З кожним роком кібератаки стають потужнішими, дешевшими та витонченішими. Які механізми їх здійснення та способи захисту
Головні матеріали Forbes Ukraine у email-розсилці. Раз на тиждень на вашій пошті.
15 лютого було здійснено кібератаку на українські підприємства, державні структури та їхні сайти. Було атаковано сайти Міністерства оборони України, Збройних Сил України, СБУ, Генпрокуратури, сайт президента України, сайт застосунку «Дія», Національної поліції, Міністерства закордонних справ, а також банків ПриватБанк, monobank, Ощадбанк.
Усі структури, які постраждали від атаки, мають або державне призначення, або стосунок до фінансової системи держави, тому можна зробити висновок, що атака мала політичний чи психологічний характер (залякування).
Такими кібератаками зазвичай займаються APT (Advanced Persistent Threat) – угруповання, багато з яких фінансуються державами і мають значно більші ресурси для атак. Тип кібератаки, який було здійснено, називається DDoS.
Механізм DoS/DDoS атаки
Кібератака типу «відмова в обслуговуванні» (DoS) – це спроба заподіяти шкоду компанії або держоргану, зробивши недоступною систему – наприклад, веб-сайт, програму або систему цілком – для звичайних користувачів.
Сама по собі схема нескладна: зазвичай зловмисники генерують велику кількість пакетів або запитів, які зрештою перевантажують роботу цільової системи та тимчасово виводять її з ладу.
Для здійснення атаки типу «розподілена відмова в обслуговуванні» (DDoS або Distributed Denial of Service) зловмисник використовує безліч зламаних або контрольованих джерел (пристроїв).
Найчастіше DDoS-атакам піддаються державні органи, банки, лікарні, фінансові структури або бізнес, що конкурує між собою.
Останнім часом стало популярним використання для DDoS-атак IoT-пристроїв: це розумні чайники, розумні холодильники, системи відеоспостереження тощо. Зазвичай ці пристрої гірше захищені від злому (самому захисту цих пристроїв приділяється менше уваги), їх багато і вони лише продовжують набирати популярності. Самі ж пристрої мають можливість підключення до інтернету.
Види DDoS-атак
Для захисту від DDoS-атак є платні послуги, але перш, ніж братися за їхню покупку, необхідно забезпечити захист усередині самого інтернет-сервісу. Для того, щоб ускладнити атаку хакеру на інтернет-ресурс, атакуючий повинен якнайменше знати про структуру вашого сервісу і водночас надати якомога більше інформації тому, хто вас захищає від DDoS-атаки. Це мінімізує наслідки та прискорить відновлення роботи після атаки.
З кожним роком атаки стають потужнішими, дешевшими і дедалі витонченішими, тому один з основних пунктів боротьби з ними зводиться до своєчасного оновлення всього ПЗ в інфраструктурі підприємств. Також варто приділити велику увагу захисту всіх інших вузлів.
Перш ніж роз'яснити, як реалізувати захист від DDoS-атак, варто поговорити про структуру атаки.
Найпоширеніші види DDoS-атак:
- HTTP-flood. Цей спосіб є найпоширенішим і найпростішим у реалізації. Якщо коротко, то суть такої атаки – відправлення пакета, на який у відповідь приходить пакет значно більшого розміру.
- Атака тяжкими пакетами. За допомогою ботнета атакуючий відправляє на сервер дуже багато складних для обробки пакетів, які унаслідок призводять до перевантаження системи та виведення її з ладу на якийсь час.
- DNS-flood. Атака за допомогою більшої кількості запитів із численних IP-адрес. Цей спосіб «добрий» тим, що досить складно виявити нелегітимний трафік.
Зазвичай мета простих DDoS-атак, зокрема, з HTTP-запитами, – порушити роботу веб-сервера, зробити його нездатним обробляти реальні запити користувачів. Якщо на сервер надходить більше запитів, ніж він може обробити, реальні запити ігноруються та іноді сервер виходить з ладу. Для користувачів це означає зниження продуктивності чи збій.
Спочатку атакуючий сканує мережу для пошуку пристроїв для атаки. Найчастіше шукають пристрої з відкритими портами та стандартними паролями доступу, щоб створити мережу ботнетів, тобто мережу заражених пристроїв, які контролюються атакуючим.
Якщо говорити про звичайні атаки, то вони спрямовані на доменне ім'я (DNS) або на HTTP. Але якщо ми говоримо про складніші атаки, що мають тяжкі наслідки, то зазвичай вони здійснюються на знайдені вразливості всередині самої інфраструктури.
Нерідко буває так, що DDoS-атака ставить собі за мету не стільки довести систему до «відмови», скільки «пронести» більш серйозну загрозу всередину системи. Зробити це можна за допомогою перевантаження міжмережевих екранів (IPS/IDS), які забезпечують первинний захист, тобто відстежують активні сесії всередині мережі.
Як захищають від DDoS-атак
Засоби захисту можна розділити на три типи:
- локальні;
- хмарні;
- гібридні.
Локальні рішення та засоби проти DDoS поділяються на два типи: програмні та апаратні (спеціалізовані мережеві пристрої), і їх можуть встановлювати як клієнти, так і їхні провайдери.
Основні користувачі локальних рішень із захисту від DDoS – великий бізнес, наприклад, дата-центри або оператори зв'язку, які можуть собі дозволити мати власну службу реагування (SOC), здатні впоратися з потужними атаками та пропонують послугу захисту від DDoS своїм клієнтам.
Хмарні рішення реалізують майже той самий функціонал захисту, що і локальні рішення. Крім пакетного захисту, провайдери хмарних сервісів anti-DDoS нерідко пропонують послуги захисту сайтів від атак, що виконуються ботами (зловмисники використовують у них протокол HTTP), а також технічну підтримку та супровід під час DDoS-атаки. Хмарні рішення є оптимальним варіантом для більшості компаній.
Гібридне рішення – це комплект з локального рішення та підписки на хмарний сервіс захисту від DDoS, який автоматично підключається при початку атаки. Гібридний підхід дозволяє усунути обмеження локальних рішень щодо обсягів атак та скористатися перевагами хмарних рішень. Гібридні рішення можна рекомендувати великим підприємствам, які приділяють особливу увагу взаємодії з клієнтами в інтернеті, а також сервіс-провайдерам.
Залежно від того, які саме інтернет-ресурси потрібно захищати, вибирають засоби та сервіси anti-DDoS, що мають той чи той спектр функцій захисту:
- Захист від пакетного флуду на основі фільтрації пакетів транспортного та мережевого рівня (L3 та L4). Цього достатньо для захисту мережевих пристроїв;
- Захист і від пакетного флуду, і від флуду лише на рівні додатків (L3 – L7). Це необхідно для забезпечення працездатності сайтів, оскільки більшість атак здійснюється саме на рівні L7;
- Захист не тільки від флуду на рівні L3 – L7, але й від «інтелектуальних» DDoS-атак з використанням «розумних» ботів, що атакують ті частини веб-додатків, які володіють найбільшою ресурсоємністю при обробці запитів, що надходять, із застосуванням функцій Web Application Firewall (WAF). Це необхідно для захисту критично важливих інтернет-ресурсів.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
