Из весьма длинного перечня сетевых угроз для корпоративных клиентов и операторов связи за последний год на первое место вышли распределенные атаки по отказу в обслуживании (DDoS). В целом этот вид противоправной активности можно рассматривать как информационный терроризм, “оружие бедных” в современной конкурентной борьбе: вне зависимости от систем защиты веб-ресурсов крупных компаний, банков, интернет-магазинов именно такой тип атак дает возможность с высокой вероятностью “завалить” “ресурс-жертву”. О том, как противостоять подобным ситуациям, директор департамента информационной безопасности компании “Энвижн Груп” Дмитрий Огородников рассказал научному редактору PC Week/RE Максиму Букину.
PC Week: Учитывая увеличение числа сетевых угроз, каким образом в настоящий момент осуществляется ваше взаимодействие с производителями систем безопасности на российском рынке? Какие преимущества дает договор о прямом сотрудничестве с производителями подобных аппаратно-программных комплексов?
Дмитрий Огородников: В настоящий момент на рынке решений по безопасности компьютерных сетей мы работаем примерно с тридцатью компаниями-поставщиками. Но если говорить о защите сетей операторов от DDoS-атак, то, как показывает практика, наиболее эффективные решения присутствуют в продуктовой линейке компании Arbor Networks, с которой мы сотрудничаем на протяжении трех лет. Всё предыдущее время наше взаимодействие проходило через российского дистрибьютора, однако несколько месяцев назад нам удалось заключить эксклюзивное прямое соглашение о партнёрстве.
Теперь ценообразование, логистика, условия поставок обсуждаются нами с производителем аппаратно-программных комплексов обеспечения сетевой безопасности напрямую. Подобное сотрудничество позволяет нам оперативно получать информацию о новых решениях, апгрейдах и следующих версиях ПО, гибко взаимодействовать со службой технической поддержки производителя и обсуждать индивидуальные ценовые условия, корректировать скорость доставки заказанных решений в Россию.
Эта ситуация была реализована благодаря значительному объему продаж решений Arbor Networks клиентам “Энвижн Груп”: только по противодействию DDoS-атакам речь идет о контрактах общим объемом в несколько миллионов долларов — для таких “узких” аппаратно-программных решений это достаточно значительный результат.
PC Week: Какие типы компаний наиболее восприимчивы к решениям, которые позволяют им выстраивать эффективную защиту против DDoS-атак?
Д. О.: За последнее время мы реализовали десять крупных контрактов такого рода — заказчиками были магистральные операторы связи в России и других странах СНГ; именно эту категорию компаний можно считать основной целевой аудиторией, использующей подобные решения.
Кроме того, в настоящее время в работе еще несколько контрактов, но они пока не завершены. Их клиентами, в свою очередь, являются компании из различных рейтингов ТОП-100 в самых разных отраслях экономики. При этом необходимо отметить, что в России немного операторов, которым действительно необходимо подобное решение, — не больше тридцати. Это крупные телекоммуникационные холдинги, хостинговые площадки и т. д.
А вот установка решений по защите от DDoS-атак непосредственно внутри корпоративной сети вряд ли оправдано. Несмотря на то, что к нам поступали запросы от страховых компаний, финансово-кредитных учреждений и других подобных организаций, в основном обладающих территориально-распределенной структурой, им подобные системы подходят далеко не всегда, поскольку современные решения (например, Arbor Networks) ориентированы все-таки на операторов связи.
Отмечу, что традиционных сигнатурных методов для обнаружения в современных компьютерных сетях распределенных атак совершенно недостаточно: типовых команд, пакетов, шаблонов просто не существует, состав и “комплектация” ботнетов уникальна. Поэтому решение по защите от DDoS-атак работает на основе анализа потоков NetFlow, который предназначен для сбора информации об IP-трафике внутри сети, и только таким образом оно способно определить, легитимный это трафик или нет, — на основе специальных алгоритмов и определенного “искусственного интеллекта”.
