DDoS-атака как метод конкурентной борьбы

Последние используются атакующими чаще, являются наиболее эффективными и полностью выводят из строя атакуемый ресурс. При таких атаках нелегитимные запросы маскируются под легитимные, и отделить их от настоящих запросов пользователей в Центре фильтрации крайне затруднительно.

Понятно, что эволюция атак менялась со временем, но разные по типу и мощности атаки приводят к одним и тем же последствиям – вывод из строя важного бизнес-сервиса.

При регулярных атаках, как правило, происходит постоянное "соперничество" между атакующими и защищающимися, а защитная система должна уметь подстраиваться так, чтобы фильтровать трафик в постоянно меняющихся условиях.

При этом нужно понимать, что злоумышленники могут:

• Изменять (усовершенствовать, усложнять) алгоритмы атаки таким образом, чтобы сделанные ранее настройки ф и льт р ац и и ок аза лись неэффективными.
• Применять минимальные мощности атак, необходимые для вывода ресурса из строя. Когда, например, у злоумышленников есть возможность проведения атаки мощностью 60 Гбит, они используют только часть своих мощностей, т.к. для успешной атаки достаточно и 3 Гбит. Но после усиления защиты организации, например с 3 до 6 Гбит, злоумышленники просто поднимут мощность и продолжат выводить ресурсы из строя.
• Использовать комбинированные методы атак, подстраиваясь под легитимный трафик. При этом атака необязательно может быть мощной.

Не существует средства защиты, способного единожды подстроиться под атаку, натренироваться и в дальнейшем избегать последствий путем "быстрого переключения в режим фильтрации".

Если атаки разнятся по своим характеристикам, то в каждом случае инженерам придется находить новые пути защиты. Защита от DDоS требует постоянной работы и обучения со стороны защищаемого.

Объекты атаки

Ими становятся ресурсы, использующие Интернет. Как правило, это внешняя почта, сайт организации, банкоматы, IP-телефония, и т.д. При этом основной непосредственный ущерб – отказ в обслуживании конкретного сервиса, а косвенный – недополученная прибыль от простоя этого сервиса либо мошеннические действия "под прикрытием".

Интернет-магазины

Особенно остро проблемы от DDоS-атак на себе будут ощущать те организации, чья деятельность непосредственно связана с продажей тех или иных товаров или услуг через Интернет, а минимальные простои, даже самые незначительные, могут привести к оттоку клиентов на другие, работающие сайты в этой сфере. Это зачастую идет на руку их конкурентам.

В России киберпреступники чаще всего атаковали компании среднего и крупного бизнеса – от DDoS-инцидентов пострадало соответственно 20% и 17% организаций. Однако микробизнес также не остался без внимания: 12% компаний, принявших участие в опросе*, с численностью персонала до 25 человек испытали на себе последствия DDoS-атак.

Атакующие старались вывести из строя не только лишь общедоступный сайт организации, хотя эта цель, безусловно, была в приоритете – 55% DDoS-атак были направлены именно на официальный Web-портал компании. Тем не менее, треть инцидентов затронула коммуникационные сервисы (прежде всего почтовые), в 23% случаев пострадали страницы, предназначенные для клиентов компании, 18% атак были нацелены на файловые серверы, а еще 12% – на сервисы для совершения финансовых операций.

При этом довольно часто DDoS-атака осуществлялась одновременно с другой кибератакой, в которой использовалось вредоносное ПО, или же она служила прикрытием для кражи ценных данных. О подобных двойных инцидентах заявили 59% российских компаний, участвовавших в опросе "Лаборатории Касперского".

В результате DDoS-атак скорость загрузки Web-страниц значительно замедлялась у половины пострадавших организаций. Однако четверть компаний, столкнувшихся с этой угрозой, имела дело с более неприятными последствиями: DDoS-атаки полностью нарушили работоспособность сервисов или же стали причиной сбоя финансовых транзакций.

Банки и кредитные организации

Что касается финансовой сферы, то по имеющейся у нас информации, ежегодно DDoS-атакам подвергается каждый второй банк в России, а крупные банки – по нескольку раз в год. Таким образом, в среднем на долю банков приходится по 0,7 атак в год на каждый банк в России. Что касается Банка Москвы, то за 2015 г. нами зафиксировано 6 DDoS-атак, которые были успешно отражены и не привели к нарушению работоспособности ресурсов банка.

В последнее время можно констатировать факт увеличения числа и мощности атак на банки в целом, что в очередной раз подтверждает острую необходимость использования эффективных и профессиональных систем противодействия.

Защита от DDoS

Стоимость зарубежных систем фильтрации может достигать значений, многократно превышающих прибыль организаций от предоставления услуг, связанных с сетью Интернет. Поэтому очень важно подходить с умом к выбору методов защиты от угроз подобного типа. Сегодня, например, на российском рынке много компаний и провайдеров, предлагающих средства защиты от DDoS-атак, ничем не уступающие западным аналогам.

Понятно, что крупные организации всегда защищаются от подобных угроз. Кто-то покупает и настраивает собственное оборудование, держит в штате специалистов, кто-то идет по пути заключения договора на поставку услуг очистки трафика со специализированной компанией, а кто-то использует комбинированные методы защиты.

Более сложно дела обстоят с небольшими компаниями – малым бизнесом. Как это по-русски: "Нас не трогали, и зачем нам защищаться…". Но все когда-то случается в первый раз, и здесь важно оценить все "за" и "против". В любом случае, защищаться или нет – выбор конкретной организации.

Комментарий эксперта

Константин
Коротнев

Руководитель информационной безопасности, CISSP, CISA, “Эльдорадо”

"Эльдорадо" занимает лидирующие позиции по обороту интернет-магазина среди крупных федеральных ритейлеров бытовой техники и электроники. Оборот интернет-площадки занимает значительную долю в общем обороте компании. В связи с этим интернет-магазин становится не только онлайн-каталогом для поддержки продаж традиционных розничных магазинов, но и отдельным критичным направлением деятельности компании, которое, кроме этого, еще и демонстрирует наиболее динамичный рост. Все это повышает рискообразующий потенциал интернет-магазина и делает его привлекательным для злоумышленников, которые осуществляют различные виды атак.

В процессе управления рисками ИБ мы регулярно оцениваем в деньгах риски ИБ для бизнеса. С ростом актуальности атак на интернет-магазин и ростом его ценности для бизнеса риски ИБ для этого ценного актива растут пропорционально. При этом DDoS-атаки можно выделить в отдельный тип атак, при успешной реализации которых фактически останавливается функционирование интернет-канала продаж компании "Эльдорадо". Таким образом, DDoS-атаки могут нанести прямой ущерб бизнесу, делая невозможным для компании зарабатывать деньги на продажах через интернет-магазин.

Предотвратить возникновение атак мы не можем, так как не имеем возможности влиять на злоумышленников, реализующих их. Но для снижения влияния атак на интернет-магазин мы используем специализированные средства защиты. Если говорить о статистике атак, то за прошедший год общая продолжительность успешно отраженных DDoS-атак составила около 10 суток, и в случае отсутствия средств защиты в такой период времени наши покупатели не смогли бы пользоваться услугами интернет-магазина "Эльдорадо" и осуществлять покупки через него. Именно поэтому мы уделяем особое внимание защите интернет-магазина "Эльдорадо" от DDoS-атак.