает система;
- механизм фильтрации трафика;
- скорость реакции на атаку;
- модель оплаты услуг.
Надежный поставщик услуг анти-DDoS не только даст комплексную защиту от всех типов атак, охватывающую семь сетевых уровней модели OSI. Он также предоставит оперативно реагирующую техническую поддержку, выгодную модель ценообразования, а также подберет другие решения, которые лучше всего подходят под уникальные особенности конкретного предприятия.