Как защититься от DDoS: кейсы и советы от Инфосистемы Джет
Информационная безопасность Информационная безопасность

Почему слова «DDoS-атака» сейчас встречаются почти в каждом разговоре об ИБ? Как правильно выстроить защиту от DDoS? Кейсы «Инфосистемы Джет».

Главная>Информационная безопасность>Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»
Информационная безопасность Тема номера

Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»

Дата публикации:
10.11.2022
Посетителей:
832
Просмотров:
840
Время просмотра:
2.3

Авторы

Автор
Никита Ступак Руководитель направления по развитию бизнеса сетевой и инфраструктурной безопасности компании «Инфосистемы Джет»

 

Почему слова «DDoS-атака» сейчас встречаются почти в каждом разговоре об ИБ?


Как правильно выстроить защиту от DDoS?


Кейсы «Инфосистемы Джет».

 

DDoS-атака — один из самых популярных способов положить какой-либо сервис. Как правило, злоумышленники создают «армию» устройств и отправляют на ресурс жертвы огромный поток запросов, перегружая сеть. Самые простые атаки совершаются с помощью HTTP-запросов. К более сложным обычно относят различные виды флуда: SYN, UDP, ICMP, MAC и др.

Основные типы DDoS-атак:

 

  • HTTP-флуд и PING-флуд

  • Smurf-атака (ICMP-флуд)

  • Fraggle-атака (UDP-флуд)

  • Атака путем переполнения пакетами SYN (SYN-флуд)

  • Отправка тяжелых запросов

  • Переполнение сервера лог-файлами

Есть много причин для DDoS:

 

  • Вымогательство и шантаж. Хакеры заранее предупреждают владельца сервиса о предстоящей атаке и требуют выкуп. 
  • Конкуренция. DDoS часто применяют, чтобы приостановить бизнес конкурента и перетянуть его клиентов. Распространенный кейс — атака сервисов финансовых организаций. 
  • Личная неприязнь. Из-за снижения стоимости DDoS ушли в народ. Обиженный человек вполне может заказать атаку на какой-либо сервис — например, из-за плохого обслуживания в интернет-магазине или после неприятного разговора с сотрудниками колл-центра. 
  • Политика. DDoS-атаки часто организуют хакеры-одиночки и группы злоумышленников с радикальными взглядами. Таким образом они обозначают свою политическую позицию. 
  • Развлечение. Многие молодые люди выбирают темную сторону и пробуют себя в разных хакерских атаках, в том числе DDoS. Чаще всего цель предельно проста — развлечься и похвастаться в сообществе.

 

За последние месяцы мы увидели значительный рост числа DDoS, при этом их мощность также существенно увеличилась. Например, Сергей Лебедь — вице-президент, директор департамента кибербезопасности Сбербанка — заявил во время выступления на Positive Hack Days 11, что 6 мая компания отразила самую мощную DDoS-атаку в своей истории. Она была направлена на сайт банка, а вредоносный трафик, сгенерированный ботнетом, исходил с более чем 27 тысяч устройств из Тайваня, США, Японии и Великобритании. Итоговая мощность атаки составила более 450 Гб в секунду.

 

Ниже мы рассмотрим наши реальные DDoS-кейсы, но сначала опишем концепцию эшелонированной защиты, выстраивать которую рекомендуем всем заказчикам (см. рис. 1).

Рис 1. Концепция защиты от DDoS

 

Указанные подходы могут применяться как вместе, так и по отдельности — в зависимости от особенностей вашей ИТ-инфраструктуры. Также при выборе средств защиты от DDoS нужно обратить внимание на несколько важных факторов:

 

  • Критичность DDoS-проблемы (вас уже атакуют или вы только готовитесь к атаке?)
  • Наличие квалифицированной штатной службы эксплуатации (кто будет администрировать систему защиты и участвовать в отражении DDoS-атаки в ее активной фазе?)
  • Наличие бюджета на эшелонированный подход здесь и сейчас.

