Эксперты ServicePipe прогнозируют увеличение DDoS-атак в три раза в связи с переходом компаний на удалённую работу

Миллионы людей, перешедших на "удаленку" из-за пандемии коронавируса, уже заметили сбои в работе интернета: то сайт недоступен, то сервис видеосвязи зависнет. Провайдеры в странах с карантином фиксируют рост трафика до 70% — выросла нагрузка на рабочие сервисы, игровые, стриминговые сайты, соцсети, СМИ. Медиа, кстати, сталкиваются не только с ростом обычного трафика — это одна из индустрий, которые прямо сейчас уже в России сталкиваются с трехкратным ростом DDoS-атак, по данным компании ServicePipe. В группе особенного риска также аптеки, совсем недавно начавшие переход на e-commerce модель из-за разрешения дистанционной продажи лекарств — теперь их сайты становятся целью DDoS также примерно в три раза чаще.

Из всех видов кибератак, DDoS — в топе сложнейших и самых разрушительных для бизнеса. Сложнейших, поскольку со временем они становятся все изощреннее. Разрушительных — с точки зрения бизнес-показателей и урона репутации. При этом тактика может быть достаточно простой.

Представьте, что вы на единственной открытой кассе в супермаркете. Подходит ваша очередь. В этот момент, не обращая внимания на вас и стоящих за вами людей, появляется масса оголтелых покупателей, которым необходимо рассчитаться срочно и без очереди. Вам приходится ждать, пока кассир освободится. Но этого не происходит: таких бесцеремонных покупателей миллионы. Ожидание длится часами, потом проходят сутки, двое…

DDoS атака работает похожим образом: без специальных средств защиты сервер, канал доступа к сети или веб-приложение не может отсеять обращения настоящих клиентов от запросов злоумышленников, пока не обработает их все. Поэтому бизнесу приходится бросить все ресурсы на анализ потока трафика и фильтрацию вредоносных запросов. Но этого попросту может не хватить, так как будет вызван отказ в обслуживании вашего интернет-канала или всего интернет-оператора, а ваши ИТ-специалисты самостоятельно с атакой не справятся.

• Атаки на переполнение канала — объемные по трафику атаки свыше сотни Гбит/с, направлены на истощение канальной емкости жертвы.
• Атаки на инфраструктуру — огромное количество запросов для отказа сетевого оборудования или сервера.
• Атаки на приложение — тонкие атаки, истощающие ресурсы веб-приложения цели.

Пока бизнес уязвим хотя бы к одному типу атак, защита от DDoS не считается полноценной. Эффективная защита отражает все три типа атак.

9 из 10 компаний подвергаются атаке хотя бы раз в год. Каждая десятая — раз в неделю. Больше всего страдают от DDoS-атак те компании, при недоступности в интернете теряющие заказы, клиентов, деньги и репутацию. В том числе интернет-магазины, онлайн-биржи, игровые сервисы.

Среди отраженных ServicePipe атак почти треть приходится на индустрию онлайн-игр — это самая частая цель злоумышленников. Почти по 20% атак направлены на хостинговые компании и финансовый сектор, далее в топ-5 — регистраторы доменов и технологические компании.

Ответ простой: да. Закладывать в бюджет риск DDoS-атаки необходимо любому бизнесу, связанному с интернетом напрямую. Сегодня на черном рынке доступно множество сервисов, использование которых не требует специальных навыков. Атаку на сайт конкурентов, которая без эффективной защиты может надолго вывести из строя сайт или инфраструктуру, можно устроить бесплатно и безо всяких специальных знаний.

Ущерб включает прямые затраты на восстановление систем после атаки, а также финансовые и долгосрочные репутационные потери из-за незавершенных операций, недовольных клиентов, негативной огласки. Учитывая, что при отсутствии эффективной защиты от DDoS восстановление систем занимает от одного до трех дней, среднему российскому бизнесу успешная атака обойдется в 150-450 тысяч упущенной выручки, не считая репутационных издержек. Этим опасность не ограничивается: в последние годы DDoS все чаще служит дымовой завесой для других типов кибератак — кражи данных, проникновений в сеть, заражений вредоносным ПО.

Если представить последствия атаки с точки зрения аспектов бизнеса:

• Для IT-отдела это огромная нагрузка на кадровые ресурсы.
• Когда в момент атаки свыше 100 Гбит/с бдительность отдела безопасности снижена, злоумышленники могут произвести тонкие специализированные атаки и заметать следы проникновения.
• Поддержка получит множество запросов и жалоб пользователей
• Данные, с которыми шла работа, могут быть потеряны, и для их восстановления потребуются десятки или сотни часов ваших сотрудников.
• Если организация работает по SLA, недоступность сервиса приведет к штрафам.
• Разочарованные клиенты могут уйти к конкурентам.
• Плохой пиар соответствующим образом повлияет на репутацию.

