Российские финансовые организации осознают риски, связанные с информационной безопасностью. Согласно исследованию «Аспекты информационной безопасности в финансовом секторе. Сетевые угрозы в 2016 году», которое провели Qrator Labs и Wallarm весной этого года в финансовом секторе (банки и сервисы электронных платежей), 61% респондентов считают, что в случае инцидента ИБ (в зависимости от его масштаба и серьезности) повышается риск отзыва лицензии. Уже известно, что три банка, перенесших кибератаки, были лишены лицензий — в том числе, как отмечал регулятор, в связи с этими инцидентами.
Наиболее частый тип инцидентов ИБ, с которым сталкиваются российские банки и платежные организации — атаки типа DDoS (Distributed Denial of Service). Об этом сообщает 24% опрошенных.
Количество DDoS-атак, в том числе направленных против организаций финансового сектора, постоянно растет. Так, по словам зампредседателя правления Сбербанка Станислав Кузнецова, в прошлом году было 52 DDOS-атаки на Сбербанк, имевших критичный характер, которые могли реально повлиять на производительность банка. В этом году таких атак было уже 57.
Основные этапы эволюции DDoS-атак
По словам Александра Лямина, основателя и генерального директора Qrator Labs, до 2000 г. особых проблем с DDoS-атаками не было. Атаки конечно были, но основным их мотивом было хулиганство, и в большинстве случаев проблема решалась правильной настройкой приложений и операционной системы. Без специальных средств противодействия можно было обойтись.
В период с 2000 по 2005 гг. большинство известных атак проводилось на уровне L7 (атаки на протоколы сетевых приложений (HTTP, DNS, XMLGate) посредством эксплуатации большого количества уязвимостей веб-ресурсов и в окружающей инфраструктуре. Владельцы веб-ресурсов стали массово покупать «железо» и вендорскую техподдержку. Сформировался рынок аппаратных средств защиты от DDoS класса CPE (Customer Premises Equipment — оборудование, устанавливаемое у клиента). Фильтрация клиентами трафика с помощью устанавливаемых у себя аппаратных решений стала самым популярным способом защиты.
В
Выросла популярность атак типа Flood, прежде всего Syn Flood, рассчитанных на выведение из строя входящих каналов связи клиента. Появились первые единичные атаки полосой до 100 Гбит/с. Устроить атаку средней скорости на потребительскую инфраструктуру стало просто и дешево. Это позволяла делать существенная разница в пропускной способности каналов сетевых операторов и тех каналов, к которым подключена инфраструктура их клиентов.
Методы защиты на стороне клиента стали неэффективными, т. к. атаки проводились с помощью огромных ботнетов и позволяли очень быстро «забить» канал жертвы. Сетевое оборудование, осуществляющее фильтрацию трафика для противодействия DDoS-атакам, начали использовать транзитные операторы, канальных ресурсов которых было достаточно, чтобы пропускать атаки такой величины до этого оборудования. Основным средством спасения от DDoS стали операторские решения.
Настоящее время
Как отмечается в отчете Qrator Labs «Эволюция DDoS-атак и средств противодействия данной угрозе», с 2011 г. операторы начали терять контроль над DDoS-атаками злоумышленников, которые открыли для себя технику Amplification. Атаки с использованием этой техники рассчитаны на эксплуатацию особенностей ряда сетевых протоколов (NTP, DNS, SNMP,Chargen, SSDP и пр.), которые позволяют путем направления определенного вида трафика на сетевой ресурс (амплификатор), использующий данный механизм, получить от него трафик в многократно увеличенном объеме. Используя серию проходов трафика между амплификаторами и агрегировав ответный трафик в направлении выбранной жертвы, злоумышленник может, обладая скромным по современным меркам ботнетом, создать атаку, которая причинит немалый ущерб даже крупной сети с лучшим на рынке сетевым оборудованием.
К 2015 г. средний амплификатор дорастает до сотни. DDoS-атаки бьют рекорды один за другим: 100 Гбит/с становится обычным делом, в 2014 г. фиксируется первая атака в 500 Гбит/с. Средний размер DDoS-атак также неуклонно растет.
Конечно, полоса клиентских соединений становится шире, это значит, что злоумышленникам требуется генерировать больше мусорного трафика, чтобы «уложить» веб-ресурс заказанной жертвы. Но все равно данная гонка вооружений развивается не в пользу сетевых операторов, которые начинают реально ощущать проблему на себе — емкости их каналов иногда уже просто не хватает.
Начиная с 2014 г. с возрастающей частотой случаются инциденты, когда атака на клиента попутно выводит из строя инфраструктуру его сетевого провайдера, в итоге от даунтайма страдают все остальные его клиенты. А в отдельных случаях переполняется даже апстрим-канал провайдера более высокого уровня, у которого попавший под атаку оператор покупает трафик.
С 2014 г. происходит бурное созревание теневого коммерческого рынка услуг по организации DDoS-атак: услуга пользуется спросом (это дешевый и эффективный способ конкурентной борьбы), киберпреступники объединяются в коалиции, обозначаются лидеры рынка, которые предоставляют «взрослые» коммерческие услуги и нанимают субподрядчиков.
Раньше исполнителям приходилось самостоятельно разрабатывать средства организации атак. Теперь в сети можно скачать пакеты инструментов «ready-to-use», которыми может воспользоваться даже школьник. Можно купить или арендовать специальные инструменты для создания собственного ботнета, взять в аренду готовую зомби-сеть со всеми необходимыми средствами управления. Нападения на веб-ресурсы становятся гибридными и сложносоставными: DDoS-атаки на переполнение канальной емкости комбинируются с атаками L7, сопровождаются взломом.
Проблемы традиционных операторских решений
Еще на RISS`2015 отмечалось, что традиционные операторские решения перестали быть эффективными. Что используемые сейчас провайдерами средства защиты, как правило, ориентированы на атаки третьего-четвертого уровня модели OSI и ничего не могут противопоставить атакам седьмого уровня — уровня приложений, когда злоумышленник имитирует поведение человека и то, как он взаимодействует с пользовательским интерфейсом.
Qrator Labs подробней рассмотрела причины текущей неэффективности традиционных операторских решений:
· Атак стало слишком много, изменился их профиль. Средства, которые используют операторы, умеют анализировать только «слепок» с трафика (откуда он идет, есть ли нетипичные IP-адреса, наблюдается ли несвойственный всплеск активности и т. д.). Но этого недостаточно, чтобы отловить атаки уровня L7, так как в этом случае требуется анализировать поведение пользователей. По этой причине все чаще возникает ситуация, когда оператор, по его мнению, успешно фильтрует DDoS-атаку, но веб-ресурс клиента все равно «лежит».
· Операторские решения не способны на глубокий анализ трафика в том числе и потому, что через них проходят слишком большие объемы данных. Подробно анализировать все пакеты было бы слишком долго и накладно.
· Как правило, центр очистки трафика (ЦОТ) оператора находится в одном ЦОДе, куда направляется зеркальная копия всего клиентского трафика.
· Обычно реакция на DDoS-атаку производится вручную (это обозначено в типичных операторских SLA) — при возникновении подозрительной ситуации администратор получает оповещение и должен отреагировать на происходящее, например, заблокировав группу IP-адресов. Время реакции может составлять
· Операторы не могут себе позволить включить автоматическую отработку подозрительных ситуаций, так как их ЦОТы видят только статистику запросов, а значит могут часто ошибаться (приводить к false positive, false negative).
Облачные распределенные специализированные решения
В настоящее время получают все большее распространение новые специализированные инструменты противодействия DDoS-атакам — облачные распределенные сети фильтрации трафика от внешних поставщиков.
Операторская бизнес-модель требует строить стыки с другими операторами там, где трафик дешевле. Это позволяет получать больше прибыли. Но вместе с тем это повышает риски для клиентов стать жертвой успешной DDoS-атаки — самыми дешевыми источниками трафика являются публичные точки обмена, являющиеся по своей структуре огромными Ethernet-матрицами, в которых невозможно контролировать происхождение трафика и гарантировать SLA.
Эффективная сеть фильтрации трафика должна строиться на основе другой логики — узлы необходимо располагать как можно ближе к источникам атак, отметил Александр Ляпин. В отличие от операторских решений специализированные облачные средства противодействия DDoS-атакам анализируют не только статистические данные о трафике, они проводят глубокий анализ содержимого пакетов (как в зашифрованном виде, так и с передачей SSL-ключа поставщику услуги), поведения пользователей. Такие системы самосовершенствуются благодаря встроенным алгоритмам машинного обучения. Они могут настраиваться под конкретных клиентов, чтобы учитывать особенности бизнеса, что невозможно в случае с операторскими решениями.
Чтобы сеть поставщика услуги была максимально эффективной, он должен постоянно проводить исследования связности Интернета и адаптировать архитектуру своей сети в соответствии с меняющимися условиями. Такие специализированные решения должны использовать элементы искусственного интеллекта, чтобы быстро адаптироваться под меняющиеся условия и автоматически подстраиваться под новые методы, используемые злоумышленниками.
Кирилл Ермаков, руководитель департамента ИБ группы QiWi, рассказал, что его компании постоянно приходилось решать вопросы, связанные с DDoS-атаками. И в разное время они использовали разные средства защиты. Сейчас атаки такого рода фиксируются еженедельно, но благодаря использованию облачных распределенных средств защиты внешних поставщиков они не приводят к простою компании.
Такие же методы защиты от DDoS-атак сейчас использует «Тинькофф Банк», сообщил Алексей Кислицын, руководитель управления информационной безопасности банка. На новые технологии защиты «Тинькофф Банк» перешел после нашумевшей DDoS-атаки на банк в 2014 г., которая, по его словам, принесла ущерб финансовой организации в несколько десятков миллионов рублей.
Распределенному нападению эффективно может противостоять только распределенная защита. Сегодня наиболее эффективный инструмент защиты интернет-ресурсов от внешних атак — это облачная распределенная сеть фильтрации трафика с элементами машинного обучения, интегрированная со средствами защиты от взлома. Облака — не «серебряная пуля», не панацея на все случаи жизни, но на сегодняшний день — лучший способ защиты от DDoS-атак.
Автор статьи — к.т.н., член АРСИБ.