апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Что необходимо знать о DDoS-атаках

Рубрика: Тема номера /  Аутсорсинг и безопасность

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies

Что необходимо знать о DDoS-атаках

Вопрос защиты ИT-систем от атак злоумышленников сегодня актуален как никогда: практически каждая вторая компания в России хотя бы раз подвергалась DDoS-атакам

DDoS-атаки (от англ. distributed denial of service – распределенная атака типа «отказ в обслуживании») представляют собой попытки вывести из строя сетевые сервисы организаций путем генерации повышенного трафика в системе из разных источников. Киберпреступники устраивают лавинную атаку на конкретные сети, нагружая их трафиком или направляя многочисленные запросы, которые полностью парализуют работу.

Обычно нападение происходит, когда хотят «уронить» крупную компанию, но бывает, что страдают и малые организации. Согласно результатам последнего исследования компании Ponemon Institute ИБ-специалисты оценивают DDoS-атаки как серьезнейшую опасность, а в США они считаются проблемой номер один.

DDoS-атаки учащаются и становятся все более дешевыми: почти каждый месяц появляются сведения о новых нападениях – на сайты государственных учреждений, СМИ, банков, частных компаний. С начала прошлого года финансовым учреждениям приходится противостоять волнам мощных распределенных атак типа «отказ в обслуживании» (DoS). Многие из этих атак – дело рук группировки Qassam Cyber Fighters (QCF), до недавнего времени еженедельно напоминавшей о причинах и результатах проведения операции Ababil (такое название носит их DDoS-кампания).

Сегодня киберпреступники – это уже не одиночки-любители. Это хорошо организованные структуры, где подготовкой целевых атак занимаются высококвалифицированные программисты. Многие из них получают большие деньги…

За последние полтора года интенсивность хакерской активности постоянно повышается, появляются новые ее виды. Недавние инциденты, произошедшие в больших и малых банках, вскрыли множество видов DDoS-атак. Среди них синхронные и DNS-атаки, DNS-усиление, атаки на уровне приложений и контента. Дополнительная проблема – отказы в обслуживании (DoS), поражающие SSL-кодируемые веб-ресурсы и содержимое. В некоторых случаях злоумышленники прибегали к смешанным формам, где трудно устранимые методы воздействия на уровне приложений комбинировались с простыми, массированными атаками, которые можно отфильтровать и заблокировать более доступными средствами.

Директора по ИТ и информационной безопасности, а также ИТ-отделы банковских организаций должны иметь план противостояния злонамеренной деятельности и вооружиться средствами защиты, включая собственные мощности и облачные сервисы очистки.

Им также следует приступить к изучению и внедрению методик сбора и распространения разведывательной информации, которые помогут выработать общую стратегию защиты от DDoS-атак.

1. Сервисы очистки, направленные против массированных атак. Масштаб DDoS-деятельности достиг уровня, когда 80 Гбит/с DDoS-трафика является обычным делом. Известны случаи, когда этот показатель достигал 300 Гбит/с. Очень немногие организации могут поддерживать пропускную способность, позволяющую справиться с атаками такой мощности. Сталкиваясь с подобными серьезными DDoS-инцидентами, организация прежде всего должна позаботиться о выделенном провайдере облачных услуг очистки для удаления вредоносных пакетов из ее интернет-трафика. Эти провайдеры служат первой линией защиты от массированных атак, поскольку они располагают необходимыми инструментами и пропускной способностью для очистки сетевого трафика. При этом DDoS-пакеты задерживаются в облаке, а обычная бизнес-информация пропускается.
2. Выделенные средства выявления, локализации и нейтрализации DDoS-атак. Сложность DoS-атак и тенденция к комбинированию массированных атак и методов на уровне приложений порождают необходимость объединения способов нейтрализации. Самый эффективный вариант противостоять методам на уровне приложений и элементарным составляющим этих мультивекторных атак – это использовать собственные выделенные средства нейтрализации. Межсетевые экраны и системы предотвращения вторжений крайне важны в рамках мер по нейтрализации, а средства обеспечения DDoS-безопасности представляют собой дополнительный уровень защиты благодаря специализированным технологиям, позволяющим выявлять и блокировать DoS-активность в режиме реального времени. Администраторы также могут настроить собственные решения таким образом, чтобы обеспечить связь с провайдерами облачных сервисов очистки для автоматического отвода во время атаки.
3. Настройка межсетевых экранов в соответствии с высокими скоростями подключения. Межсетевые экраны также являются важными элементами систем защиты от DDoS-атак. Администраторам необходимо задать соответствующие настройки межсетевых экранов для выявления и нейтрализации атак на общем уровне и на уровне приложений. Также в зависимости от возможностей межсетевого экрана можно активировать блокирование DDoS-пакетов и повысить эффективность работы экрана при атаке.
4. Выработка методики или стратегии защиты приложений от DDoS-атак. Технологии обеспечения безопасности позволяют организовать мощную защиту от DDoS-активности. Однако администраторам следует также думать о настройке веб-серверов, регулировании стратегий балансировки нагрузки и доставки контента для обеспечения оптимальной работы оборудования. Немалую роль играет и внедрение средств защиты от взлома пароля. Еще один интересный способ – блокировка деятельности роботов путем добавления веб-страниц с предложениями, например, возможностью снизить процентную ставку или информацией о новых продуктах, где для просмотра более подробного содержания сайта пользователь должен нажать кнопку «принять» или «отказаться». Кроме того, весомое значение имеет анализ контента. Он предполагает такие простые действия, как проверка отсутствия больших PDF-файлов на главных серверах.

