Масштабы кибератак в России: угрозы и способы защиты

В современном мире информационных технологий обсуждение взлома инфраструктуры, утечки данных или DDoS-атак стало уже привычной темой в высших кругах, где раньше эти вопросы считались сугубо техническими. Новости о крупных кибератаках и сбоях в работе веб-сервисов ещё несколько лет назад были доступны только на специализированных ресурсах и интересовали только руководителей отделов информационных технологий и информационной безопасности. Однако сейчас ситуация изменилась.

Количество DDoS-атак на российские компании в первом квартале увеличилось почти вдвое по сравнению с аналогичным периодом прошлого года. Более 2500 DDoS-атак было совершено на объекты энергетической отрасли, что почти в 10 раз превышает показатель первых трёх месяцев 2023 года. Эксперты отмечают, что эта отрасль имеет ключевое значение для России, и недоступность её ресурсов может затронуть множество людей.

Сегодня, чтобы восстановиться после хакерской атаки, важно понимать, как произошёл взлом, и устранить уязвимости. Классическим сценарием расследования является сбор данных и их анализ.

Цель всегда одна – восстановить нормальную работу бизнес-системы.

DDoS-атака (Distributed Denial of Service) — это форма кибератаки, направленная на вывод из строя или затруднение доступа к веб-системам. Атаки осуществляются с использованием распределённой сети устройств, которые отправляют запросы на сервер жертвы, перегружая его.

Виды DDoS-атак

Существует множество видов атак типа «отказ в обслуживании», которые различаются по механизму воздействия, используемым протоколам и уровню воздействия в рамках семиуровневой модели OSI.

К числу наиболее популярных относятся:

• Атаки на сетевую инфраструктуру (L3 по модели OSI);
• Атаки на слабые места сетевых протоколов TCP/IP (L4);
• Атаки на исчерпание ресурсов сервера и отказ в обслуживании на уровне приложений (L7).

По типу используемых протоколов атаки можно разделить на следующие категории:

• Задействующие User Datagram Protocol (UDP);
• Использующие Transmission Control Protocol (TCP);
• Прочие (ряд других реже используемых протоколов).

Цели DDoS-атак могут быть разнообразными: экономическая выгода, политические мотивы, информационная война, вымогательство, личная неприязнь или просто развлечение. Такие атаки могут организовываться конкурирующими компаниями, идейными активистами или вымогателями, которые потребуют деньги за прекращение вредоносных воздействий. Вне зависимости от механизма, уровня и протокола все DDoS-атаки направлены на то, чтобы вывести веб-ресурс из строя и прекратить его нормальную работу.

К группам риска относят отрасли, которые сильно зависят от цифровых и онлайн-услуг. Среди них часто оказываются платформы электронной коммерции, финансовые учреждения, медицинские организации, государственные учреждения и платформы онлайн-игр. Для этих организаций критически важно поддерживать непрерывную работу онлайн-сервисов, поскольку любые сбои могут привести к серьёзным последствиям.

Когда инцидент уже произошёл, необходимо действовать по обстоятельствам, учитывая действия хакеров.

Главное – не предпринимать поспешных действий и позвать специалистов для расследования киберинцидента. Реагирование и восстановление данных можно начать после получения отчёта о расследовании.

