С каждым годом кибератаки становятся более мощными, дешевыми и изощренными. Каковы механизмы их осуществления и способы защиты
Як мотивувати команду не збавляти темп у надскладних умовах? Дізнайтесь 25 квітня на форумі «Надлюди» від Forbes. Купуйте квиток за посиланням!
15 февраля была совершена кибератака на украинские предприятия, государственные структуры и их сайты. Были атакованы сайты Министерства обороны Украины, Вооруженных Сил Украины, СБУ, Генпрокуратуры, сайт президента Украины, сайт приложения «Дія», Национальной полиции, Министерства иностранных дел, а также банки ПриватБанк, monobank, Ощадбанк.
Все структуры, которые пострадали от атаки, имеют либо государственное назначение, либо отношение к финансовой системе государства, поэтому можно сделать вывод, что атака имела политический или психологический характер (запугивание).
Такими кибератаками как правило занимаются APT (Advanced Persistent Threat) – группировки, многие из которых финансируются государствами и имеют гораздо более значительные ресурсы для атак. Тип кибератаки, который был совершён, называется DDoS.
Механизм DoS/DDoS атаки
Кибератака типа «отказ в обслуживании» (DoS) – это попытка причинить вред компании или госоргану, сделав недоступной систему, – например, веб-сайт, приложение или систему целиком – для обычных пользователей.
Сама по себе схема несложная: обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы и временно выводят её из строя.
Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS или Distributed Denial of Service) злоумышленник использует множество взломанных или контролируемых источников (устройств).
Чаще всего DDoS-атакам подвергаются государственные органы, банки, больницы, финансовые структуры или конкурирующий между собой бизнес.
В последнее время стало популярным использование для DDoS-атак IoT-устройств: это умные чайники, умные холодильники, системы видеонаблюдения и т. д. Как правило, эти устройства хуже защищены от взлома (самой защите этих устройств уделяется меньше внимания), их много и они только продолжают набирать популярность. Сами же устройства имеют возможность подключения к интернету.
Виды DDoS-атак
Для защиты от DDoS-атак есть платные сервисы, но прежде, чем браться за их покупку, нужно обеспечить защиту внутри самого интернет-сервиса. Для того, чтобы усложнить хакеру атаку на интернет-ресурс, атакующий должен как можно меньше знать про структуру вашего сервиса и в то же время предоставить как можно больше информации тому, кто вас защищает от DDoS-атаки. Это минимизирует последствия и ускорит восстановление работы после атаки.
С каждым годом атаки становятся более мощными, дешёвыми и всё более изощренными, поэтому один из основных пунктов борьбы с ними сводится к своевременному обновлению всего ПО в инфраструктуре предприятий. Также стоит уделить большое внимание защите всех остальных узлов.
Прежде чем разъяснить, как реализовать защиту от DDoS-атак, стоит поговорить о структуре самой атаки.
Самые распространённые виды DDoS-атак:
- HTTP-flood. Этот способ является самым распространённым и самым простым в реализации. Если коротко, то суть такой атаки – отправка пакета, на который в ответ приходит пакет гораздо большего размера.
- Атака тяжелыми пакетами. С помощью ботнета атакующий отправляет на сервер очень много сложных для обработки пакетов, которые в итоге приводят к перегрузке системы и выводу её из строя на какое-то время.
- DNS-flood. Атака с помощью большего количества запросов с многочисленных IP-адресов. Данный способ «хорош» тем, что довольно сложно выявить нелегитимный траффик.
Обычно цель простых DDoS-атак, в частности, с HTTP-запросами, – нарушить работу веб-сервера, сделать его неспособным обрабатывать реальные запросы пользователей. Если на сервер поступает больше запросов, чем он может обработать, реальные запросы игнорируются и иногда сервер выходит из строя. Для пользователей это означает снижение производительности или сбой.
Сперва атакующий сканирует сеть для поиска устройств для атаки. Чаще всего ищут устройства с открытыми портами и стандартными паролями доступа, чтобы создать сеть ботнетов, то есть сеть зараженных устройств, которые контролируются атакующим.
Если говорить про простые атаки, то они направлены на доменное имя (DNS) либо на HTTP. Но если мы говорим про более сложные атаки, имеющие тяжелые последствия, то они совершаются как правило на найденные уязвимости внутри самой инфраструктуры.
Нередко бывает так, что DDoS-атака ставит под собой цель не сколько довести систему до «отказа», сколько «пронести» более серьезную угрозу внутрь системы. Сделать это можно с помощью перегрузки межсетевых экранов (IPS/IDS), которые обеспечивают первичную защиту, то есть отслеживают активные сессии внутри сети.
Как защищают от DDoS-атак
Средства защиты можно разделить на три типа:
- локальные;
- облачные;
- гибридные.
Локальные решения и средства против DDoS делятся на два типа: программные и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры.
Основные пользователи локальных решений по защите от DDoS – крупный бизнес, например, дата-центры или операторы связи, которые могут себе позволить иметь собственную службу реагирования (SOC), способны справиться с мощными атаками и предлагают услугу защиты от DDoS своим клиентам.
Облачные решения реализуют практически тот же функционал защиты, что и локальные решения. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.
Гибридное решение – это комплект из локального решения и подписки на облачный сервис защиты от DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения локальных решений по объемам атак и воспользоваться преимуществами облачных решений. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами в интернете, а также сервис-провайдерам.
В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:
- Защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4). Этого достаточно для защиты сетевых устройств;
- Защита и от пакетного флуда, и от флуда на уровне приложений (L3 – L7). Это необходимо для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
- Защита не только от флуда на уровне L3 – L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF). Это необходимо для защиты критически важных интернет-ресурсов.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
