Специалисты по информационной безопасности из компании «Смартсистемс» рассказали, как DDoS-атаки последних месяцев изменили российский ИТ-ландшафт, а также о том, как новый сервис CyberFlow поможет бороться с возросшими угрозами при помощи AI технологий.
DDoS-атаки — острие цифровой «бури»
2022 год стал не только переломным моментом для устоявшегося мирового порядка, но и привнес радикальные перемены в привычный нам ландшафт информационных технологий. Угрозы кибербезопасности, бывшие до того объектом внимания ИТ-профессионалов и специализированных новостных изданий, захватили первые полосы крупнейших российских СМИ.
И, в первую очередь, это коснулось DDoS — массированных нападений на сетевую или серверную инфраструктуру, способных за считанные минуты вызывать серьезнейшие нарушения в работе сайтов и веб-сервисов. Этот вид кибератак основан на «глушении» цели потоками ложного трафика, который исходит от сети заранее зараженных зомби-устройств (ботнета), контролируемых киберпреступниками.
По разрушительности и принципу действия DDoS-атака напоминает лавину — ее так же легко вызвать и также сложно спастись, когда она началась. От этой атаки не застрахованы даже крупные организации, обладающие собственными IT-отделами, ведь противодействовать распределенным атакам типа «отказ в обслуживании» во много раз труднее, чем вирусам, троянам и другим видам привычных киберугроз.
Кому DDoS-атаки угрожают в первую очередь:
- правительственные веб-ресурсы;
- e-commerce: интернет-магазины и маркетплейсы;
- государственные предприятия и сервисы;
- образовательные учреждения;
- электронные СМИ;
- банки, страховые и финансовые учреждения;
- телеком;
- промышленные и транспортные предприятия.
Сегодня DDoS сайта стали по-настоящему значимой угрозой не только для отдельных организаций или компаний, но и для всей критической информационной инфраструктуры (КИИ) России. С начала 2022 года от них пострадали веб-ресурсы Центризбиркома РФ, «Госуслуг», Россельхознадзора, Роспотребнадзора, РЖД, «1С», Сбербанка, «Мираторга», Росавиации и Rutube.
DDoS: последние «тренды»
Снижение стоимости — по нашим наблюдениям, цена на «заказные» DDoS-атаки в последние два года имеет тенденцию к постоянному снижению. С развитием доступности вредоносного ПО повышается число зомби-сетей и количество предложений по использованию ботнетов в даркнете и специализированных телеграмм-каналах. Мощную DDoS-атаку в несколько сотен Гбит/с, способную надолго вывести из игры любой неугодный сайт или веб-сервис, сегодня можно организовать всего за несколько десятков долларов.
Увеличение длительности — 2022 год поставил абсолютный рекорд не только по числу DDoS-атак (только за первое полугодие их стало больше почти в 10 раз), но и по их совокупной силе. Если раньше длительность распределенных нападений измерялась минутами, то теперь счет идет на часы и даже сутки.
Цикличность — 50% атакованных сайтов снова подвергаются DDoS через непродолжительное время. Цель распределенных атак типа «отказ в обслуживании» обычно не разовые акции или получение одномоментной прибыли (как, например, у программ-вымогателей), а достижение систематических сбоев в работе веб-ресурса. Однажды почувствовав «слабость» в обороне сайта, организаторы DDoS-атак постараются раз за разом выводить его из игры привычным способом.
Многовекторность — DDoS-атаки направлены сразу на все значимые слои сетевой модели OSI: от сетевого L3 до прикладного L7. Это делает их отражение собственными силами практически невозможным, а также сильно ограничивает использование средств автоматической защиты сайта, вроде CDN-сервисов.
Скоординированность — политическая напряженность внесла радикальные перемены в то, как проводятся DDoS-атаки. Теперь их часто организуют не хакеры-одиночки, а управляемые из единых центров группы активистов, в распоряжении которых зачастую находятся ботнеты невероятной мощности. Успешно противостоять таким распределенным «командам» могут только специалисты по информационной безопасности высшей квалификации.
Умный барьер на пути кибератак
Система защиты от DDoS-атак CyberFlow стала результатом многолетних исследований наших специалистов по информационной безопасности (ИБ), а также реального опыта по противодействию подобным киберпреступлениям. Именно практический опыт показал, что постоянный рост сложности и распределенный характер подобных атак требует более совершенных защитных механизмов, выходящих за привычные стандарты.
Большинство комплексов обороны от DDoS у компании, специализирующихся на ИБ, построен на сочетании двух компонентов:
- Межсетевого экрана WAF (Web Application Firewall);
- Центра очистки, фильтрующего и отсеивающего подозрительный трафик.
Такие меры позволяют справляться с большинством несложных DDoS-атак, которые организуют любители или низкоквалифицированные хакеры. От действительно серьезных нападений, мощностью 200 Гбит/с и выше, включающих сложные атаки на уровне L7 OSI, такие меры могут не спасти.
Мы дополнили защитный анти-DDoS комплекс новым компонентом — самообучающейся системой на основе искусственного интеллекта (AI), которая способна на лету подстраиваться под изменяющиеся алгоритмы атак. Это решение позволило не только проактивно бороться с самыми опасными видами DDoS — ботнетами, маскирующимися под легитимный трафик, SYN-флудом, атаками с амплификацией, — но и выполнять индивидуальную настройку защиты для каждого клиентского ресурса.
Особенности CyberFlow
- 100% российская разработка, соответствует указу Президента РФ о переходе на отечественное ПО для организаций, относящихся к критической информационной инфраструктуре.
- Защищает от любых типов DDoS-атак, на всех уровнях сетевой модели OSI.
- Настраивается индивидуально, с учетом типа трафика и особенностей отдельного веб-ресурса.
- Многоуровневая фильтрация с использованием нескольких внешних центров очистки, имеющих распределенную систему.
- Анализ трафика происходит в режиме реального времени.
- Защита от DDoS-атак не создает нагрузку на ресурсы пользователя и никак не влияет на скорость работы и доступность защищаемого ресурса.
- Уникальный алгоритм защиты сайта объединяет автоматическое определение угроз на базе обученного AI и ручную регулировку настроек со стороны ИБ-специалистов, которые мониторят ситуацию в режиме 24/7.
- Отражение DDoS-атак полностью идет на фильтрующем контуре CyberFlow, поэтому установка дополнительных программно-аппаратных средств не требуется.
Этот год стал временем настоящей «проверки боем» для новой защитной системы. Мы столкнулись с постоянно возрастающей волной кибернападений, направленных на ресурсы наших клиентов, относящихся к сфере e-commerce, а также к крупным государственным и финансовым организациям.
Комплексная DDoS-защита CyberFlow показала, что способна справится с самыми серьезными угрозами нарушения доступности и защитить даже сайты, находящиеся на переднем крае борьбы с мировой киберпреступностью. Неслучайно, нашими клиентами в 2022 году стали такие государственные организации, как Роскомнадзор (РКН) и ее технологическое подразделение — Главный радиочастотный центр (ГРЧЦ). Именно эти структуры, обеспечивающие цифровой суверенитет нашей страны, оказались в центре внимания международной киберпреступности в начале 2022 года. Мы гордимся, что система CyberFlow достойно прошла эту непростую проверку боем, обеспечив высокую доступности и стабильность работы веб-ресурсов РКН.
Подключить защиту сайта CyberFlow очень просто. Достаточно связаться с нашими специалистами через официальный сайт и получить у них подробную консультацию по установке анти-DDoS решения на конкретный сайт или веб-сервис.