Противодействие DDoS-атакам – обеспечение непрерывности бизнеса

Сергей Шишкин
руководитель группы разработки услуг
дирекции информационной безопасности компании "ТТК"

Злоумышленники организуют  как  целевые DDoS-атаки на  конечных  клиентов,  инфраструктуру  и  интернет-сервисы компаний, так и для маскировки или отвлечения    внимания при совершении других преступлений.  Последствием  подобных действий становится потеря доступности ключевых для ведения бизнеса  приложений и систем, репутационные потери, финансовый  ущерб.  Немного статистики. По данным последнего  исследования  компании Arbor Networks, 66% участников  опроса  (в  основном  это операторы связи, хостинг/контент-провайдеры) назвали DDoS-атаки на своих клиентов одной из ключевых угроз, с которой им пришлось столкнуться в 2010 г.

За прошедший год полоса    пропускания    самой крупной  из  зарегистрированных   DDoS-атак   увеличилась более чем в 2 раза (в 2009 г.– 49 Гбит/с, 100 Гбит/с в 2010 г.), за 5 лет – в 20 раз. Стремительный рост мощности атак значительно превышает наращивание полосы пропускания интернет-сервис-провайдерами. Причем в ближайшие годы эксперты в области информационной безопасности прогнозируют рост не только мощности, количества и длительности таких атак, но и повышение уровня "интеллектуальной составляющей" реализации таких угроз.

Рынок услуг защиты

Поэтому не случайно в последнее время рынок услуг защиты от DDoS-атак значительно развился. Услуги по противодействию реализации подобных угроз появились в портфеле многих крупных операторов связи, хостинг-провайдеров, системных интеграторов и различных "групп реагирования". Стоимость услуг для целевой аудитории стала вполне доступна, и хотя пока она все еще больше, чем затраты на организацию DDoS-атаки, но из-за возрастающей конкуренции среди поставщиков сервиса и падения цен на предоставление доступа в Интернет цена услуги имеет устойчивую тенденцию к снижению.

Нужна ли вам защита?

Сначала необходимо понять, являются ли DDoS-атаки угрозой. Возможно, что решение приобрести услугу по защите – дань моде? Для этого требуется оценить, к чему может привести недоступность сервиса для компании и/или его клиентов. Оценку целесообразно выразить потенциальными финансовыми потерями и/или неполученной прибылью.

Зная данную величину, можно обоснованно принимать решение и либо игнорировать риски (ничего не делать), либо, если полученные "цифры" неприемлемы, принять собственные контрмеры и выбрать поставщика сервиса, совместно с ним реализовав следующие организационно-технические мероприятия:

• проанализировать текущую схему подключения информационных ресурсов к сети Интернет и выявить актуальные угрозы, которые могут привести к простою сервиса в результате DDoS-атак;

• изменить схему подключения критичных с точки зрения ведения бизнеса информационных ресурсов к сети Интернет (например, крайне неэффективно размещать портал, который должен обеспечивать электронный бизнес в той же подсети и на том же канале, что и второстепенные сервисы, такие как сервис доступа в сеть Интернет из корпоративной сети или Web-сайт компании);

• при необходимости модернизировать собственные информационные системы таким образом, чтобы исключить лишние сервисы в их работе, которые могут быть объектом атаки, постараться сделать информационные системы такими, чтобы максимально усложнить злоумышленникам возможность развертывания бот-сети, способной проводить "интеллектуальные" атаки и обходить существующие средства защиты;

• настроить средства защиты от DDoS-атак таким образом, чтобы максимально учитывать особенности защищаемой информационной системы;

• разработать и внедрить регламент противодействия DDoS-атакам (процедурные вопросы играют ключевую роль в процессе обеспечения непрерывности бизнеса, поэтому целесообразно уделить им значительное внимание). Регламент должен предусматривать выделение ответственных сотрудников каждой из сторон с необходимыми полномочиями и компетенцией. В регламенте должны быть отражены все вопросы взаимодействия,     например, как подается заявка на активацию защиты, какие совместные действия осуществляются в процессе отражения атаки, каковы временные параметры реагирования и т.д. Особое внимание необходимо уделить средствам коммуникации;

• провести тестирование регламента противодействия DDoS-атакам, и если этого не сделать, то можно с уверенностью сказать, что в "минуту опасности" всевозможные накладки не позволят обеспечить доступность информационной системы.

Требования к услуге по защите от DDoS-атак

•  поставщиком сервиса должен выступать оператор связи, желательно с высокой пропускной способностью собственных каналов связи;

• имеющиеся у поставщика сервиса специализированные программно-аппаратные комплексы фильтрации трафика DDoS-атак должны быть мощными, отказоустойчивыми и размещаться на телекоммуникационных узлах как в России, так и за ее пределами;

• услуга должна строиться по иерархическому принципу, необходимо чтобы поставщик данного сервиса имел договоренность о потреблении подобной услуги у своего апстрим-провайдера;

• поставщик сервиса должен располагать квалифицированными инженерами, способными в реальном времени грамотно и оперативно изменять настройки оборудования фильтрации DDoS-атак в ответ на изменения профиля атаки;

• услуга должна иметь возможность фильтрации трафика до канала перед информационными ресурсами клиента, в идеале чем дальше от клиента и чем ближе к атакующим ресурсам осуществляется фильтрация, тем лучше;

• естественно, что услуга должна оказываться в круглосуточном режиме.

В заключение несколько слов о мифах поставщиков сервисов по защите от DDoS-атак. Не стоит доверять маркетинговым обещаниям о тех или иных процентах фильтрации DDoS-атаки – их трудно оценить и невозможно гарантировать. Не стоит верить, что используется лучшее на рынке техническое средство, имеющее целый ряд правил выявления и блокирования трафика DDoS-атаки. В условиях противостояния атакующего и защищающегося, при прочих равных, ключевое значение имеет опыт и компетенция поставщика услуги, а не характеристики используемого оборудования.