В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Злоумышленники организуют как целевые DDoS-атаки на конечных клиентов, инфраструктуру и интернет-сервисы компаний, так и для маскировки или отвлечения внимания при совершении других преступлений. Последствием подобных действий становится потеря доступности ключевых для ведения бизнеса приложений и систем, репутационные потери, финансовый ущерб. Немного статистики. По данным последнего исследования компании Arbor Networks, 66% участников опроса (в основном это операторы связи, хостинг/контент-провайдеры) назвали DDoS-атаки на своих клиентов одной из ключевых угроз, с которой им пришлось столкнуться в 2010 г.
За прошедший год полоса пропускания самой крупной из зарегистрированных DDoS-атак увеличилась более чем в 2 раза (в 2009 г.– 49 Гбит/с, 100 Гбит/с в 2010 г.), за 5 лет – в 20 раз. Стремительный рост мощности атак значительно превышает наращивание полосы пропускания интернет-сервис-провайдерами. Причем в ближайшие годы эксперты в области информационной безопасности прогнозируют рост не только мощности, количества и длительности таких атак, но и повышение уровня "интеллектуальной составляющей" реализации таких угроз.
Поэтому не случайно в последнее время рынок услуг защиты от DDoS-атак значительно развился. Услуги по противодействию реализации подобных угроз появились в портфеле многих крупных операторов связи, хостинг-провайдеров, системных интеграторов и различных "групп реагирования". Стоимость услуг для целевой аудитории стала вполне доступна, и хотя пока она все еще больше, чем затраты на организацию DDoS-атаки, но из-за возрастающей конкуренции среди поставщиков сервиса и падения цен на предоставление доступа в Интернет цена услуги имеет устойчивую тенденцию к снижению.
Сначала необходимо понять, являются ли DDoS-атаки угрозой. Возможно, что решение приобрести услугу по защите – дань моде? Для этого требуется оценить, к чему может привести недоступность сервиса для компании и/или его клиентов. Оценку целесообразно выразить потенциальными финансовыми потерями и/или неполученной прибылью.
Зная данную величину, можно обоснованно принимать решение и либо игнорировать риски (ничего не делать), либо, если полученные "цифры" неприемлемы, принять собственные контрмеры и выбрать поставщика сервиса, совместно с ним реализовав следующие организационно-технические мероприятия:
• проанализировать текущую схему подключения информационных ресурсов к сети Интернет и выявить актуальные угрозы, которые могут привести к простою сервиса в результате DDoS-атак;
• изменить схему подключения критичных с точки зрения ведения бизнеса информационных ресурсов к сети Интернет (например, крайне неэффективно размещать портал, который должен обеспечивать электронный бизнес в той же подсети и на том же канале, что и второстепенные сервисы, такие как сервис доступа в сеть Интернет из корпоративной сети или Web-сайт компании);
• при необходимости модернизировать собственные информационные системы таким образом, чтобы исключить лишние сервисы в их работе, которые могут быть объектом атаки, постараться сделать информационные системы такими, чтобы максимально усложнить злоумышленникам возможность развертывания бот-сети, способной проводить "интеллектуальные" атаки и обходить существующие средства защиты;
• настроить средства защиты от DDoS-атак таким образом, чтобы максимально учитывать особенности защищаемой информационной системы;
• разработать и внедрить регламент противодействия DDoS-атакам (процедурные вопросы играют ключевую роль в процессе обеспечения непрерывности бизнеса, поэтому целесообразно уделить им значительное внимание). Регламент должен предусматривать выделение ответственных сотрудников каждой из сторон с необходимыми полномочиями и компетенцией. В регламенте должны быть отражены все вопросы взаимодействия, например, как подается заявка на активацию защиты, какие совместные действия осуществляются в процессе отражения атаки, каковы временные параметры реагирования и т.д. Особое внимание необходимо уделить средствам коммуникации;
• провести тестирование регламента противодействия DDoS-атакам, и если этого не сделать, то можно с уверенностью сказать, что в "минуту опасности" всевозможные накладки не позволят обеспечить доступность информационной системы.
• поставщиком сервиса должен выступать оператор связи, желательно с высокой пропускной способностью собственных каналов связи;
• имеющиеся у поставщика сервиса специализированные программно-аппаратные комплексы фильтрации трафика DDoS-атак должны быть мощными, отказоустойчивыми и размещаться на телекоммуникационных узлах как в России, так и за ее пределами;
• услуга должна строиться по иерархическому принципу, необходимо чтобы поставщик данного сервиса имел договоренность о потреблении подобной услуги у своего апстрим-провайдера;
• поставщик сервиса должен располагать квалифицированными инженерами, способными в реальном времени грамотно и оперативно изменять настройки оборудования фильтрации DDoS-атак в ответ на изменения профиля атаки;
• услуга должна иметь возможность фильтрации трафика до канала перед информационными ресурсами клиента, в идеале чем дальше от клиента и чем ближе к атакующим ресурсам осуществляется фильтрация, тем лучше;
• естественно, что услуга должна оказываться в круглосуточном режиме.
В заключение несколько слов о мифах поставщиков сервисов по защите от DDoS-атак. Не стоит доверять маркетинговым обещаниям о тех или иных процентах фильтрации DDoS-атаки – их трудно оценить и невозможно гарантировать. Не стоит верить, что используется лучшее на рынке техническое средство, имеющее целый ряд правил выявления и блокирования трафика DDoS-атаки. В условиях противостояния атакующего и защищающегося, при прочих равных, ключевое значение имеет опыт и компетенция поставщика услуги, а не характеристики используемого оборудования.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2011