В каждой сфере деятельности последствия успешной DDoS-атаки специфические. Пара примеров:

• В последние недели особенно участились атаки на сайты СМИ, призванные прервать доступ читателей к определенной информации на сайтах. В период, когда трафик на сайты растет в разы, это приводит к огромной упущенной выгоде от рекламных продаж.
• Российские аптеки на фоне пандемии коронавируса получили возможность продавать лекарства дистанционно, и сразу после этого стали целями сотен DDoS-атак, призванных помешать осуществлению заказов, а в долгосрочном периоде — строительству успешного e-commerce бизнеса.
• Для криптовалютных бирж это значит полную остановку расчетов из-за потери доступа к майнинг-пулу валюты. DDoS особенно часто используется для остановки операций в начале анонсирования новой криптовалюты, когда активность клиентов на пике, а значит, потери бизнеса также будут максимально возможными.
• На рынке электронной коммерции DDoS — излюбленный способ вывести из строя сервера конкурента, особенно в дни акций и распродаж. Покупатели не могут зайти на сайт, эффект от акции сводится к нулю и магазин стремительно теряет клиентов, в том числе лояльных. В худшем случае под прикрытием DDoS-атаки может быть украдена база с данными клиентов, в том числе платежными, и в этом случае удар по репутации может быть непоправимым.

Некоторые бизнесы ограничиваются покупкой пакета DDoS-защиты у провайдера или приобретением маршрутизатора с функцией защиты от DDoS. В первом случае производится так называемая грубая фильтрация трафика — поскольку без специальной аналитики отличить вредоносный трафик от обычного невозможно, в основном решения по защите концентрируются на фильтрации всего трафика на постоянной основе и блокировке определенных сервисных портов. В результате для некоторых клиентов сервисы могут быть недоступны, а система все еще уязвима к атакам на уровне приложения.

Во втором случае клиент устанавливает себе оборудование с ярким шильдиком "защищает от DDoS одной кнопкой" и продолжает бизнес спокойно. До первой атаки на переполнение канала. Без защиты на всех трех уровнях, которая включает защиту не только инфраструктуры и приложения, но также и канала связи с возможностью “переварить” трафик в сотни Гбит/с, а то и более, бизнес не будет защищен полностью.

Популярный и более продвинутый способ — использование центров очистки трафика. Они пропускают запросы через свои центры, фильтруют их и затем перенаправляют клиенту только те запросы, которые прошли проверку на легитимность. При этом запросы фильтруются на всем канале, без разбора, что может вызвать проблемы даже с легитимными клиентами, которые не находятся под атакой. В результате теряются переходы, конверсии, падает лояльность клиентов. При защите от DDoS атак крупных сетей речь идет о сотнях или тысячах IP-адресов, поэтому необходимо, чтобы центр очистки состоял не только из очистителей, но и анализаторов трафика. Благодаря этому в штатной ситуации трафик идет в обход противомер, а лишь в случае превышения определенных параметров атакуемый IP изолируется и производится его выделенная очистка.

Для защиты от более тонких атак, которые направлены не на переполнение канала, а используют уязвимости кода вашего сайта или сервиса, используются так называемые Web Application Firewall, отсеивающие вредоносные запросы. В них применяются разные подходы поведенческого анализа трафика и происходит более сильная интеграция с вашим приложением.

Возможный сценарий атаки, ее тип и интенсивность зависят от злоумышленника — риски в каждом случае индивидуальны и защиту нужно конструировать заранее опираясь на лучшие практики мирового уровня, то есть от всех 3 типов DDoS атак.

Ключевой для бизнеса показатель — время, требуемое на восстановление работы систем в случае успешной атаки. Благодаря использованию продвинутых технологий защиты на всех трех уровнях, построенному на решениях мировых вендоров в том числе поведенческого и репутационного анализа трафика, облачное решение ServicePipe для защиты от DDoS позволяет вернуть сервис к работе в течение 15 минут — в 30 раз быстрее среднего по рынку показателя. А в случае, если атака уже произошла, наши специалисты максимально быстро подключат вас к решению.

Наше ноу-хау, прямо сейчас готовящееся к внедрению — предотвращение DDoS-атак на базе нейронной сети, позволяющее отсеять только вредоносный трафик и не потерять легитимный. Особенность решения в том, что обычно для фильтрации шифрованного трафика клиент должен передавать ключи шифрования, что банки, например, не могут позволить себе по закону. Нейронная сеть позволяет обрабатывать шифрованный трафик в обход этого требования, выполняя требования к конфиденциальности информации.

Артём Избаенков, управляющий компании ServicePipe и член Ассоциации руководителей служб информационной безопасности (АРСИБ).