Шаг 1

ЗАЩИТА ОТ DDOS-АТАК ОТ ПРОВАЙДЕРА ИЛИ ОБЛАЧНОГО ОПЕРАТОРА

 

Защита от типовых массовых атак

 

  • Оперативное реагирование на быстро меняющиеся типы и параметры атак.
  • Не требуется наличие обученного персонала у заказчика.
  • Может увеличивать сетевые задержки.
  • Может потребоваться передача в облако закрытых ключей шифрования.

 

Этот подход актуален, если вам нужно быстро остановить уже идущую атаку

 

ЧТО МЫ ПРЕДЛАГАЕМ


Подбор и проверка качества работы провайдера

 

  • Подключение защиты web-приложения в течение суток.
  • Подключение защиты L3-L4/L3-L7 в течение нескольких дней.

Шаг 2

РЕШЕНИЕ ПО ЗАЩИТЕ ОТ DDOS-АТАК НА СТОРОНЕ КЛИЕНТА. КЛИЕНТСКОЕ УСТРОЙСТВО

 

Направленные DDOS-атаки

 

  • Полноценный контроль за пользовательским трафиком, возможность тонкой настройки силами службы эксплуатации.
  • Не требуется раскрывать чувствительные данные (например, ключи и шифрования) третьей стороне.
  • Необходимость в квалифицированной штатной службе эксплуатации.

 

 

ЧТО МЫ ПРЕДЛАГАЕМ

 

Внедрение, поддержка, эксплуатация и тонкий тюнинг настроек

 

  • Поставка ПАК до 8 недель.
  • Поставка виртуального решения для каналов до 1 Gbps до 5 дней.

Шаг 3

WAF ДЛЯ ИНТЕГРАЦИИ С РЕШЕНИЕМ ПО ЗАЩИТЕ ОТ DDOS-АТАК

 

Атаки с использованием уязвимостей или логики работы приложений

 

  • WAF может включать защиту от DDOS-атак, направленных на приложение и защиту от ботов.
  • Большой спектр дополнительных возможностей по защите от атак каждого отдельного приложения.
  • Интеграция WAF с клиентским решением по защите от DDOS-атак, в частности для импорта черного списка IP-адресов.
  • Необходимость в квалифицированной штатной службе эксплуатации по решениям WAF (внутренней или внешней).

 

ЧТО МЫ ПРЕДЛАГАЕМ

 

Настройка интеграции WAF с защитой от DDoS-атак и тонкая настройка для защиты от L7-атак, поддержка и эксплуатация решения.


Продолжительность работ - от 2 недель.

Финальный кубик в эшелонированном подходе — интеграция решений для защиты от DDoS с WAF. WAF может быть реализован в формате как сервиса, так и клиентского решения. Помимо своих классических функций, WAF обеспечивает более тонкую защиту от DDoS-атак на уровне L7 модели OSI, учитывающей уникальные особенности работы приложений компании. WAF может быть спроектирован и внедрен с нуля или уже может стоять у заказчика. В любом случае мы можем обеспечить его интеграцию с решениями по защите от DDoS.

 

Наши кейсы

Коммерческий банк

 

Наш заказчик — банк с сильной ИБ-командой — использовал зарубежное анти-DDoS решение. Весной вендор ушел с российского рынка — настало время переходить на отечественные аналоги. Мы встретились и сформировали пул задач. Требовалось подобрать и внедрить локальное решение для защиты от DDoS и интегрировать его с имеющимся в банке российским WAF. Плюс сформировать для заказчика рекомендации по построению комплексной защиты от подобных атак. 

 

Мы составили план работ:

 

  • Провести пилоты нескольких отечественных решений, включая пентесты (имитировать разные типы DDoS-атак).
  • Проработать варианты интеграции анти-DDoS с WAF, в частности, для импорта «черного списка» IP-адресов.
  • Подвести итоги пилотов и определить сильные и слабые стороны каждого продукта.
  • Выбрать и внедрить решение.
  • Подготовить рекомендации по эксплуатации связки «DDoS + WAF».

 

Мы двигались по плану, однако во время подготовки к пилотам число DDoS-атак на банк резко выросло. Решение требовалось быстро, поэтому пришлось распараллелить несколько этапов проекта и привлечь больше технических специалистов. Мы оперативно провели пилоты и выделили ключевые критерии, по которым оценивали эффективность систем:

 

  • Количество отраженных DDoS-атак разных типов.
  • Вовлеченность и время реакции производителя на запросы.
  • Наличие у производителя оборудования и сроки поставки.