PC Week: Чем можно объяснить такую специфику решений?
Д. О.: В корпоративном секторе типология сервисов определена заранее, и понять, что происходит DDoS-атака, гораздо проще путём простого анализа трафика, который поступает извне в корпоративную сеть. Да и фильтрация данных там устроена гораздо эффективнее — ведь трафик значительно меньше, чем в общедоступных сетях, и каждый источник запросов к тому или иному сервису определен заранее. Кроме того, корпоративные сети, как правило, не используют NetFlow для анализа этих потоков и управления сетями. Да и решения по защите от DDoS-атак в корпоративных сетях обычно настраиваются специфически: при обнаружении атаки доступ к “ресурсу-жертве” просто блокируется, что, по сути, делает такое нападение результативным с минимальными усилиями.
Таким образом, в большинстве случаев защита от DDoS-атак в корпоративной сети лежит на стороне оператора связи. Причем для защиты крупных корпоративных клиентов операторов используются два основных варианта: либо оператор связи, обслуживающий значительную часть клиентской ИТ-инфраструктуры, приобретает оборудование для этих целей и обеспечивает им соответствующие структуры, либо сами компании подбирают необходимое им “железо” для собственной безопасности и устанавливают его в ЦОДе оператора связи. Надо отметить, что у операторов мощность каналов связи обычно гораздо выше, чем может позволить себе даже крупная компания, — таким образом, в сочетании с системой защиты от DDoS-атак вероятность того, что работоспособность того или иного веб-сервиса будет сохранена, возрастает.
PC Week: Что можно сказать о рынке решений по защите от DDoS-атак на уровне хостинг-провайдеров, операторов связи?
Д. О.: Хотя решениями по защите от DDoS-атак за последние год-два начали интересоваться все без исключения крупные операторы связи в России и других странах СНГ, этот рынок находится в стадии формирования — его даже сложно оценить в абсолютном выражении. Но можно отметить, что его создание происходит “снизу”. Не секрет, что работа в российском сегменте Интернета приносит для многих компаний все большие положительные финансовые потоки (по данным исследований Альфа-банка и IKS-Consulting, в 2008 году сумма платежей по пластиковым картам на российских интернет-сайтах достигла величины в 21 млрд. руб. — М. Б.), поэтому нестабильность функционирования тех же систем заказа билетов, платежных шлюзов, интернет-магазинов и т. д. может быть измерена в конкретных финансовых потерях. Таким образом, в тендерных запросах не только иностранных, но и многих российских компаний (к примеру, в запросах государственных и крупных коммерческих банков на подключение региональных отделений) необходимость защиты от DDoS-атак занимает все более приоритетные места.
К сожалению специализированных решений и компаний, занимающихся обеспечением защиты от DDoS-атак, в России в чистом виде еще нет (тогда как на Западе уже появляются компании предлагающие подобные услуги). Обычно проблему пытаются решить с помощью ЦОДов, оснащенных мощными каналами связи и специальными системами безопасности, которые работают по системе 24×7 в двух основных режимах. Первый — прием на защиту ресурсов, наиболее подверженных атакам: финансовые системы, порталы новостей, информационных агентств и т. д. Стоимость их услуг гораздо дороже, чем в “обычных” ЦОДах, но в данном случае основной упор делается на высокий уровень безопасности. Второй вариант — оперативный перенос на такие площадки подверженных DDoS-атакам веб-ресурсов для их защиты.
PC Week: Каким образом ИТ-службам корпоративных клиентов имеет смысл оценивать и выбирать услугу по защите от DDoS-атак у операторов связи?
