Защита от DDoS-атак: поле для творчества и фантазии
Гарантированной защиты от DDoS-атак не существует. Однако можно применить комплекс мер, которые обеспечат максимальную эффективность. Одной из обязательных составляющих должно быть участие телекоммуникационного оператора.
Организация DDoS-атак давно стала отдельным "бизнес-направлением" для киберпреступников, превратившись в инструмент не только экономической, но и политической борьбы с конкурентами. Последний яркий пример – выборы в 2011 г. Поток множественных запросов с различных компьютеров обрушился на сайты таких популярных СМИ, как радиостанция "Эхо Москвы", газета "Коммерсантъ", интернет-ресурс "Слон". В результате они стали недоступны пользователям.
Расценки хакеров обычно привязаны к суткам: один день – определенная сумма. Заказ легко осуществляется и оплачивается через интернет, стоимость услуг сильно разнится: от сотен до тысяч долларов за день. Возможна даже демонстрация возможностей, например мошенник выводит из строя требуемый сайт на полчаса-час. По мнению экспертов компании Group-IB, организация DDoS-атак принесла российским хакерам $130 млн.в 2011 г.
Оценить ущерб от DDoS-атак сложно, поскольку убытки не всегда выражаются в деньгах, присутствуют и репутационные потери. Кроме того, финансовый ущерб не озвучивается. Специалисты утверждают, что обеспечить высокоэффективную защиту от DDoS-атак возможно, но 100%-ной гарантии не существует. Дело в том, что каждый раз защита должна быть инвариантна.
"Найти универсальную "таблетку" невозможно. Но мы можем внести изменения в работу системы таким образом, чтобы атака была минимально ощутимой для клиента, – поясняет Алексей Матыцын, руководитель направления по развитию продуктов для федеральных корпоративных клиентов и операторов связи компании "МегаФон". – Всегда приходится выбирать между полной недоступностью ресурса под атакой и фильтрацией трафика, которая может приводить к дополнительным задержкам и частичной блокировке легитимных запросов".
"Невозможно определить тип атаки, емкость атакующего трафика и продолжительность по времени. DDoS предоставляет в каждом конкретном случае обширное поле для творчества и фантазии атакующему", – согласен Сергей Зорин, начальник отдела информационной безопасности компании "Ситроникс ИТ" в России.
Популярные приемы
Эксперты, опрошенные CNews, классифицировали варианты организации защиты от DDoS-атак. Российские компании обычно используют три подхода, причем каждый вариант зависит от масштаба и сферы бизнеса.
Небольшие компании, чья деятельность не связана с интернетом, обеспечивают защиту самостоятельно. "Малый бизнес в основном оптимизирует конфигурацию серверного программного обеспечения с помощью собственных системных администраторов, – рассказывает Илья Сачков, генеральный директор Group-IB. – Правда, это едва ли можно назвать защитой". В конце 2011 г. компания "Лаборатория Касперского" провела исследование среди российских компаний, в чьем парке было менее ста компьютеров. Оказалось, что от DDoS-атаки страдала каждая пятая организация (для сравнения, в мире показатель ниже - 16%).
Средний и крупный бизнес обращается за защитой к сторонним поставщикам, которые предоставляют заказчикам услуги фильтрации трафика. Для крупных интернет-компаний (например, магазинов, социальных сетей) непрерывность бизнеса очень критична, поскольку любой сбой чреват потерей клиентов, пользователей. По словам Ильи Сачкова, они предпочитают закупать, внедрять и самостоятельно администрировать готовые программно-аппаратные комплексы по фильтрации трафика. "Эти компании обязаны быть в состоянии постоянной "боевой тревоги", так как их бизнес может понести огромные убытки от возможных атак из-за отказов в обслуживании", – поясняет он.
Наиболее распространенный способ защиты от DDoS-атак – решение, размещенное на сети клиента, считает Алексей Матыцын. "Однако данный способ защиты становится неэффективным при атаках высокой интенсивности, целью которых является перегрузка интернет-канала", – отмечает он. Таким образом, перечисленные подходы нельзя считать высокоэффективными.