 

В результате российский анти-DDoS заработал в сети банка уже через полтора месяца (!). Конечно, нам еще предстояло подготовить документацию, провести тонкую настройку контрмер и обучить специалистов заказчика, но это уже совсем другая история…

Онлайн-ритейлер

 

Типичный вечер пятницы. Неспешно собираюсь домой, и тут, как гром среди ясного неба, звонок. Это был один из наших менеджеров по работе с клиентами: «Привет, можешь срочно подключиться к звонку с заказчиком? Это онлайн-ритейлер, на носу 8 марта, а на них идет DDoS-атака — сайт лег». 

 

Подключаюсь и понимаю, что заказчик изрядно нервничает. ИБ-специалистов у него всего два, и они работают посменно. Уточняю ключевые моменты по ширине каналов связи, возможные варианты подключения и предлагаю воспользоваться внешним сервисом для защиты от DDoS. Перечисляю компании, оказывающие такие услуги, в том числе с опциями «WAF как сервис» и «Антибот как сервис». Заказчик выбирает двух претендентов: оказывается, он уже рассматривал такой вариант и проводил сравнение поставщиков, но решил не тратить деньги, потому что никогда не сталкивался с DDoS. К слову, «меня это не касается» — очень распространенное заблуждение. Если вы еще не сталкивались с угрозой, это не значит, что от нее не нужно защищаться.

 

Быстро звоню коллегам из выбранных компаний, описываю ситуацию и способ подключения (для быстроты заказчик выбрал перевод А-записи в DNS на IP-адрес поставщика сервиса). В течение часа проводим демо личных кабинетов и возможностей каждого решения. Заказчик выбирает одно из них для проведения пилота в формате отражения идущей DDoS-атаки. Дальше — дело техники. За полчаса регистрируем компанию на портале поставщика услуг и подключаем к сервису. Результат не заставил себя ждать — сайт сразу же поднялся. 

 

Свободный вечер пятницы был потерян, зато нам удалось буквально за несколько часов решить проблему заказчика. Справедливости ради: после инцидента он обратил внимание и на дополнительные сервисы (в том числе на антибот и WAF), провел тестирование и купил полный пакет. Кроме того, ситуация заставила компанию задуматься над общим уровнем ИБ. Мы продолжили сотрудничество и провели для нее ИБ-аудит и ряд других проектов.

«Меня это не касается» — очень распространенное заблуждение. Если вы еще не сталкивались с угрозой, это не значит, что от нее не нужно защищаться.

Крупное промышленное предприятие

 

Как это обычно бывает, проблема возникла на горизонте стремительно. Чисто атак на предприятие быстро росло, и заказчик предположил, что стал целью политически мотивированных хакеров. У него было достаточно ИБ-инструментов, кроме средств защиты от DDoS. Мы обсудили задачу и выделили ключевые критерии для выбора решения: 

 

  • Минимальное вовлечение специалистов заказчика.
  • Быстрота подключения. 
  • Возможность постоянного общения с поставщиком услуг в момент атаки.
  • Стоимость. 
  • Качественный и информативный личный кабинет. 

 

Мы предложили два варианта:

 

  1. Подключить сервис по защите от DDoS от операторов связи, чьи каналы использовал заказчик. 
  2. Воспользоваться сервисом от специализированных ИБ-компаний.

 

Первый вариант отпал, так как только один из операторов, предоставляющих каналы связи заказчику, мог реализовать подобный сервис, то есть имел решение по защите от DDoS операторского класса. 

 

Мы остановились на втором варианте и связались с двумя ИБ-компаниями. Вместе с заказчиком посмотрели возможности личных кабинетов и обсудили способы подключения. Выбор был сделан, и уже через пару часов предприятие «накрыл» сервис для защиты от DDoS. Атаки были отражены, а «пилот» успешно продолжался еще две недели — до официального подписания договора. Предложенное решение помогло заказчику оперативно решить проблему с DDoS-атаками с минимальным вовлечением его сотрудников.