Д. О.: Далеко не все операторы, предлагающие такие услуги, действительно могут с высоким качеством отражать массированные DDoS-атаки. Разумеется, основные “поставщики” угроз — это незакрытые пользователями “дыры” в операционной системе, браузерах и дополняющих их компонентах (здесь применяются программы — мини-эксплойты), а также компьютерные вирусы. Число подобных уязвимостей и вредоносных программ велико, поэтому задача операторов связи в данной ситуации — соответствовать реалиям окружающей обстановки. Следовательно, учитывая тот факт, что рынок защиты от DDoS-атак еще только формируется, корпоративным клиентам имеет смысл провести небольшое мини-исследование услуг различных операторов, предлагающих подобные сервисы, и обратить внимание на определенные показатели.
Во-первых, мощность полосы пропускания у оператора связи — она должна быть не менее 10 Гбит/с, что позволит отбивать DDoS-атаки, нацеленные на истощение ресурсов веб-сервиса. Кроме того, крупный оператор связи, имеющий разветвленную систему каналов и подключения в различных точках (тоже немаловажный показатель), может воспользоваться этим преимуществом: зная основное исходящее направление DDoS-атаки, можно сбить основную волну нелигитимных запросов блокированием, к примеру, определенных географических зон. Остальные переправляются в специализированный центр очистки (кстати, имеет смысл поинтересоваться его реальной производительностью. — М. Б.), где и происходит фильтрация “пустого” трафика от полноценных запросов легитимных пользователей.
Во-вторых, специализированная система защиты именно от DDoS-атак. Причем неплохо было бы поинтересоваться, что это за система и каковы ее ключевые преимущества и показатели. Скажем, ключевое отличие продукции компании Arbor Networks состоит в том, что линейка PeakFlow SP дает возможность наблюдения, детектирования и отражения различных DDoS-атак в режиме реального времени. Эти продукты специально разработаны для операторов связи и крупных предприятий и поэтому способны предоставить полноценный инструментарий по обнаружению и предотвращению сетевых аномалий и атак, а также позволяют вести мониторинг и оптимизировать использование ресурсов сети передачи данных оператора связи или крупного клиента. По сути в сети оператора связи решения линейки Arbor PeakFlow SP осуществляют непрерывное изучение статистики о сетевом трафике и посылают соответствующий сигнал при обнаружении аномалии или DDoS-атаки. При поступлении такого сигнала активизируется устройство активного подавления, которое динамически изменяет маршрутизацию в сети таким образом, что “грязный” трафик не мешает “чистому”, который и направляется по назначению (такие решения легко масштабируется до уровня поддержки сетей с трафиком до нескольких сотен гигабит в секунду. — М. Б.).
В-третьих, условия подключения. Система защиты от DDoS-атак может работать по двум возможным вариантам — либо с гарантированной полосой пропускания при DDoS-атаках, либо по остаточному принципу. Разумеется, первый вариант дороже и подходит для объектов ИТ-инфраструктуры с высоким уровнем рисков. Стоит обсудить и условия, которые будут прописаны в SLA: обычно в случае с DDoS-атаками оператор может гарантировать определенный процент очистки валидного трафика от пустого. Хотя в настоящий момент устоявшихся норм на этот счет нет — рынок находится в стадии развития. При этом надо отметить, что заявления операторов о 100%-ной блокировке “грязного” трафика во время DDoS-атаки стоит воспринимать с осторожностью, — как правило, это фикция. Атаку действительно можно ослабить, отбить основной поток “пустых” запросов, но сделать так, что она никоим образом не будет отражаться на работоспособности ресурса, весьма сложно и возможно только в случае пробной попытки дилетантов.
В целом только тщательный подход к получению подобной информации может гарантировать компании высокую работоспособность ее ИТ-ресурсов даже при многомесячной и постоянной атаке — такие случае есть и в российской практике. Кроме того, для проверки адекватности цен оператора связи имеет смысл навести справки о стоимости DDoS-атак на веб-ресурсы, аналогичные их собственным: они не могут различаться на порядок от цены на услуги по защите.
PC Week: Спасибо за беседу