Организаторы DDoS-атак вышли на новый уровень

Как отметил коммерческий директор Stormwall Сергей Лахин на вебинаре "Как защитить бизнес от самых современных DDoS-атак", атаки класса "отказ в обслуживании", или DDoS, получили чрезвычайное распространение: "Они очень дешевы, а при некоторых условиях просто бесплатны, но при этом их жертвы несут большие финансовые и репутационные потери, которые многократно больше, чем любые затраты злоумышленников". При этом Россия, по данным статистики Stormwall, вошла в пятерку наиболее атакуемых стран.

"DDoS-атаки заметны сразу. Они вызывают остановку бизнес-процессов в организациях, оказывающих массовые онлайн-услуги населению, - госорганах, финансовых организациях, ретейл-сетях, СМИ, авиа- и ж/д перевозчиках и др. Стоимость такого простоя позволяет бизнесу превентивно рассчитать объем финансовых потерь от этих киберрисков и экономическую целесообразность внедрения средств защиты от DDoS-атак", - говорится в пресс-релизе МТС Red, посвященном данному экспертами компании прогнозу о перспективах российского рынка сервисов защиты от DDoS-атак.

https://www.comnews.ru/content/226891/2023-06-20/2023-w25/rynok-zaschit…

Сергей Лахин назвал четыре ключевых мотива для тех, кто прибегает к DDoS-атакам: политический, или хактивизм; проявление недобросовестной конкуренции; шантаж; прикрытие для других атак. Что касается новых технологических тенденций, то представитель Stormwall обратил внимание на две: с одной стороны, это применение в ботнетах большого количества устройств интернета вещей, что позволило добиться рекордной мощности атак (до 1,5 Тбит/с, а в перспективе и больше), и с другой - активизация атак на уровень L7 модели OSI.

"Наша статистика показывает разброс от 30% до 80%. Доля в 90% может быть лишь на выборке, в которой 90% клиентов приобретают именно защиту на уровне приложений", - делится наблюдениями руководитель центра сервисов кибербезопасности компании МТС RED Андрей Дугин.

Ведущий эксперт центра компетенций "Практическая ИБ" Innostage Кирилл Васильев оценивает долю атак L7 на уровне 60%, несмотря на их дороговизну и сложность: "С одной стороны, "стоимость" атаки на уровне L7 куда выше, чем, к примеру, генерировать мусорный трафик на транспортный уровень L4, используя botnet и засылая tcp-пакеты в ожидании, когда весь канал связи заполнится этим бессмысленным, но беспощадным трафиком. С другой стороны, эффективность целенаправленной DDoS-атаки на L7-уровне за короткий промежуток времени принесет автору такой атаки более значимый результат. В конечном итоге будет не просто нарушена доступность атакуемого сервиса, но и повреждена его целостность, выведена из строя как программная составляющая сервиса, так и аппаратная. По нашим наблюдениям, практически все громкие DDoS-атаки были комплексными. Доля складывается примерно в соотношении 60/40 в пользу атак на протоколы прикладного уровня".

Руководитель направлений WAF и Anti-DDoS "РТК-Солар" Алексей Пашков считает долю атак на L7 небольшой, что, однако, не делает их недостойными внимания: "DDoS-атаки уровня приложений (L7) действительно становятся все более популярными с ростом защиты от DDoS на сетевом уровне (L3/L4). Классическая фильтрация L3/L4 не способна обеспечить эффективную защиту от атак на приложения - для этого необходимы специализированные сервисы, в частности с расшифровкой трафика по протоколу TLS, позволяющей подробно рассматривать пользовательские запросы и их содержимое. В общем массиве событий ИБ уровня приложений DDoS занимает третье место (его доля в апреле-мае составила примерно 5%). Но это не отменяет важности борьбы с DDoS на L7, так как атаки этого типа особенно сильно влияют на конечных пользователей веб-ресурсов - онлайн-площадки становятся недоступными или работают со сбоями".