Методы борьбы с DDoS-атаками

1. Настройка брандмауэра – ключевой аспект защиты от DDoS-атак. Файрволы способны выявлять и блокировать нелегитимный трафик.
2. Применение CDN (сети доставки контента) оптимизирует скорость и эффективность работы благодаря хранению кешированных данных рядом с конечными пользователями, снижая задержки и нагрузку на другие серверы. CDN распределяет контент веб-ресурса по обширной сети серверов, сокращая объём трафика, влияющего на отдельные серверы. Многие CDN также предоставляют встроенные функции защиты от DDoS, такие как автоматическое перенаправление трафика, обнаружение аномалий и способность поглощать и рассеивать большие объёмы трафика.
3. Фильтрация трафика означает установку сетевых решений, которые анализируют входящий трафик и определяют, поступает ли он от законных пользователей или является частью DDoS-атаки. Эти системы применяют различные параметры для обнаружения и блокировки вредоносного трафика, такие как IP-адрес источника, частота трафика и целостность пакетов. Этот подход обеспечивает защиту от текущих атак и позволяет выявить закономерности для предотвращения подобных инцидентов в будущем.
4. Применение CAPTCHA – различных систем проверки электронной почты для блокировки регистрации спам-аккаунтов, а также ограничение числа попыток авторизации или отправки форм с использованием  для проверки подлинности пользователей и ботов.
5. Модуль Testcookie – это эффективный инструмент, применяемый в серверах Nginx для проверки входящих соединений с использованием JavaScript-теста. Он помогает определить, является ли трафик результатом действий реального пользователя или автоматизированного ботнета. Код 444 указывает на закрытие соединения без отправки заголовков и содержимого ответа, что позволяет минимизировать потребление ресурсов при обработке вредоносных запросов.
6. Блокировка по географическому признаку – метод подразумевает ограничение трафика из регионов с репутацией источников DDoS-атак с использованием правил брандмауэра или настроек конфигурации сети.
7. Применение нейронных сетей для борьбы с DDoS предполагает анализ трафика и обнаружение аномалий с помощью искусственного интеллекта, что позволяет быстро реагировать на угрозы в реальном времени.
8. Использование специализированных сервисов обеспечивает комплексную защиту от разнообразных DDoS-атак, включая расширенную фильтрацию трафика, ограничение скорости, обнаружение ботнетов и автоматизированные механизмы реагирования.
9. Настройка DNS:

• Очистка кэша – процедура, позволяющая сохранять IP-адреса в локальной сети, что снижает нагрузку на DNS-сервер. Также это уменьшает время ожидания ответов на запросы пользователей.
• Ограничение скорости ответа (RRL) – это метод, применяемый в DNS-серверах для защиты от DDoS-атак, особенно направленных на усиление DNS. RRL работает путём регулирования количества ответов, отправляемых DNS-сервером за определённый период времени.

Атака с усилением DNS — это вид DDoS-атаки, при которой злоумышленник применяет возможности публичных DNS-серверов для насыщения цели значительным количеством трафика. Это происходит путём отправления DNS-запросов с IP-адреса жертвы, что вынуждает DNS-сервер отправлять ответы на адрес, который в действительности не нуждается в них. Такой подход называется «усилением», так как злоумышленник преобразует небольшое количество запросов в значительно больший объём трафика, нацеленного на жертву.

Способы предотвращения и отражения DDoS-атак.

В эпоху, когда DDoS-атаки становятся всё более изощрёнными, надёжная защита требует разностороннего подхода, включающего передовые технологии и управление рисками. Задача защиты — не только предотвратить атаки, но и уменьшить их влияние в случае возникновения.

1. Выявление и ответная реакция. Своевременное обнаружение DDoS-атак имеет решающее значение для снижения их воздействия. Современные системы обнаружения применяют разнообразные методы анализа трафика, такие как машинное обучение и искусственный интеллект, чтобы выявлять необычные модели трафика, указывающие на атаку.
2. Минимизация последствий атак. После обнаружения атаки необходимо быстро принять меры по её смягчению. Это включает использование различных технических решений и процедур для уменьшения влияния атаки на инфраструктуру и поддержания работоспособности сервисов.
3. Создание резервных копий и восстановление данных. Поддержание актуальных резервных копий систем и данных гарантирует быстрое восстановление после атаки, что крайне важно для минимизации простоев и сохранения целостности данных.

Для того, чтобы ваша компания не стала жертвой хакерской атаки, специалисты Mask Safe рекомендуют строить свою киберзащиту следующим образом:

1. Установить антивирус последней версии
2. Внедрить защиту нового поколения – межсетевые экраны нового поколения NGFW
3. Использовать систему мониторинга событий информационно йбезопасности
4. Выявлять нелояльных сотрудников, предотвращать утечку информации и контролировать информационные потоки
5. Также использовать систему анализа трафика для выявления атак 

Защитить свою организацию можно и нужно уже сейчас, потому что тренд на увеличение количества атак на компании очевиден. Многодневные простои и многомиллиардные потери - вот цена недобросовестного отношения к построению системы информационной безопасности.