DDoS-атаки - это действия нелегитимного характера опасны тем, что приводят к вынужденному отказу в обслуживании клиентов. В последние месяцы все новостные ленты переполнены информацией о том, что коммерческий сектор подвергается массовым DDoS-атакам. Рост киберпреступлений и мошенничества связан с активным развитием онлайн-каналов обслуживания клиентов с начала пандемии. Количество интервенций будет только возрастать и к этому нужно быть готовыми.
Своим выступлением на XVII Russia Risk Conference 2021 Юрий Бармотин, Директор центра кибербезопасности, Orange Business Services Russia & CIS сделал попытку максимально простым языком изложить ситуацию с DDoS-атаками и рассказал о возможных путях усиления защиты.
Напомним, что компания Orange в России является единственной международной компанией сотовой связи, владеющей собственными магистральными линиями, представленных в 220 странах мира. Основным направлением деятельности компании является кибербезопасность.
Если посмотреть на графики слайда глобальной статистики, то динамика мировой ситуации 2020 года по кибератакам такова, что уровень защиты не справляется, и пропускает до двух теребит емкости атаки, а длительность непрерывных атак кибермошенников возросла до семи дней. Все это прямым образом влияет на бизнес.
DDoS-атака это действия нелегитимного характера и опасна тем, что приводит к вынужденному отказу в обслуживании клиентов либо с помощью деградирования канала связи, либо с помощью обслуживания целевого оборудования (брандмауэры, фаерволы, сервера и пр).
Не для кого не секрет, что конкуренция находится на таком уровне, что потребитель хочет видеть максимально простые и удобные коробочные решения, стандартные сетки, применимые для любого гаджета и в любой точке местонахождения, а банки диджитализируют все бизнесе-процессы, включая банковские операции и каналы передачи данных. И любой, даже минутный, простой ведет к колоссальным потерям.
Статистика данных по России несколько скромнее. Наибольшая емкость кибератаки составила 500 гигабит, но это также высокие значения, с учетом того, что есть определенные ограничения в части сетевой инфраструктуры любого оператора, даже если таковой является магистральным. На графике слайда также отражено влияние семидневной кибератаки на российский финансовый рынок.
Мировые тренды DDoS-атак
Стоит чуть подробнее разобраться в развитии DDoS. С момента начала пандемии рост кибератак увеличился на 22%, что обусловлено самоизоляцией и ростом онлайн-каналов обслуживания клиентов. Атаки стали более сложными (амплификейшн и атаки одного протокола мошенникам уже не интересны) и многовекторными, до 26 векторов в одной атаке. Когда внутри одной атаки меняются вектора поражения, то действия аналитиков должны быть мгновенными, чтобы подключать необходимые противомеры, успевая и даже опережая атакующих.
Появились новые источники уязвимостей. Это и MS RDP over UDP и пр., рост Telnet/SSH brute-force. И основная проблема состоит в том, что процесс весьма динамичен и постоянно трансформируется и рост атак все время увеличивается. С этим нужно что-то делать.
В апреле 2021 года аналитики Orange анализировали динамику атак и делали прогнозные расчеты. Выводы были следующими. В 2021 году ожидается до 180% дополнительных атак от количества, зафиксированных в 2019 году. По статистике за 9 месяцев 2021 года прогнозируемая цифра увеличилась. И если посмотреть на график слада, где указан объем атак, то в апреле 2021 года зафиксировано 60 гигабит, после лета объемы возросли до 150 гигабит.
В конце лета-начале осени текущего года зафиксирован пик атак, который совпал с выборами в Госдуму.
Слайд четко отражает динамику буллитов атак. В основном DDoS-атаки фиксировались исключительно в финансовом секторе экономики. По остальным отраслям обычная активность. Более 200 емкостных (свыше 10 гигабит) атак зафиксированы в режиме 24/7/365. Самая мощная атака составила 150 гигабит. Наиболее атакуемый сервис – 3D Secure, так как он является наиболее популярным сервисом компаний, проводящих финансовые онлайн-операции. Банки наиболее остро почувствовали деградацию этого сервиса. У некоторых банков сентябрь – это период запуска новых проектов, чем кибер-мошенники попыталась воспользоваться.
Orange уже более 10 лет работает в направлении кибер-безопасности, но впервые столкнулись с тем, что уровень кибермошенников не только растет, но и масштабно увеличивает количество более чем подготовленных участников своей незаконной деятельности.
Аналитики Orange поделили количество атак на временные периоды и проанализировали их. С августа 2021 года атаки производились как по зашифрованным протоколам, так и по типам амплификейшнс. С конца августа атаки фиксировались по протоколам TCP, а с начала сентября появился новый «тренд», так называемые атаки Carpet Bombing, когда одновременно атакуются все защищаемые префиксы, например «/24». Система обнаружения, к сожалению, это плохо фиксирует, потому что каждый элемент такой атаки сам по себе не значителен по мощности.