Руководитель направления экспертизы и аналитики "Гарда Технологии" Алексей Семенычев считает, что количество атак на L7 высоко, но вполне сопоставимо с числом атак более низкого уровня: "Не стоит забывать, что борьба с DDoS идет на разных уровнях. Например, защиту от DDoS обеспечивают операторы, предоставляющие услуги физического доступа к сети, - провайдеры. Следующим эшелоном атаку встречают виртуальные операторы, предоставляющие сервисы защиты от DDoS и безопасного размещения сайтов, и уже за ними или параллельно с ними с DDoS сталкиваются продуктивные сервисы, такие как веб-сайты, SIP-телефония, средства удаленного доступа и т.п. Следует понимать, что провайдеры услуг интернета, предоставляющие физические каналы доступа к Сети, неплохо отсеивают именно атаки уровней ниже L7. Создается впечатление о значительном превалировании L7 DDoS-атак над остальными. Это обусловлено тем, что сравнительно простые методы атак, типа udp flood-а или атак с усилением, выявляются пороговыми методами, а обилие получаемой провайдером информации позволяет эффективно эти методы использовать".

Переход на L7, как подчеркнул Сергей Лахин, стал серьезным вызовом для тех, кто занимается защитой от DDoS-атак, поскольку традиционные методы противодействия или совсем не работают, или малоэффективны. Защита же от атак L7, по его словам, требует существенно больших ресурсов и чревата блокировкой легитимной активности пользователей, которую имитируют злоумышленники.

"Чтобы отфильтровать атаку на L7, нужно анализировать трафик на L7. Если мы в качестве традиционных статистических методов анализа называем такие, которые оценивают трафик на L3 и L4, то в большинстве случаев они работают недостаточно эффективно", - предупреждает эксперт по кибербезопасности "Лаборатории Касперского" Александр Гутников.

Основатель Qrator Labs Александр Лямин назвал L7-атаки самыми сложными: "Вредоносный трафик максимально имитирует поведение обычных пользователей, и для его фильтрации требуется полный разбор не только пакетов, TCP-сессий, но и пользовательских сессий в целом, а это является очень ресурсоемкой операцией. Система защиты должна обладать недюжинным аналитическим аппаратом, который на основе действий пользователя будет составлять картину его типовых сессий и искать то, что не подходит под обычные паттерны и является трафиком атаки".

Положение, как предупреждает Кирилл Васильев, осложняет то, что атаки на L7 организуют те злоумышленники, для которых цель оправдывает средства: "Целевая атака, особенно поддерживаемая политическими мотивами, доведется до конца, пока атакующий не увидит от жертвы заветный ответ 404. Более того, такие злоумышленники начинают деятельность с тщательной "сетевой разведки", нередко находя опубликованные ресурсы жертвы, которые могут быть не охвачены средством фильтрации трафика. При этом с развитием новых технологий появляются новые протоколы, которые, безусловно, будут использоваться злоумышленниками для распределенных атак. С подобным явлением традиционным методам фильтрации справиться будет непросто".

Александр Гутников обращает внимание на следующие два обстоятельства, связанные с предотвращением атак на L7: "Во-первых, на L7 работает большее количество различных протоколов по сравнению с тем же L3. Это означает, что система защиты должна эффективно работать с каждым из протоколов, которые использует компания, а не только наиболее популярные, к которым относится, например, HTTP(S). Клиентский сервис может использовать другой прикладной протокол, а значит, защита должна уметь разбирать его. Однако хорошая новость заключается в том, что это будет относиться и к атакующим: ботнет для проведения атаки на уровне приложения должен уметь работать с протоколом уровня L7, и редкий ботнет сейчас способен работать с чем-либо помимо HTTP(S)".

"Во-вторых, следует учитывать шифрование. Мир развивается, а значит, развивается и информационная безопасность: данные в открытом виде через интернет передаются все реже и реже. Поэтому современным системам защиты надо уметь анализировать данные не только на уровне L7, но и как-то добираться до этого уровня, предварительно расшифровывать их или получать нужные для анализа данные из другого источника. Это увеличивает сложность схем защиты, делает их дороже", - сообщил Александр Гутников.