Региональный телеком-оператор

 

Один из заказчиков обратился к нам с интересной задачей. Ему требовался апгрейд зарубежного анти-DDoS решения операторского класса. Компания давно пользовалась системой и предоставляла сервис для защиты от DDoS ключевым клиентам. Во время пандемии количество таких запросов заметно возросло — нужно было расширяться. 

 

Мы подобрали несколько российских и зарубежных решений, определили критерии эффективности, провели пилоты. Но уход зарубежных вендоров с рынка и необходимость импортозамещения других ИБ-систем внесли свои коррективы в наши планы. В итоге ключевыми критериями при выборе решения стали:

 

  1. Стоимость.
  2. Соответствие техническим критериям заказчика.
  3. Моновендорность: подсистема анализа трафика/детектирования атак и подсистема очистки трафика от одного производителя.
  4. Возможность поэтапной закупки и внедрения решения (заказчику нужно было распределять бюджет).

 

Заданным требованиям по очистке трафика и созданию контрмер удовлетворяли только два отечественных продукта. На третьем пункте один из них выбыл — у производителя не было собственной подсистемы анализа трафика и детектирования атак. Для выхода на финишную прямую оставалось понять, как обеспечить поэтапное внедрение. Мы предложили следующий вариант: сначала внедряем подсистему анализа трафика и детектирования атак. Она обеспечит анализ Flow с маршрутизаторов для детектирования DDoS. Для очистки трафика пока используем подсистему от предыдущего решения. На втором этапе закупаем оборудование для новой подсистемы очистки. Этот подход позволил заказчику спокойно распределить бюджет и в конечном итоге получить полноценную систему для защиты от DDoS. 

Игровая онлайн-платформа

 

Ни для кого не секрет, насколько популярны сейчас онлайн-игры. Для компаний, которые обеспечивают круглосуточную бесперебойную работу таких площадок, последние годы стали серьезным испытанием. С одной стороны — колоссальный прирост игроков в связи с пандемией. С другой — с приходом новых пользователей возросла нагрузка. Кроме того, некоторые платформы используют методы недобросовестной конкуренции: все чаще привлекают хакеров к организации DDoS-атак на коллег по цеху. 

 

Заказчик обратился к нам с вполне понятной и интересной задачей. Долгое время он использовал сервис по защите от DDoS L3-L7, но в связи с ростом числа атак решил, что хочет сам участвовать в их отражении — настраивать контрмеры в зависимости от типа угрозы и т. д. Мы предложили дополнить используемый анти-DDoS сервис локальным решением отечественного производства.

 

Во время пилота заказчик познакомился с возможностями продукта, изучил интерфейс и функционал создания контрмер. Затем мы провели пентесты, имитирующие разные типы DDoS-атак. Решение успешно прошло испытания и отправилось на внедрение. В конечном счете заказчик получил эшелонированную защиту от DDoS — это снизило риски простоя платформы и оттока аудитории. 

***

Напоследок ловите несколько базовых рекомендаций:

 

  • Не забывайте, что тема DDoS-атак как никогда актуальна. Их количество и масштаб продолжают расти. 
  • Даже если проблема пока вас не коснулась, помните, что от DDoS не застрахован никто.
  • Заранее проработайте, как вы планируете бороться с DDoS-атаками, чтобы не заниматься этим буквально во время атаки.

Уведомления об обновлении тем – в вашей почте

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Аудит информационных систем

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию ...

Защита от несанкционированного доступа к информации

Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по ...

Обеспечение информационной безопасности в вычислительных комплексах на базе мэйнфреймов

Лет 30-40 назад информационные системы строились только на базе мэйнфреймов. Соответственно, архитектура информационной системы, как правило, была централизованной. Затем наступила эра малых машин, распределенных архитектур обработки ...

Философия защиты

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

Информационная безопасность - обзор основных положений. Часть 1

Важность проблемы информационной безопасности сейчас очевидна не для всех. Однако очевидна ее (проблемы) сложность, проистекающая как из сложности и разнородности современных информационных систем, так и из необходимости комплексного подхода к ...

Как организовать Threat Hunting

Когда и зачем нужно проводить Threat Hunting? Как SIEM может помочь во время “охоты”? Кейс: выдвигаем и проверяем гипотезу?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня