Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»

Указанные подходы могут применяться как вместе, так и по отдельности — в зависимости от особенностей вашей ИТ-инфраструктуры. Также при выборе средств защиты от DDoS нужно обратить внимание на несколько важных факторов:

• Критичность DDoS-проблемы (вас уже атакуют или вы только готовитесь к атаке?)
• Наличие квалифицированной штатной службы эксплуатации (кто будет администрировать систему защиты и участвовать в отражении DDoS-атаки в ее активной фазе?)
• Наличие бюджета на эшелонированный подход здесь и сейчас.

Финальный кубик в эшелонированном подходе — интеграция решений для защиты от DDoS с WAF. WAF может быть реализован в формате как сервиса, так и клиентского решения. Помимо своих классических функций, WAF обеспечивает более тонкую защиту от DDoS-атак на уровне L7 модели OSI, учитывающей уникальные особенности работы приложений компании. WAF может быть спроектирован и внедрен с нуля или уже может стоять у заказчика. В любом случае мы можем обеспечить его интеграцию с решениями по защите от DDoS.

Наши кейсы

Коммерческий банк

Наш заказчик — банк с сильной ИБ-командой — использовал зарубежное анти-DDoS решение. Весной вендор ушел с российского рынка — настало время переходить на отечественные аналоги. Мы встретились и сформировали пул задач. Требовалось подобрать и внедрить локальное решение для защиты от DDoS и интегрировать его с имеющимся в банке российским WAF. Плюс сформировать для заказчика рекомендации по построению комплексной защиты от подобных атак. 

Мы составили план работ:

• Провести пилоты нескольких отечественных решений, включая пентесты (имитировать разные типы DDoS-атак).
• Проработать варианты интеграции анти-DDoS с WAF, в частности, для импорта «черного списка» IP-адресов.
• Подвести итоги пилотов и определить сильные и слабые стороны каждого продукта.
• Выбрать и внедрить решение.
• Подготовить рекомендации по эксплуатации связки «DDoS + WAF».

Мы двигались по плану, однако во время подготовки к пилотам число DDoS-атак на банк резко выросло. Решение требовалось быстро, поэтому пришлось распараллелить несколько этапов проекта и привлечь больше технических специалистов. Мы оперативно провели пилоты и выделили ключевые критерии, по которым оценивали эффективность систем:

• Количество отраженных DDoS-атак разных типов.
• Вовлеченность и время реакции производителя на запросы.
• Наличие у производителя оборудования и сроки поставки.

В результате российский анти-DDoS заработал в сети банка уже через полтора месяца (!). Конечно, нам еще предстояло подготовить документацию, провести тонкую настройку контрмер и обучить специалистов заказчика, но это уже совсем другая история…

Онлайн-ритейлер

Типичный вечер пятницы. Неспешно собираюсь домой, и тут, как гром среди ясного неба, звонок. Это был один из наших менеджеров по работе с клиентами: «Привет, можешь срочно подключиться к звонку с заказчиком? Это онлайн-ритейлер, на носу 8 марта, а на них идет DDoS-атака — сайт лег». 

Подключаюсь и понимаю, что заказчик изрядно нервничает. ИБ-специалистов у него всего два, и они работают посменно. Уточняю ключевые моменты по ширине каналов связи, возможные варианты подключения и предлагаю воспользоваться внешним сервисом для защиты от DDoS. Перечисляю компании, оказывающие такие услуги, в том числе с опциями «WAF как сервис» и «Антибот как сервис». Заказчик выбирает двух претендентов: оказывается, он уже рассматривал такой вариант и проводил сравнение поставщиков, но решил не тратить деньги, потому что никогда не сталкивался с DDoS. К слову, «меня это не касается» — очень распространенное заблуждение. Если вы еще не сталкивались с угрозой, это не значит, что от нее не нужно защищаться.

Быстро звоню коллегам из выбранных компаний, описываю ситуацию и способ подключения (для быстроты заказчик выбрал перевод А-записи в DNS на IP-адрес поставщика сервиса). В течение часа проводим демо личных кабинетов и возможностей каждого решения. Заказчик выбирает одно из них для проведения пилота в формате отражения идущей DDoS-атаки. Дальше — дело техники. За полчаса регистрируем компанию на портале поставщика услуг и подключаем к сервису. Результат не заставил себя ждать — сайт сразу же поднялся. 

Свободный вечер пятницы был потерян, зато нам удалось буквально за несколько часов решить проблему заказчика. Справедливости ради: после инцидента он обратил внимание и на дополнительные сервисы (в том числе на антибот и WAF), провел тестирование и купил полный пакет. Кроме того, ситуация заставила компанию задуматься над общим уровнем ИБ. Мы продолжили сотрудничество и провели для нее ИБ-аудит и ряд других проектов.

«Меня это не касается» — очень распространенное заблуждение. Если вы еще не сталкивались с угрозой, это не значит, что от нее не нужно защищаться.

Крупное промышленное предприятие

Как это обычно бывает, проблема возникла на горизонте стремительно. Чисто атак на предприятие быстро росло, и заказчик предположил, что стал целью политически мотивированных хакеров. У него было достаточно ИБ-инструментов, кроме средств защиты от DDoS. Мы обсудили задачу и выделили ключевые критерии для выбора решения: 

• Минимальное вовлечение специалистов заказчика.
• Быстрота подключения. 
• Возможность постоянного общения с поставщиком услуг в момент атаки.
• Стоимость. 
• Качественный и информативный личный кабинет. 

Мы предложили два варианта:

1. Подключить сервис по защите от DDoS от операторов связи, чьи каналы использовал заказчик. 
2. Воспользоваться сервисом от специализированных ИБ-компаний.

Первый вариант отпал, так как только один из операторов, предоставляющих каналы связи заказчику, мог реализовать подобный сервис, то есть имел решение по защите от DDoS операторского класса. 

Мы остановились на втором варианте и связались с двумя ИБ-компаниями. Вместе с заказчиком посмотрели возможности личных кабинетов и обсудили способы подключения. Выбор был сделан, и уже через пару часов предприятие «накрыл» сервис для защиты от DDoS. Атаки были отражены, а «пилот» успешно продолжался еще две недели — до официального подписания договора. Предложенное решение помогло заказчику оперативно решить проблему с DDoS-атаками с минимальным вовлечением его сотрудников.

Региональный телеком-оператор

Один из заказчиков обратился к нам с интересной задачей. Ему требовался апгрейд зарубежного анти-DDoS решения операторского класса. Компания давно пользовалась системой и предоставляла сервис для защиты от DDoS ключевым клиентам. Во время пандемии количество таких запросов заметно возросло — нужно было расширяться. 

Мы подобрали несколько российских и зарубежных решений, определили критерии эффективности, провели пилоты. Но уход зарубежных вендоров с рынка и необходимость импортозамещения других ИБ-систем внесли свои коррективы в наши планы. В итоге ключевыми критериями при выборе решения стали:

1. Стоимость.
2. Соответствие техническим критериям заказчика.
3. Моновендорность: подсистема анализа трафика/детектирования атак и подсистема очистки трафика от одного производителя.
4. Возможность поэтапной закупки и внедрения решения (заказчику нужно было распределять бюджет).

Заданным требованиям по очистке трафика и созданию контрмер удовлетворяли только два отечественных продукта. На третьем пункте один из них выбыл — у производителя не было собственной подсистемы анализа трафика и детектирования атак. Для выхода на финишную прямую оставалось понять, как обеспечить поэтапное внедрение. Мы предложили следующий вариант: сначала внедряем подсистему анализа трафика и детектирования атак. Она обеспечит анализ Flow с маршрутизаторов для детектирования DDoS. Для очистки трафика пока используем подсистему от предыдущего решения. На втором этапе закупаем оборудование для новой подсистемы очистки. Этот подход позволил заказчику спокойно распределить бюджет и в конечном итоге получить полноценную систему для защиты от DDoS. 

Игровая онлайн-платформа

Ни для кого не секрет, насколько популярны сейчас онлайн-игры. Для компаний, которые обеспечивают круглосуточную бесперебойную работу таких площадок, последние годы стали серьезным испытанием. С одной стороны — колоссальный прирост игроков в связи с пандемией. С другой — с приходом новых пользователей возросла нагрузка. Кроме того, некоторые платформы используют методы недобросовестной конкуренции: все чаще привлекают хакеров к организации DDoS-атак на коллег по цеху. 

Заказчик обратился к нам с вполне понятной и интересной задачей. Долгое время он использовал сервис по защите от DDoS L3-L7, но в связи с ростом числа атак решил, что хочет сам участвовать в их отражении — настраивать контрмеры в зависимости от типа угрозы и т. д. Мы предложили дополнить используемый анти-DDoS сервис локальным решением отечественного производства.

Во время пилота заказчик познакомился с возможностями продукта, изучил интерфейс и функционал создания контрмер. Затем мы провели пентесты, имитирующие разные типы DDoS-атак. Решение успешно прошло испытания и отправилось на внедрение. В конечном счете заказчик получил эшелонированную защиту от DDoS — это снизило риски простоя платформы и оттока аудитории. 

***

Напоследок ловите несколько базовых рекомендаций:

• Не забывайте, что тема DDoS-атак как никогда актуальна. Их количество и масштаб продолжают расти. 
• Даже если проблема пока вас не коснулась, помните, что от DDoS не застрахован никто.
• Заранее проработайте, как вы планируете бороться с DDoS-атаками, чтобы не заниматься этим буквально во время атаки.