Колонки 29 января 2018

«Заказать кибератаку теперь не сложнее, чем пиццу в офис»

Колонки 29 января 2018

Алексей Краснов

Руководитель направления кибербезопасности финтех-компании ID Finance

Полина Константинова

Алексей Краснов, руководитель направления кибербезопасности финтех-компании ID Finance, рассказывает о трех видах DDoS-атак и методах борьбы с ними.

Подписаться на RB.RU в Telegram

DDoS-атаки стали обычным явлением

Недавно мы получили ультимативное письмо с требованием заплатить два биткоина. «Если вы откажетесь, ваш сайт подвергнется DDoS-атаке, остановить ее будет стоить уже 10 биткоинов. Чтобы вы не думали, что мы шутим, сейчас мы проведем демо-атаку», – сообщалось в письме. Оно и правда не было шуточным: через несколько минут атака действительно началась.

Это было не первое подобное письмо и не первая атака: DDoS (вид хакерских атак, во время которых злоумышленники направляют на сервер мощный трафик, чтобы вывести его из строя) уже стал вполне обыденным явлением для рынка.

Количество кибератак постоянно растет

Заказать кибератаку теперь не сложнее, чем пиццу в офис: в «Яндексе» можно найти сотни страниц, которые предлагают «положить сайт» за небольшую сумму. Количество кибератак в начале прошлого года возросло в пять раз, их ощутила каждая третья компания в России. От угроз страдают все – от финансовых организаций до СМИ.

Стоимость услуги зависит от мощности и продолжительности атаки, а также от характеристик серверов, где расположена инфраструктура жертвы.

Небольшую атаку на незащищенный сайт можно устроить за $50, «заказать» сайт средней российской компании на день будет стоить несколько сотен долларов.

Последствия для компаний понятны – это репутационные потери, уход клиентов и недополученная прибыль. Кроме этого, DDoS может служить отвлекающим маневром для других кибератак: взлома инфраструктуры, несанкционированного доступа, социальной инженерии. За время работы мы сталкивались с несколькими видами DDoS-атак.

Виды атак и методы борьбы с ними

Косвенная атака

Ситуация, когда злоумышленники не нападают на компанию, а используют ее инфраструктуру для атаки на другую цель.

Как правило, такое возможно при наличии уязвимостей. Например, злоумышленник, используя уязвимости системы, получает удаленный контроль над компьютерами.

Он может включить их в ботнет-сеть (сеть из компьютеров, на каждом из которых запущено автономное ПО). Через командный центр хакеры используют ресурсы скомпрометированных компьютеров для DDoS-атаки.

Другой пример подобной атаки – когда злоумышленник не имеет ваших хостов в ботнет, но может усилить запланированную DDoS-атаку, используя обнаруженный им уязвимый сервис.

Как противостоять

Для борьбы с такими угрозами, прежде всего, необходимо построить процесс управления уязвимостями. Например, мы используем сервис, который называется «сканер уязвимостей» в связке с системой сбора и анализа журналов событий безопасности (SIEM).

Это позволяет полностью автоматизировать процесс поиска слабых мест. Мы стараемся строить наши процессы на базе бесплатных решений, дорабатывая их самостоятельно. Если говорить о сканере уязвимости, то годовую подписку на него можно купить за $2-3 тысячи. При выборе сканера стоит учитывать количество существующих тестов в программном обеспечении.

Вымогательство или Ransom DDoS

Это то, о чем идет речь в первом абзаце: хакеры угрожают провести атаку и требуют выкуп. Когда к нам приходят такие угрозы мы их игнорируем.

Бывают случаи, когда мошенники, используя известное имя крупной хакерской группы, делают массовую рассылку по сотням адресов с угрозами наудачу. Кто-то может заплатить, испугавшись бренда и возможных последствий.

Как противостоять

Главное правило – не надо идти на сделку со злоумышленником, чтобы не получить репутацию «легкой жертвы». Исходя из нашего опыта могу заметить, что подобные угрозы ни разу не приводили к обещанной серьезной атаке на инфраструктуру.

Кроме этого, мы делимся информацией с нашими партнерами и коллегами. Совместная работа помогает предотвращать вымогательство.

Прямая атака без «объявления войны»

О таких атаках мы узнаем из системы мониторинга доступности наших сервисов. Мы встречаемся с атаками, направленными как на приложение (наш сайт), так и на канал связи, предоставляемый нам интернет-провайдером.

Атаками на приложение могут быть тяжелые запросы, обработка которых резко повышает нагрузку на инфраструктуру, что вызывает падение производительности приложения и приводит к его нестабильной работе.

Как противостоять

Если с такими атаками на приложение можно справиться собственными силами, оптимизировав логику работы приложения или добавив ресурсы, то борьба с атаками на канал связи – очень сложная задача, которая не дает гарантированного результата.

Ведение бизнеса в «режиме пожара» – это плохая практика, которая негативно сказывается на репутации компании и на ее прибыли.

Мы спрятали наиболее критичные элементы инфраструктуры за сервис провайдеров, предоставляющих услуги по защите от DDoS-атак.

Наши партнеры имеют распределенную инфраструктуру и способны успешно митигировать атаки, доставляя нам только очищенный трафик.

Стоимость зависит от мощности атак. Существует несколько тарифов. Защита от нападений до 1 GBps стоит несколько сотен долларов в месяц. До 10 GBps – около $2 тысяч, до 50 GBps – $5 тысяч. Тут действует прямая пропорция: чем дороже атака, тем дороже защита, но никогда не знаешь, какую мощность выберет твой соперник и от чего тебе защищаться.

Всегда есть соблазн сэкономить.

Все атаки, которым мы подвергались в этом году, были в диапазоне от 50 Mbps до 10 Gbps.

Работать без остановок и оказывать достойный сервис с каждым годом становится все сложнее и дороже. Не все на рынке пользуются конкурентными методами борьбы. Кто-то использует административный ресурс, кто-то – кибератаки.

С другой стороны, пристальное внимание может свидетельствовать о значимом положении в отрасли. И если у вас давно не было кибератак, может, вы просто никому не нужны и о вас давно забыли.