Описанные методы играют важную роль в любой стратегии нейтрализации. Организации также должны контактировать и сотрудничать с поставщиками услуг и интернет-провайдерами в разработке инновационных методов защиты от атак. DDoS-атаки осуществляются в том же интернет-пространстве, которое используют клиенты банков, и провайдеры обеспечивают обе формы трафика.

Все большую актуальность приобретает потребность изучать и внедрять стратегии сбора и распространения разведывательной информации. В рамках этих стратегий исследуются данные внутри корпоративных сетей, которые затем передаются в другие компании сектора финансовых услуг.

Получение информации о личности злоумышленников, их мотивах и методах помогает администраторам прогнозировать и заблаговременно обеспечивать защиту от атак. Данные о виде атаки включают используемый протокол (SYN, DNS, HTTP), источники пакетов атаки, сети командования и управления, а также время дня, в которое началась и закончилась атака. Несмотря на значимость этих данных при нейтрализации атаки, распространять их не так просто, а нормативные барьеры еще больше затрудняют обмен такой информацией.

В настоящее время обмен информацией об атаках существует лишь на уровне «сарафанного радио». Необходимо разработать автоматизированную систему, при которой организации смогут зарегистрироваться и просмотреть скоррелированные и необработанные данные журнала, дающие представление об уже совершенных и совершающихся в данный момент атаках.

Эти системы также можно было бы использовать для обмена информацией об атаках и распространения средств защиты от них. Возможность обмена подобной информацией внутри отрасли, безусловно, поможет повысить способность различных компаний противостоять DDoS-активности и обеспечит новый уровень подготовленности бизнеса к атакам в целом.

Таким образом, в первую очередь для защиты от DDoS-атак требуются специализированные технические средства – DDoS-протектор и сервис DDoS-защиты от провайдера. Но нужно обязательно учитывать и тот факт, что, помимо DDoS, результатами действий бота могут стать утечка критичных данных, рассылка спама. DDoS может быть просто маскировкой: под каждой DDoS-атакой может прятаться множество иных, скрытых. Также DDoS может быть проверкой системы защиты организации («разведка боем»).

***

В общем, если вы стали жертвой DDoS-атак, ждите ботов и утечки данных. Сегодня хакеры применяют комплексные каскадные атаки, то есть целый набор технологий и методов взлома. Каждая компания должна понимать, что многоуровневые атаки требуют такой же многоуровневой системы защиты. Для того чтобы гарантированно защитить информацию от всего спектра существующих угроз, необходим комплексный подход, учитывающий все аспекты функционирования корпоративных сетей. Этого можно достичь за счет использования всей линейки средств, обеспечивающих защиту информации: антивирусов, межсетевых экранов, антиспамов, антиботов, криптографических программ, DLP-систем, DDoS-протекторов и многих других. 

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи