Журнал "Системы Безопасности" № 5‘2022

S E C U R I T Y A N D I T M A N A G E M E N T 21 На что стоит обратить внимание при построении системы защиты от DDoS? Как мы выяснили в предыдущей части, целесообразнее использовать внешний сер- вис защиты от DDoS, а не реализовывать систему защиты самостоятельно. Прежде всего надо убедиться, что провайдер услуги обеспечивает защиту от DDoS-атак как сете- вого, так и прикладного уровня. защиту от DDoS сетевого уровня обеспечивают прак- тически все крупные телеком- и интернет- провайдеры, а вот с защитой от DDoS при- кладного уровня ситуация не всегда так же хороша. в свое время мы столкнулись с ситуацией, когда только один из двух интернет-провайдеров обеспечивал защиту от DDoS прикладного уров- ня. нам пришлось вырабатывать довольно хит- рые схемы переключений, чтобы при DDoS-ата- ках прикладного уровня весь трафик шел толь- ко через этого провайдера. настройки МСЭ должны быть выверены, ника- ких лишних открытых портов и протоколов. Еще лучше, если вы заранее продумаете, от каких сервисов вы готовы отказаться во время DDoS- атаки. необходимо определить геолокацию основного пула пользователей ваших сервисов. Тогда при DDoS-атаке вы сможете заблокировать все, кроме конкретных стран и регионов (например, оставить только российский сегмент). важно убедиться, что системы, на которых построены ваши интернет-сервисы, имеют запас не просто под пиковые нагрузки, а под небольшую DDoS-атаку. в момент начала DDoS-атаки, даже если у вас есть сервис защиты от провайдера, на систему будет повышенная нагрузка, так как система очи- стки трафика включается не мгновенно. и важно, чтобы ваш сервис не "лег" в этот момент. хорошей практикой является размещение раз- ных сервисов или даже элементов одного сер- виса на разных серверах. в этих случаях вам проще будет сохранить работоспособность наи- более важных для вас сервисов. Если у вас есть возможность оперативного увеличения ресур- сов системы – это будет дополнительным плю- сом при DDoS-атаках. хорошо, если у вас не один интернет-канал, а несколько и от разных провайдеров. Это делает систему защиты более гибкой, как минимум снижает вашу зависимость от одно- го провайдера. Особое внимание хочу уделить вопросу про- филирования трафика для организации более эффективного отражения DDoS-атак. Профили должны разрабатываться для каждого из ваших сервисов, причем с учетом специфики его работы – у вас могут быть недельные, месячные или квартальные пики, какие-то дру- гие особенности. чем лучше выстроен про- филь нормального трафика для конкретного сервиса, тем проще выявлять и блокировать различные аномалии. любая система очистки трафика режет какой- то процент легальных сессий. Профилирование трафика позволяет существенно снизить этот процент. Ошибки тестирования системы защиты от DDoS-атак независимо от того, какой способ реализации системы защиты от DDoS вы выбрали, как и любую систему защиты, ее нужно проверять, тестировать. Опыт весны 2022 г. показал, что этому не уделяется должного внимания. Когда мы начинали тестировать нашу систему защиты от DDoS более пяти лет назад, далеко не все иБ-интеграторы предоставляли такую услугу. Сейчас ситуация существенно улучшилась, но тем не менее зачастую тестирование носит достаточ- но формальный и упрощенный характер: l проверяется исключительно срабатывание автоматизированных механизмов защиты; l атака идет с небольшого количества IP; l используется очень ограниченный набор DDoS-атак; l тестирование проводится в течение короткого времени, как правило не более получаса на один сервис. Как правило, проверка осуществляется не на боевых системах, а на тестовых, конфигурация которых не всегда соответствует боевым. При атаках прикладного уровня не проводится ана- лиз атакуемого веб-приложения, просто откры- вается главная страница сайта (сервиса). ни ата- кующая сторона не проводит никакого анализа, как реагирует система защиты на те или иные методы атак, не пытается в зависимости от этого менять векторы атаки; ни защищающаяся, ни на уровне провайдера, ни на стороне самого кли- ента тоже не проводит никакого анализа. Отби- ла система провайдера тестовые DDoS-атаки в автоматическом режиме – хорошо, нет – пишем провайдеру ругательное письмо. все это приводит к тому, что данные тесты очень далеки от реальных условий, когда на вас про- водится настоящая DDoS-атака. Тестирование от DDoS должно быть аналогом пентеста. исполнитель должен не просто выпол- нять последовательность атак, а пытаться выве- сти из строя ваш сервис. Если вы проводите киберучения, то в план таких киберучений стоит включать и учения по защите от DDoS-атак. Цели тестирования системы защиты от DDoS-атак Основной целью тестирования является оценка эффективности всех компонентов защиты от DDoS-атак в условиях, приближенных к реаль- ным. Тестирование помогает в отработке действий персонала по отражению атак, взаимодействия между службами внутри организации и со спе- циалистами, оказывающими внешний сервис. довольно часто можно наблюдать, что специа- листы атакуемой организации просто не знают, что им делать, когда в какой-то момент система защиты перестает справляться с атакой. Очень важно, чтобы тестирование проводи- лось либо на боевой системе, либо на тесто- вой, максимально приближенной к боевой. узким местом может оказаться не обязательно конечный атакуемый сервер. в одном из слу- чаев у нас узким местом оказался, например, балансировщик нагрузки. выявление и устра- нение проблемных мест в иТ-инфраструктуре при DDoS-атаках – это одна из целей тестиро- вания. в ходе тестов вы можете определить предель- ные нагрузки для ваших сервисов. Понятно, что есть нагрузочные тестирования, но, как прави- ло, они не учитывают специфику проведения DDoS-атак прикладного уровня. интернет-сер- висы постоянно развиваются, появляется новый функционал, поэтому важно периодически про- водить такую переоценку. в ходе тестов вы можете скорректировать так- тики масштабирования иТ-активов для повы- шения устойчивости атакуемых сервисов, принять иные меры по совершенствованию процедур реагирования на DDoS-атаки. Подготовка и проведение тестирования системы защиты от DDoS-атак успех тестирования во многом зависит от пра- вильной подготовки и проведения тестирования. Сейчас появились сервисы для самостоятельного проведения теста системы защиты от DDoS, но я бы рекомендовал привлекать к этому специа- лизированные компании, имеющие опыт прове- дения подобных работ. Мы, как правило, поль- зовались услугами именно таких компаний. важно, так сказать, "на берегу" согласовать с исполнителем все основные моменты проведе- ния тестирования. все-таки это довольно деструктивное воздействие на иТ-инфраструкту- ру, а ваша задача не в том, чтобы вывести из строя тот или иной интернет-сервис, а в том, убе- диться в эффективной работе системы защиты. Поэтому важно составить список всех атакуе- мых узлов и определить типы атак в зависимо- сти от их назначения и используемых протоко- лов, определить предельные нагрузки – макси- мальную мощность DDoS-атаки. важно согласовать проведение работ внутри организации, чтобы, если что-то пойдет не так, у вас были подтверждения того, что вы не зани- мались самодеятельностью, а все работы были согласованы и все участники были предупреж- дены о возможных последствиях. Поэтому важно, чтобы в тестировании принимали уча- стие не только специалисты иБ, но и админи- страторы защищаемых сервисов, сетевые адми- нистраторы – все те, кто будет участвовать в отражении реальной атаки. в ходе атаки целесообразно фиксировать не только доступность атакуемых систем, но и все основные их параметры, а также параметры сетевого оборудования и устройств, через кото- рые проходит трафик. все это необходимо будет проанализировать по итогам тестирования. Полезно сравнить полу- ченные результаты с предыдущими тестами, оценить динамику. Заключение DDoS-атаки – достаточно специфический вид кибератак. зачастую есть большое желание отдать функцию защиты на аутсорсинг и забыть об этой проблеме. но так не работает ни одна система безопасности. необходимо регулярно тестиро- вать вашу систему защиты, и только тогда реаль- ная DDoS-атака не застанет вас врасплох. n www.secuteck.ru октябрь – ноябрь 2022 СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв и финанСОвых учРЕждЕний в нОвых уСлОвиях Ваше мнение и вопросы по статье направляйте на ss @groteck.ru