Отказ в обслуживании: число DDoS-атак на компании будет расти
Только за три квартала текущего года число DDoS-атак на российские компании увеличилось в 2,5 раза по сравнению с прошлым годом. Причем вместе с количеством атак выросла и их средняя мощность. Как не стать жертвой DDoS-атак и оптимальнее всего справляться с самыми изощренными из них — в материале «Известий».
«Будут только нарастать»
В оставшиеся месяцы 2021 года число DDoS-атак будет расти, сообщили «Известиям» сразу в нескольких IT-компаниях, специализирующихся на защите компьютерных сетей.
DDoS-атаки могут сделать сайт компании недоступным для партнеров по бизнесу или клиентов, затруднить покупку товаров и услуг. Такие атаки наносят бизнесу существенные убытки. Иногда в результате DDoS-атак злоумышленники могут похищать данные пользователей. При этом компании – партнеры жертв злоумышленников могут также пострадать, если их собственные сервисы интегрированы с сервисами «мишеней».
В последнее время такие атаки всё чаще случаются по инициативе представителей бизнеса в качестве инструмента конкурентной борьбы, рассказали «Известиям» источники в IT-отрасли. Проблема усугубляется также тем, что стоимость организации DDoS-атак в 2021 году заметно снизилась, свидетельствуют инсайдерские данные.
— 2021 год стал феноменальным как с точки зрения скоростей, так и техник организации DDoS-атак, и дальше этот ком будет только нарастать, поскольку нерешенных проблем в индустрии и незащищенных компаний пока более чем достаточно, — сказал «Известиям» основатель и генеральный директор Qrator Labs Александр Лямин.
Это касается как объемных, так и прикладных атак, рассказывает эксперт по информационной безопасности Cisco Михаил Кадер.
— Скорее всего, немного будут меняться источники и протоколы, — говорит Михаил Кадер. — Если раньше «исполнителями» атаки были компьютеры пользователей, то сейчас эту роль всё чаще выполняют устройства «интернета вещей», например видеокамеры, умные телевизоры и т.п. С учетом бурного развития этого класса устройств у злоумышленников всегда есть хорошая платформа для проведения атак.
Количество и объемы атак, несомненно, продолжат расти, и способствовать этому будет теперь технология 5G, которая позволяет подключать объекты «интернета вещей» на огромных скоростях, но при этом всё еще достаточно мало распространена, соглашается CEO и сооснователь StormWall Рамиль Хантимиров.
— Будет расти интенсивность атак, — говорит руководитель департамента электронных административных регламентов «Айтеко» Виктор Бурлаков. — Например, в начале лета хакеры атаковали крупнейший мясокомбинат США, запаролив данные компании. Проблема была решена выплатой на биткоин-кошелек. А недавние атаки на Facebook снизили капитализацию компании. Вполне вероятно, что атаки будут сопровождать запуски важных электронных сервисов, онлайн-распродажи, публикацию отчетности корпораций и т.д.
Руководитель направления сетевой безопасности центра информационной безопасности компании «Инфосистемы Джет» Никита Ступак прогнозирует, что, несмотря на то что количество атак будет увеличиваться, продолжительность их сократится.
Всплеск DDoS-атак связан с активной цифровизацией и уходом в локальные локдауны. Согласно свежей статистике, объем российского рынка онлайн-торговли по итогам 2021 года может вырасти до 3,478 трлн рублей с 3,221 трлн рублей в 2020 году.
— В дарквебе услуги проведения DDoS-атак или аренды ботнета достаточно распространены, их стоимость разнится в зависимости от мощности и продолжительности. Например, атака длительностью одни сутки и мощностью несколько сотен Гбит/с может стоит всего $50, — говорит руководитель отдела аналитики Positive Technologies Евгений Гнедин.
Директор департамента развития бизнеса IT-компании «Рексофт» Николай Потапов подчеркивает, что DDoS-атаки — недорогой продукт. Для нечистоплотной конкуренции он очень выгоден, поэтому количество атак продолжит расти, тем более что информация о таком инструменте конкуренции становится доступна широким массам в силу роста уровня знаний в области новых технологий.
Что происходит в этом году
Как следует из отчета, подготовленного в «Ростелекоме», за три квартала 2021 года число DDoS-атак на российские компании увеличилось в 2,5 раза в сравнении с аналогичным периодом прошлого года. Основными целями злоумышленников стали финансовые организации, госсектор, а также сфера онлайн-торговли.
Традиционно наибольшее количество атак приходится на организации, расположенные в Москве: их доля составила 60% от общего числа инцидентов. Количество DDoS-атак на банки (в том числе из топ-20) увеличилось в 3,5 раза, при этом почти 90% из них пришлись на сентябрь.
Число DDoS-атак в сегменте онлайн-торговли выросло на 20%. Пик активности хакеров пришелся на начало года, а наибольшее количество инцидентов было зафиксировано в марте. После небольшого затишья с августа уровень атак начал расти. Можно предположить, что до нового года мы увидим традиционный возрастающий тренд по количеству DDoS-атак, связанный с акцией «Черная пятница» и предновогодними распродажами, которые начинаются в ноябре и продолжаются до февраля следующего года. На 17% увеличилось число атак на госсектор.
Вместе с количеством атак выросла и их средняя мощность — на 26%. А значение самой мощной атаки (462 Гбит/с) на треть превышает пиковое значение первых трех кварталов 2020 года. Самая долгая атака в отчетный период длилась почти 4,5 дня. Годом ранее этот показатель составил около трех дней.
— DDoS-атаки всё активнее используют как инструмент конкурентных войн, — сказал «Известиям» руководитель направления Anti-DDoS и WAF платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар» Тимур Ибрагимов. — Зачастую тем, у кого нет полноценной защиты от DDoS, проще заплатить выкуп, чтобы прекратить атаку и восстановить работу ресурсов. Этим активно пользуются хакеры. К тому же появляются всё новые и новые уязвимости, которые позволяют злоумышленникам взламывать различные устройства и собирать их в масштабные ботнеты, которые можно использовать для более мощных и эффективных DDoS-атак.
По данным Check Point Software Technologies, за последние полгода российские организации атаковались в среднем 1289 раз в неделю, в то время как по миру этот показатель составляет 839 атак в неделю. Однако это касается всех видов атак, не только DDoS. Наиболее сильно пострадали телеком-сектор (2167 атак в неделю), производственный сектор (1933 атаки в неделю), ритейл/оптовые продажи (1460), банковский и финансовый секторы (1440), здравоохранение (1292), транспорт (1178).
Михаил Кадер объяснил, что реальный объем убытков компаний из-за таких атак трудно оценить, потому что данные о потерях далеко не всегда разглашаются пострадавшими.
— Рост именно DDoS-атак обусловлен эффектом инерции: его начало было положено в 2020 году, а на 2021 год пришелся пик активности злоумышленников, организующих распределенные атаки на все сферы бизнеса, — считает Александр Лямин.
Директор по консалтингу ГК InfoWatch Ирина Зиновкина полагает, что к росту числа такого рода атак привела во многом пандемия, когда многие работники перешли на дистанционную работу. При этом доступ к ресурсам и сервисам компании осуществляется извне, что также играет на руку злоумышленникам.
Какие бывают виды DDoS-атак
Александр Лямин объяснил, что наиболее распространены были DDoS-атаки на канальную полосу. Их интенсивность измеряется в терабитах в секунду (Тб/с). Однако в этом году на первый план вышли атаки уровня приложения, скорость которых рассчитывается в запросах в секунду.
— Они были в индустрии всегда, с самого начала существования проблематики DDoS, но последние несколько лет были непопулярны, — говорит Лямин. — Сейчас они снова возвращаются, выходя на новый виток востребованности среди злоумышленников. Такие атаки с трудом поддаются выявлению и нейтрализации, поскольку организуются внутри шифрованных протоколов и могут имитировать легитимный трафик.
Яркий пример — организованная в начале сентября этого года DDoS-атака на «Яндекс» с помощью нового ботнета Mēris, поставившего абсолютный рекорд по скорости DDoS-атак — 21,8 млн запросов в секунду.
CEO и сооснователь CrowdSec Филипп Хюмо выделяет три типа DDoS-атак:
- атаки на основе объема (volume-based attack): злоумышленник скидывает большое количество поддельных сетевых данных на веб-сервер или другой ресурс компании;
- атаки на сетевом уровне или уровне протокола (protocol- or network-layer attacks): киберпреступник отправляет пакет данных в нужную сетевую инфраструктуру;
- атаки на уровне приложений (application-layer attacks): злоумышленник отправляет вредоносные запросы, например, на сервер, который вынуждает его использовать все свои ресурсы/данные.
— Организации в РФ подготовлены к DDoS-атакам по-разному: для крупных компаний они уже стали обыденностью, и с ними успешно справляются, — говорит Ирина Зиновкина. — Другое дело, когда злоумышленники подходят к подобной атаке серьезно подготовленными и имея большие ресурсы — в этом случае они становятся особо опасны. Кроме того, следует понимать, что даже не очень крупная по масштабам DDoS-атака может служить отвлекающим маневром от каких-то других незаконных действий.
Как защищаться от DDoS-атак
С учетом текущих реалий DDoS-атак, когда их пиковые значения достигают нескольких терабит в секунду, а большую часть составляют высокоуровневые, изощренные атаки уровня приложения (Application Layer), справиться с подобными нападениями могут только облачные решения — распределенные сети фильтрации трафика, специально спроектированные в расчете на экстремальные нагрузки, считает Александр Лямин.
— Существуют различные способы защиты от DDoS, — говорит Никита Ступак. — Во-первых, нужно установить на собственных серверах специальное локальное устройство для анализа трафика и очищения его от DDoS-атак различного типа. Еще эффективный вариант, особенно для объемных атак, когда защита от DDoS установлена у оператора, который предоставляет канал связи вашей организации. Кроме того, есть компании, которые предоставляют услуги по защите от DDoS на базе своих решений.
Однако в последнее время большое число DDoS-атак направлено на конкретные бизнес-приложения компаний. В таких случаях Никита Ступак рекомендует использовать дополнительные инструменты на уровне сетей (L7), к примеру различные инструменты WAF (брандмауэры веб-приложений) для обнаружения и блокирования сетевых атак.
Увы, до сих пор многие российские компании считают так: «Зачем платить деньги за защиту от DDoS, если нас не атаковали в последний год или атаки были небольшими и не повлекли убытков?» Однако, как показывает практика, это мнение быстро меняется, как только случается полноценная DDoS-атака, полагает Михаил Кадер.