Методы защиты
Классический метод защиты от DDoS-атак – фильтрация трафика. Илья Сачков уточняет, что этот метод будет самым действенным в том случае, если сервис обеспечивается сторонней специализированной компанией-аутсорсером. "Защитой сайта будут заниматься опытные профессионалы, которые ежедневно предотвращают DDoS-атаки, находятся в курсе всех тенденций и даже могут помочь в расследовании инцидента, – рассказывает он. – Затраты же на такую защиту зачастую значительно меньше расходов на содержание в штате одного системного администратора начального уровня. Также в этом случае не требуется закупки, размещения и настройки дорогостоящего оборудования".
Сергей Зорин считает, что обращение к специализированной компании – это наиболее часто встречающийся вариант. Технические средства, позволяющие управлять защитой от атак, требуют высокой квалификации и тонкого, даже творческого подхода в каждом конкретном случае, что зачастую не может обеспечить персонал атакуемой компании. "Следует понимать, что атаки проводятся распределенно, каждый раз по особому сценарию. Именно это переводит задачу обеспечения защиты от DDoS в область исследования, а не шаблона", – объясняет он.
ИТ-архитектура также способна повысить эффективность защиты, например, ИТ-инфраструктура с использованием серверной виртуализации и облачных технологий. Эксперты утверждают, что эффективность защиты повышается, но ограниченность ресурсов всегда есть и будет, как и в случае использования физического аппаратного обеспечения."Облачные сервисы с возможностью динамического масштабирования производительности серверов в зависимости от нагрузки очень быстро образуют отрицательный баланс лицевого счета, что в конечном итоге все равно приведет к простою сервиса", – говорит Илья Сачков. Сергей Зорин согласен, что перенос в "облако" создает возможность динамического добавления ресурсов при атаке. "Однако если облачная инфраструктура "не откажется" обслуживать атакуемого клиента или вовремя не выведет остальных клиентов за контур атаки, то велика вероятность того, что в результате негативное влияние реализуемого DDoS’а скажется и на остальных клиентах облачного провайдера", – предупреждает он.
Гораздо выше защищенность географически распределенной инфраструктуры с резервированием основных узлов. "Распределение нагрузки и дублирование сервисов позволяет нивелировать ущерб от атак. Это так называемая технология отсутствия "узких мест", поскольку именно они, в основном, подвергаются атакам", – уточняет Сергей Зорин.
Сочетание перечисленных подходов дает максимально эффективный результат, обычно это означает обращение к крупной телекоммуникационной компании. Их инфраструктура по определению в избытке обладает всеми приведенными признаками, а сам оператор выступает в роли специализированного аутсорсера. "Только оператор связи может бороться и с атаками, целью которых является перегрузка оборудования клиента, и с атаками, целью которых является перегрузка интернет-канала", – говорит Алексей Матыцын.
Деньги и гарантии
Эксперты поясняют, что стоимость решений по защите от DDoS-атак зависит от ширины потребляемого канала для легитимного трафика. То есть чем больше у ресурса активных пользователей, тем выше стоимость защиты. В случае индивидуальных программно-аппаратных решений суммы начинаются с тысяч долларов и заканчиваются сотнями, если не учитывать оплату труда специалистов. Однако затраты на защиту можно снизить, если отдать задачи на откуп телеком-оператору или аутсорсеру.
Гарантировать 100%-ную защиту от DDoS-атак невозможно – в этом сходятся все эксперты. Однако можно получить частичные юридические гарантии, например в SLA прописывается гарантия доступности ресурса для 95% пользователей. На практике это означает, что если пользователь обращается к сайту с зараженного компьютера, порой сам того не подозревая, ему будет отказано в доступе.
Кроме того, в последнее время все чаще специалисты при управлении защитой стали использовать приемы, помогающие обеспечить юридически значимые аргументы в борьбе со злоумышленниками. "Акцент защиты сменился на запрещение запросов от зарубежных клиентов в пользу целевой аудитории, которая обычно находится внутри собственной страны, – рассказывает Сергей Зорин. – Это позволило исключить наличие распределенных бот-сетей из числа атакующих, и как следствие, перевело деятельность атакующих в плоскость юридического поля одной страны". Подобный подход позволяет уйти от обращения в международные инстанции, что, безусловно, ускоряет судебные процессы.
Эксперты считают, что действительно эффективная защита требует не только технических средств, безотказной инфраструктуры и высокопрофессиональных специалистов. Важны организационные меры. "Необходимы общие усилия телекоммуникационных провайдеров, сторонних компаний, предоставляющих услуги в данной области, а также государственных структур", – считает Сергей Зорин.
Наталья Анищук
Короткая ссылка на материал: //cnews.ru/link/a3057