Алексей Пашков призывает использовать для борьбы с DDoS-атаками на L7 не только профильные инструменты, но и WAF от солидных поставщиков: "Среди средств защиты от DDoS уровня приложений можно выделить как специализированные инструменты, так и комплексные решения по защите от всех угроз для веб-приложений - Web Application Firewall (WAF). WAF защищает от событий ИБ в автоматическом режиме без привлечения инженеров и экспертов, что крайне важно в условиях роста интенсивности атак. Так, с марта по апрель 2023 г. средний интервал между событиями ИБ на один домен сократился с 15 до 9 секунд. Рекомендуется использование сервисов защиты от DDoS на L7 и WAF от крупных сервис-провайдеров, которые обладают опытом работы со значимыми, интенсивно атакуемыми веб-ресурсами страны, - это дает объективное понимание настройки СЗИ под новые виды угроз и под развивающееся веб-приложение. Самостоятельная реализация мер защиты от DDoS на L7 сопряжена с наймом и развитием команды профильных ИБ-экспертов, что экономически нецелесообразно".

По мнению Кирилла Васильева, необходима эшелонированная защита, состоящая из нескольких элементов: "В идеале специфика заключается в достижении многоуровневой эшелонированной защиты инфраструктуры, нацеленной на оперативное отражение атак с учетом деталей работы всех инфраструктурных единиц, которые доступны из интернета. Немаловажным нюансом в подходе к противодействию DDoS-атакам является полное понимание самого объекта защиты, так как недопустимо оставлять сервисы, неприкрытые какими-либо средствами защиты. Опрометчиво надеяться на безупречную оборону, если в инфраструктуре установлен только лишь "железный" очиститель трафика. Когда цена защищаемой информации высока, то для защиты целесообразно выбирать специализированные средства, решающие одну комплексную задачу: WAF для целевой защиты веб-приложений, NTA-решения для централизованного анализа трафика, SIEM для сбора алертов всех средств защиты и сам очиститель трафика от DDoS-атак, с которым можно интегрировать все имеющие технические решения".

Кирилл Васильев отметил, что при таком подходе не стоит откладывать в сторону и облачную защиту от сервис-провайдера, которая может принять на себя атаки объемом, сильно превышающим пропускную способность собственного канала связи. С подобным подходом получится обеспечить защиту инфраструктуры и, что наиболее важно, обеспечить непрерывность бизнес-процесса", - добавил он.

Алексей Семенычев настроен не столь категорично: "Традиционные методы фильтрации эффективны и для атак уровня L7. Однако именно для L7 не все виды атак можно отсеять классическими пороговыми методами. В чем специфика атак на уровень L7? Она использует особенности протоколов верхнего уровня, которые могут не превысить порога срабатывания, но при этом значительно нагрузят конкретные сервисы. В этой ситуации, чем ближе средство защиты находится к сервису, тем, как правило, оно эффективнее".

"Традиционные методы фильтрации на уровне L3-L4 при атаках на уровне L7 не всегда подходят в связи с низкой селективностью на уровне L7: система фильтрации не всегда может отличить легитимный запрос от нелегитимного, так как на уровнях L3-L4 они выглядят одинаково, - предупреждает Андрей Дугин. - Однако даже традиционные центры очистки трафика умеют отражать атаки на уровне L7 для некоторых протоколов, если трафик не зашифрован. Специфика DDoS-атак на уровне приложений состоит в истощении ресурсов непосредственно приложения, а не сети. Большое количество ботов генерируют запросы, мало чем отличающиеся от легитимных, на обработку каждого из них тратятся ресурсы сервера. Проверить легитимность запроса можно, например, отправив ответ, на который реакция у браузера пользователя будет отличаться от таковой у скрипта, запускаемого ботом".

Руководитель продуктов application security ПАО "Группа Позитив" (Positive Technologies) Алексей Астахов назвал главной особенностью инструмента для защиты на уровне приложения необходимость понимать контекст веб-приложения: "Чтобы ИБ-специалист мог этот контекст использовать, например, создавать правила. Скажем, если пользователь не отправил товар в корзину, но пытается вызвать окно оплаты - надо проверить, человек ли это? Или бот? Настолько глубокий анализ запросов влияет на производительность. При резком увеличении количества запросов L7 файрвол будет медленнее работать. При этом надо помнить, что DDoS уровня L7 опасен не только количеством запросов, но и ресурсоемкостью каждого".

