Журнал "Системы Безопасности" № 5‘2022

S E C U R I T Y A N D I T M A N A G E M E N T 20 Т ема защиты от атак на отказ в обслуживании (DoS – Denial of Service) не нова. впервые с более-менее серьезными DOS-атаками я столкнулся в своей практике в 2009–2010 гг. во время волны атак на системы дистанционно- го банковского обслуживания (дБО) юридиче- ских лиц. у злоумышленников некоторое время была тактика, что после проведения несанкцио- нированного списания средств со счетов какой- то организации они пыталось DoSить сервис дБО. возможно, они опасались, что клиент быстро отреагирует на несанкционированное списание, и таким образом пытались помешать ему получить информацию о состоянии расчет- ного счета. но очень скоро они поняли, что достаточно вывести из строя компьютер бухгал- тера организации, с которого они крали логин/пароль и ключи электронной цифровой подписи, и отказались от DoS-атак. что касается самих DoS-атак, то они были достаточно про- сты, не отличались большой мощностью и редко достигали цели – банковские системы дБО продолжали работать. Много воды утекло с тех пор. Технологии шаг- нули далеко вперед, в том числе технологии проведения DDoS-атак (Distributed Denial of Ser- vice) и защиты от них. Актуальность защиты от DDoS-атак Мы с вами живем в эпоху цифровой трансфор- мации. Практически любая уважающая себя компания имеет или использует какие-то сер- висы в интернете. С учетом пандемии многие используют удаленный формат работы, как минимум есть возможность удаленной работы с электронной почтой. все эти сервисы могут стать мишенью для DoS-атаки. Так что актуаль- ность DoS- и DDoS-атак растет с каждым годом. долгое время многие компании считали, что DDoS-атаки им не грозят, что они никому не интересны, никто их DDoSить не будет. но цели злоумышленников могут быть совершенно раз- личны. вас могут атаковать с целью вымогания денег за прекращение DDoS-атаки и восстанов- ление работоспособности вашего сервиса, вас могут "заказать" конкуренты, вас могут DDoSить по политическим мотивам! События марта-апреля 2022 г. показали, что никто не застрахован от DDOS-атак. атакам подверглось огромное количество компаний в России из разных областей деятельности. Основной удар пришелся на государственные структуры, финансовый сектор и СМи, но и остальным отраслям тоже досталось. в текущей ситуации кибератаке может подверг- нуться любая российская организация. в арсе- нале хакеров значительное число различных кибератак, но весной 2022 г. основную часть составляли именно DDoS-атаки. Связано это с участием в них значительного числа полити- чески мотивированных хактивистов, основная цель которых – навредить. а относительно про- стые и наиболее деструктивные атаки – это атаки на отказ в обслуживании. Как же защитить свою ИТ-инфраструктуру от DDoS-атак? Если вы решили защищаться от DDoS-атак, принципиально вы можете выбрать для себя одну из трех стратегий: 1. Пытаться организовать защиту самостоятель- но у себя на периметре. недостатки такого решения очевидны: вам могут забить все вхо- дящие интернет-каналы, и тогда никакое уста- новленное у вас оборудование вас не спасет. Само оборудование для защиты от DDoS-атак достаточно дорогостоящее, а специалисты для его обслуживания тоже на дороге не валяются. Поэтому более целесообразным выглядит вари- ант передачи этой функции на аутсорсинг. и здесь есть следующие варианты. 2. заключить договор с вашим интернет-провай- дером. Казалось бы, это самый простой и пра- вильный вариант, обычно этот сервис идет как опция к основному договору на канал передачи данных. но тут важно убедиться, что это не просто галочка в договоре, а реально работающая систе- ма защиты. Большинство провайдеров защищают от атак сетевого уровня, а с прикладным ситуация обстоит не так хорошо. Стоит внимательно озна- комиться с условиями данного сервиса, так как провайдер услуг, как правило, не берет на себя практически никакой ответственности, если пре- доставляемый сервис окажется неэффективным. Если вы используете какие-то известные облач- ные сервисы или хостинги, то такую услугу вам может предоставлять владелец облачного сер- виса или хостинга. здесь ситуация во многом аналогична только что рассмотренному случаю. 3. 3аключить договор со специализированными сервисами очистки трафика. Первый вариант подключения – это когда весь трафик всегда идет через облако провайдера такого сервиса; вто- рой – когда трафик заворачивается на сервис очистки только в момент самой DDoS-атаки. вто- рой вариант, как правило, существенно дешевле. При взаимодействии со специализированными сервисами очистки трафика могут быть техноло- гические и технические сложности заведения трафика в облако провайдера и определенные ограничения, например отсутствие реальных IP-подключаемых клиентов (которые необходи- мы для работы систем фрод-анализа). я не сторонник реализации систем защиты от DDoS собственными силами (on-premise), но все же перечислю те классы устройств, которые вы можете использовать для решения данной задачи. l Межсетевой экран (FWNG) + система пред- отвращения атак (IPS). на межсетевом экра- не вы блокируете весь ненужный трафик, а с помощью IPS выявляете и блокируете паразитный трафик, который идет по разре- шенным протоколам. IPS обычно имеют в своем составе предна- строенные политики и правила защиты от DoS- атак. но возможности IPS по защите от DDoS- атак достаточно ограниченны. По умолчанию это правила по обрезанию трафика при дости- жении пороговых значений, при этом режется любой, в том числе и легальный, трафик. Как таковая чистка трафика не производится. Можно разработать более интеллектуальные правила, но это требует высокой квалификации и значительных временных затрат, в том числе на постоянную актуализацию таких правил. l Специализированный межсетевой экран для веб-приложений (WAF). данное средство поз- воляет реализовать правила защиты от DDoS- атак прикладного уровня. в целом рабочий инструмент, но тоже требует постоянного вни- мания и подстройки. При внедрении такого WAF с точки зрения его производительности необходимо также ориентироваться не на стандартные параметры веб-трафика к вашему сервису, а на параметры в несколько раз боль- шие. в противном случае сам WAF может стать точкой отказа при DDoS-атаке. l Специализированные программно-аппарат- ные комплексы для защиты от DDoS-атак. Это наиболее эффективное, но и наиболее доро- гостоящее оборудование. на самом деле эффективность отражения DDoS-атаки зависит не столько от ваших дей- ствий по ее отражению в ходе самой атаки, сколько от правильной подготовки системы защиты и ваших бизнес-сервисов, которые вы защищаете. октябрь – ноябрь 2022 www.secuteck.ru СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв и финанСОвых учРЕждЕний в нОвых уСлОвиях Анатолий Скородумов Независимый эксперт, экс-начальник Управления по обеспечению информационной безопасности ПАО "Банк Санкт-Петербург" Защита от DDoS-атак. Опыт и практика Стандартный заголовок новостей по информационной безопасности последних нескольких месяцев начинается со слов "Отмечен резкий рост DDoS-атак на…". Дальше следуют страна, название компании, отрасли. Так, в последнее время часто атаковались СМИ, сайты госструктур, промышленные объекты, больницы, банки, ИТ-компании, компании, связанные с ОПК. Если вы не нашли в этом кратком списке ваш бизнес, вам повезло, но никто уже не может быть уверен, что его деятельность не интересна злоумышленникам