Если говорить об атаках сегодня, то их уровень не снизился. Аналитики Orange ожидали уменьшения количества атак, это же прогнозировали и эксперты общемировых центров обмена и защиты информации (CERT-организации), однако уровень инцидентов увеличился в шесть раз по сравнению со средними совокупными значениями до этого времени.
Выводы Orange после анализа выявленных инцидентов
Прежде всего нельзя так взять и защититься в момент любой атаки. Эта история касается не только финансового сектора, но любого бизнеса (та же промышленность). Да, какие-то системы разрабатываются и проектируются без первоначальной защиты в ДНК-базовой версии. Практика показывает, что система заказчика, который обратился за помощью в Orange, не готова отражать атаки, потому что инфраструктура была не прописана должным образом. И таких примеров по рынку множество.
Защита от DDoS должна предусматриваться как обязательная опция к connectivity сервисами и не только (Security by design).
Когда-то давно сервис от DDoS был достаточно статичен, атаки были простыми, как и методы выявления и защиты. Сегодня это не так. Например, типовой кейс, крупный многофилиальный банк с огромным количеством сотрудников, где сотрудники взаимодействуют между собой, не зная о том, что делает коллега по группе/отделу. Здесь может быть масса провалов и вопрос координации очень важен.
Поэтому сервис по защите от DDoS должен постоянно эволюционировать: тюнинг настроек защищаемых объектов, тестирование защиты, в вопросах координации при наступлении инцидентов не должно быть промедлений.
Все понимают, что для разных атак существуют разные способы подавления. Интервенции ёмкостные – это операторское решение. Но атаки по зашифрованному протоколу можно подавить при помощи установленного устройства на уровень сети компании, чтобы иметь возможность его расшифровать, и это фактически другой класс решений.
Здесь нужно помнить, что для разных векторов требуются различные методы и технологии защиты (эшелонированная защита с расшифровкой траффика).
Сегодня прослеживается такое интересное явление – симбиоз DDoS атак начинает тесно взаимодействовать с направлением мониторинга и реагирования в рамках деятельности SOCa. Наблюдается, что иногда DDoS-атака является лишь способом «отвести глаза», а в этот момент формируется глобальное нападение на другие беззащитные зоны.
Для своевременного обнаружения отказа обслуживания, а также обнаружения других нетипичных активностей требуется дополнительный ИБ-мониторинг. Это тренд ближайшего будущего.
Очень много негативных кейсов по интервенциям существует в банковской сфере. Большой процент связан с отсутствием контакта с ФинЦЕРТ. Эта организация является не только центром обмена информации, но и занимается защитой от DDoS. Банки могли подготовиться и улучшить свою защиту, но из-за отсутствия обмена информацией, нападения для них стали неожиданны и весьма ощутимы.
Взаимодействие с центрами обмена информации (CERT-организации) позволит оперативно получить информацию и готовиться к будущим инцидентам.
Решения для компаний - не операторов связи
Все компании работают в реальности с высоким уровнем конкуренции. И операторы связи не являются исключением. Как выбрать партнера-провайдера?
Здесь важно обратить внимание на то, как работает сервис клиентской поддержки. И здесь важно не только как идет общение, а сколько в рамках этой поддержки кастомизированно клиентов и как быстро. Все остальное также важно. Например, выбирается облачная защита или защита через провайдера, которую невозможно будет быстро поменять. При выборе защиты нужно учитывать оперативность поддержки выбранного провайдера. Насколько быстрой является обратная связь. Обязательное тестирование различных видов защиты поможет выбрать оптимальное решение для каждого конкретного случая и потребностей бизнеса.
Защита информации и кибербезопасность - тесно связаны с доверием, без которого невозможно построить бизнес. А все, что связано с конфиденциальными данными (процесс обмена информацией) идет весьма неохотно и медленно, если речь идет о коммерческой составляющей.
На сегодняшний день самая большая проблема защиты и безопасности – это отсутствие тестирования собственных решений. Поэтому все, что связано с тестовыми атаками нужно делать на постоянной основе. И если что-то не получается (защита не сработала или отработала частично), это совсем не значит, что решение не работает, возможно, что просто защита не была настроена должным образом. Тестовая атака поможет выявить слабые места и устранить их. Но это не быстрая и методичная работа команды, которая требует времени. Провайдер может помочь ускорить все процессы и процедуры.
В будущем будут появляться новые атаки с все более сложными векторами. DDos-атаки вполне могут стать доступным сервисом, вопрос только в том, кто и в каких целях им будет пользоваться. Атаки будут более мощными за счет IoT-устройств и 5G-технологий. При построении защиты, это нужно понимать, помнить и учитывать.