Соответственно, изменение тактик злоумышленников накладывает новые требования к выбору защиты от DDoS. Руководитель направления безопасной разработки ИТАР-ТАСС Вячеслав Постемский назвал основным требованием для крупных компаний управляемость сервисов. Он предостерег от использования "черных ящиков". Также Вячеслав Постемский назвал важным требованием для поставщика услуг защиты от DDoS наличие точек фильтрации трафика во всех регионах присутствия, если заказчик является территориально распределенной структурой.

Менеджер систем и инициатив ИБ "М.Видео-Эльдорадо" Эдуард Ковальский назвал ключевым требованием к сервису защиты от DDoS быструю реакцию на ситуацию с атаками и меняющиеся требования бизнеса. Дополнительным плюсом, по его мнению, будут также аналитические рекомендации по деятельности злоумышленников.

Эксперт по информационной безопасности страховой акционерной компании ВСК Александр Карнюхин поделился отрицательным опытом использования локальных систем защиты от DDoS-атак в 2022 г., которые не справились с валом атак в марте-апреле 2022 г. Как обратил внимание Сергей Лахов, производительность локальных средств защиты ограничено емкостью канала связи, которая намного ниже возможностей, которыми располагают злоумышленники.

Александр Лямин и вовсе считает локальные системы защиты абсолютно бесполезными в нынешних условиях: "Для полноценной защиты от DDoS-атак уровня L7 устанавливать on-prem решения не рекомендуется никому. Они не способны справиться с атаками в десятки миллионов запросов в секунду, такими как последняя атака на "Яндекс", организованная с помощью ботнета Meris, трафик которой достигал 21,8 млн RPS. Это была крупнейшая в истории зарегистрированная атака на уровне приложения, и с подобными нападениями в 2023 г. не справится ни одно on-prem-решение - мощностями для фильтрации трафика подобных атак обладают только компании - специалисты по защите от DDoS. Проблематику DDoS стоит рассматривать в совокупности без разделения атак и защиты от них по типам - L1, L2, L3 или L7. Задачу нужно решать целиком либо не решать совсем".

По оценке Кирилла Васильева, локальные средства защиты необходимы тем, у кого защищаемые ресурсы находятся в корпоративном сетевом контуре, а не на внешнем хостинге. Кроме того, он предупреждает, что облачная защита может быть малоэффективной при ряде сценариев атак: "Облачная защита может обслуживать на одних и тех же мощностях разных клиентов как со средним легитимным трафиком объемом в 5-8 Гбит/с, так и клиентов со средним трафиком в 100 Мбит/с. В таком случае распознать вялотекущую DDoS-атаку будет затруднительно, и для некоторых время реагирования облачной защиты может стать непозволительно долгим. И именно on-prem-решение позволит вовремя среагировать и принять превентивные меры по защите до того, как узлы инфраструктуры почувствуют на себе эту бесполезную нагрузку".

Алексей Семенычев считает, что облачные провайдеры неплохо справляются с функциями защиты от DDoS, но особенности реализации подобных сервисов не всем позволяют их использовать: "Для защиты сервисов, отличных от веб-сервера, потребуется создание туннеля для работы с провайдером защищенного доступа, а это может быть критично в случае интенсивного использования физических каналов. Также есть проблемы с разбором шифрованных соединений, так как для этого может потребоваться передача криптографических ключей сервис-провайдеру, что, по сути, является их компрометацией. В таком случае on-prem-решения выглядят предпочтительнее".

Александр Гутников уверен, что нужно сочетать разные методы: "Организации должны следовать принципам эшелонированной защиты. В данном случае это означает, что "тело" атаки, направленное на исчерпание ресурса канала (к ним относятся атаки на L3/L4), должно отсекаться на уровне провайдера. Далее атака более тщательно фильтруется облачным сервисом защиты по всем протоколам, чтобы она не дошла до уровня клиента. Однако если после этой стадии атака все же доходит до клиентской площадки, она должна "дочищаться" с помощью оn-рremise. При этом здесь речь может идти уже не столько о решении для защиты от DDoS, сколько о продукте для обеспечения безопасности и отказоустойчивости сети - например, WAF и балансировщик нагрузки".