Что сделать, чтобы сайт приносил стабильную прибыль? Многим кажется, что рецепт очевиден: SEO, дизайн, реклама и прочее, помимо основного предложения товара или услуги. Однако в погоне за красивой оберткой можно забыть о главном: а что если в один прекрасный день ваш сайт, в продвижение которого вложено столько сил и средств, станет недоступен для посетителей? И совсем не потому, что вы провели рекламную кампанию и все резко захотели зайти на вашу страницу в интернете (хотя и такое бывает), а потому, что вы стали очередной жертвой DDoS-атаки (Distributed Denial of Service). Сегодня уже редкий месяц обходится без новостей в прессе о том, что тот или иной сайт, а порой и целые инфраструктурные системы, подверглись DDoS-атаке.
Для чего организуется DDoS? Тут все неоднозначно. Часто это недобросовестная конкуренция и попытка вывода соперника из строя путем блокировки работы его сайта. Редко (но метко) – информационные войны и атаки на СМИ, общественные и государственные сайты. DDoS-атаки нацелены на то, чтобы вызвать негативную реакцию у посетителей ресурса и клиентов, которые не могут пользоваться сервисом компании-жертвы и зачастую переходят к ее конкурентам. Для многих простой сайта «смерти подобен»: убытки, потеря клиентов и имиджа. В зоне риска может оказаться любая компания, но основные мишени для атак – кредитные организации, электронная торговля и средства массовой информации.
Сегодня вопрос уже не в том, атакуют вас или нет, а в том, когда это произойдет. Понимает ли это современный бизнес? Да, но отнюдь не всегда и не полностью. Часто компании «страдают» различными иллюзиями относительно DDoS, которые могут привести к фатальным последствиям. Вот лишь некоторые из них.
1. «У нас вообще конкурентов нет, нас не будут атаковать» или «Откуда у наших конкурентов столько денег».
Обычно компании, придерживающиеся такого мнения, не склонны приобретать защиту от DDoS. Однако в этом случае они забывают (или попросту не осведомлены) о двух вещах. Во-первых, атака, идущая на соседний сервер в дата-центре, где расположены ресурсы компании, может по касательной задеть и саму компанию. Атака на сеть интернет-провайдера также может доставить клиенту большое количество проблем. Во-вторых, стоимость организации атаки все быстрее стремится к минимальным значениям (единицы долларов в час), и если бизнес не принимает никаких превентивных мер, то 2-3 дня его проблем будут стоить конкуренту всего 100-200 долларов. Это по карману почти любому, а полученная выгода от атаки не сравнима с затратами на ее проведение.
2. «Если нас будут атаковать, мы всех найдём и накажем».
Месть— это блюдо, которое подают холодным. Поиск виновного — процесс сложный и долгий, а бизнес тем временем будет терпеть серьёзные убытки. Найти виновного можно, но чаще всего это сложно и дорого. Для этого необходимы как серьезные технические ресурсы, так и взаимодействие с операторами связи, правоохранительными органами. Интернет очень своевольная структура, и многие злоумышленники вообще не боятся никого, о чем свидетельствуют частые атаки на сайты силовых структур. Более того, DDoS-атаки традиционно остаются одним из наиболее “анонимных” способов совершения атак на сетевые ресурсы, а потому предпочтение им отдаётся, даже когда выход ресурса из строя — лишь промежуточный этап для злоумышленников, идущих к более масштабной цели (взлом).
3. «Наш хостинг (или оператор) предложил нам решение по защите, и нам этого будет достаточно».
К сожалению, решение на стороне оператора давно не панацея: сети провайдеров не проектируются под экстремальные нагрузки (это им просто не нужно, специфика другая) и потому не могут обеспечить защиту от комплексных атак, динамика и сложность которых растут не по дням, а по часам (если в 2010 году скорость атак была порядка 100 Гбит/с, в 2013 – 300 Гбит/с, то в 2016 году скорость выросла уже в 3 раза – до 1 Тбит/с). Да еще и в договоре никаких юридических гарантий по обеспечению доступности ресурса, как правило, не найти. Чтобы не создавать аварийную ситуацию на всей площадке в случае атаки, сервер жертвы просто от нее отключат, ведь провайдеру нужно спасать других клиентов.
4. «Если что-то случится, мы купим услугу защиты от атак и тем самым решим проблему».
Проблема, конечно, решится, но не мгновенно. Во-первых, выбор решения по защите от атак — это процесс, который лучше проводить в спокойных условиях. Во-вторых, переключение на систему защиты от атак происходит не мгновенно и может занимать до нескольких часов (в худшем случае - до суток). Если выбрать адекватное по всем требуемым параметрам и рабочее решение не удастся с первого раза, то этот промежуток времени удвоится или утроится. В-третьих, хотя компании, занимающиеся защитой, стараются упростить процесс подключения, на практике каждый раз возникают проблемы с теми или иными сервисами, которые не были настроены нужным образом или просто были забыты в спешке. Всё это выливается в проблемы у пользователей, которые и так были недовольны в лучшем случае нестабильной работой ресурса в период атаки. В-четвёртых, нередко атака направлена не просто на сам сайт, а на весь хостинг, где сайт расположен. В этом случае может потребоваться переезд на другой хостинг, а это не делается за 5 минут.
5. «Мы не хотим отдавать деньги «за воздух» — за облачное или операторское решение. Мы купим дорогое оборудование и будем строить собственное решение по защите, сами будем его настраивать и полностью контролировать его работу».
В этом омуте кроется максимальное количество подводных камней. «За воздух» придётся платить в любом случае. DDoS на порядок превышает стандартные нагрузки сети и информационной инфраструктуры, и оборудование, которое может противостоять таким атакам, анализирующее с помощью алгоритмов фильтрации входящий трафик, стоит сегодня десятки тысяч долларов. А учитывая, что объём пользовательского трафика у компании, скорее всего, будет на 2-3 порядка ниже — это «деньги на ветер». Организация потеряет значительные средства: это и операционные издержки, и расходы на персонал и прочее. Любое аппаратное решение предполагает наличие в штате квалифицированного ИТ-специалиста, который умеет его настраивать и контролировать, а также реагировать на возможные проблемы В случае устройств по защите от DDoS, это довольно специфические умения, и специалист с подобной экспертизой стоит немалых средств, а для полноценной защиты 24/7 таких инженеров нужно два или три. Получается, что такое решение часто оказывается значительно дороже в конечной эксплуатации, чем даже самый высокий тариф облачного сервиса. Качество при этом будет совершенно неопределенным, поскольку оно напрямую зависит от экспертизы специалистов компании.
Есть ли свет в конце тоннеля?
Сегодня стать киберзлоумышленником гораздо проще: уровень необходимых знаний и технического опыта упал. Да и заказать атаку стало очень доступно и безобразно дешево. Этим с успехом пользуются те, кто вынужден бороться за своё существование на рынке и готов использовать для этого практически любые способы: «на войне все средства хороши». А поскольку именно безопасностью многие компании часто жертвуют, чтобы получить желаемый продукт с конкурентоспособной стоимостью, проблема достигает критического уровня. Сегодня ищутся все более масштабные технологии для поражения организаций из всех сегментов бизнеса, от SMB до Enterprise и выше, как «пытка водой» (watertorture DNS) Dyn в прошлом году - очень крупного североамериканского поставщика domain name system сервиса. Если компания ведет свой бизнес в интернете и этот бизнес прибыльный или ответственный (государственное представительство в сети), организация сразу отправляется в группу риска.
Отсюда вывод: DDoS-атаки – явление экономическое. До тех пор пока соотношение их цены и производимого эффекта будет выгодным для заказчика, DDoS неизбежен. Поэтому наш совет тем, кто еще не столкнулся с «реальностью», — оцените свою конкурентную среду и «подстелите соломку» заранее, выбрав продвинутые методы нейтрализации атак, пока не наступили фатальные последствия, сопровождающиеся увеличивающимися в настоящем времени убытками.
Не стоит также забывать и о том, что ботнеты становятся умнее и в высокой степени автоматизированными, что повышает общий уровень агрессии всей глобальной сети в режиме «черного шума». По нашим прогнозам его объём будет только нарастать в ближайшие годы, проверяя на прочность всё, у чего есть IP-адрес.