4 рекомендации по предотвращению DDoS-атак в 2022 году

Логотип компании
Автор
4 рекомендации по предотвращению DDoS-атак в 2022 году
В то время как киберпреступники будут пытаться и дальше оставаться на шаг впереди новейших средств обнаружения, поставщики услуг могут предпринять действенные меры в 2022 и последующие годы.

Последние два года, прошедшие в условиях пандемии, привели к кардинальным изменениям в том, как мы живем, работаем и проводим свободное время. Рост удаленной работы прогнозировался давно, но пандемия воплотила эти прогнозы в реальность гораздо быстрее, чем ожидалось, и во многих случаях прежде, чем сети были действительно к этому готовы. 

По мере того, как мы учимся жить с последствиями пандемии COVID-19, а так называемая «новая норма» становится просто «нормой», я полагаю, что в 2022 году поставщикам услуг потребуется уделять больше внимания сетевой безопасности для борьбы с растущим числом векторов атак, которыми могут воспользоваться злоумышленники, чтобы попытаться подорвать работу и/или похитить данные организаций во всех секторах экономики практически в каждой стране.

Одним из наиболее характерных методов, используемых для подрыва деятельности компаний, являются распределенные атаки типа «отказ в обслуживании» (DDoS-атаки), и их число непрерывно растет.

Во время DDoS-атаки киберпреступники перегружают сервер организации трафиком, чтобы нарушить нормальную обработку запросов, тем самым лишая пользователей доступа к подключенным онлайн-сервисам и сайтам. Подобные атаки не только мешают законным пользователям взаимодействовать с организацией, но и потенциально могут нарушить работу всей ИТ-инфраструктуры компании.

Число DDoS-атак растет, и необходимо им противостоять

В первой половине 2021 года было зарегистрировано огромное количество DDoS-атак — 5,4 миллиона. Это на 600 000 атак больше, чем за тот же период 2020 года, т.е. плюс 50 000 атак в месяц. 85% этих атак длились менее десяти минут — чтобы усложнить процесс их обнаружения. Все, кроме нескольких из них, имели скорость ниже 10 Гбит/с, поэтому были предельно целенаправленными, и практически каждая третья повторялась в течение семи дней.

К основным тенденциям, которые можно отметить применительно к DDoS-атакам, относятся:

  • Объем трафика. Киберпреступники всё чаще фальсифицируют исходные адреса жертвы DDoS-атаки и отправляют запросы на хост-сервер (рефлектор), который генерирует ответ, в несколько раз превышающий размер сообщения запроса, что приводит к большому объему трафика в рамках атаки. Злоумышленники, как правило, используют такие протоколы с высоким коэффициентом усиления между запросами и ответами, как DNS (система доменных имён), CLDAP (упрощённый протокол доступа к каталогам без подключения) и SNMP (простой протокол сетевого управления), а также используют несколько рефлекторов одновременно, тем самым затрудняя точное определение того, какая атака наносит наибольший ущерб.

  • Использование сервисов для заказа DDoS-атак. Эти сервисы позволяют киберпреступникам легко инициировать множественные атаки, особенно в сочетании с методами с большим объемом трафика.

  • Небольшой размер пакетов. Все чаще в DDoS-атаках используются пакеты небольшого размера, что позволяет избежать обнаружения: во время некоторых атак средний размер пакета составлял менее 100 байт.

  • Адаптивность. DDoS-атаки преобразуются в многоэтапные или последующие повторные атаки — например, начинаясь с помощью «грубой силы» путём перегрузки трафиком, атака затем трансформируется в объемную за счет отражения запросов с помощью ботнетов, генерирующих запросы по протоколу UDP из сфальсифицированных реальных источников, а далее превращается в целенаправленную попытку перегрузить трафиком определенные API сервисов IP-телефонии.

  • Координация. В Бразилии более 50 местных операторов мобильной связи подверглись атакам в течение 1-3 минут, причем основная часть атак началась одновременно, что явно указывает на скоординированную работу хакеров.

Пограничные контроллеры сессий могут быть мощным инструментом защиты

Любой компонент ИТ-инфраструктуры организации может стать объектом DDoS-атаки, в том числе серверы и сервисы IP-телефонии (VoIP). Одним из важных инструментов, который можно использовать для противодействия DDoS-атакам на серверы VoIP, является пограничный контроллер сессий. Пограничные контроллеры сессий (SBC) уже долгое время считаются основой системы безопасности сетей IP-телефонии благодаря их способности обнаруживать подозрительную или аномальную сетевую активность и принимать меры в режиме реального времени, позволяя свести к минимуму подверженность сетей постороннему воздействию.

Функция пограничного контроллера сессий заключается в специализированном управлении протоколом инициирования сеансов связи (SIP) и протоколом реального времени (RTP), которые используются для обмена данными сервисов IP-телефонии, видеозвонков или обмена мгновенными сообщениями. Он применяется для управления каждым сеансом связи или соединением между сетями и для обеспечения безопасности и качества услуг передачи данных (QoS) в рамках сеанса связи, а также обеспечивает дополнительные функции для оказания услуг межсетевого взаимодействия. Пограничные контроллеры сессий обеспечивают повышенную защиту от DDoS-атак и других угроз безопасности.

Как защититься от DDos-атак?

Какие же меры должны предпринять поставщики услуг, столкнувшись с растущей угрозой, которую представляют DDoS-атаки для их сетей, заказчиков и репутации?

Мы приведем четыре ключевые рекомендации по борьбе с потенциальными DDoS-атаками в 2022 году для поставщиков услуг:

1.     Повысьте уровень безопасности межсетевых соединений. Работайте с одноранговыми узлами IP-сетей для повышения защиты путем переноса межсетевых IP-соединений с протокола UDP на протокол TCP для SIP-телефонии (атаки на основе UDP составили 44% всех атак в первой половине 2021 года.)  Кроме того, внедрите шифрование межсетевых IP-соединений с использованием протокола TLS для передачи сигналов и протокола SRTP для передачи мультимедиа.  Например, в сервисах Microsoft Teams Direct Routing и Operator Connect подобное шифрование является обязательным.

2.     Обращайте внимание на оповещения/сигналы тревоги при сканировании портов. Для осуществления DDoS-атак необходима брешь в системе защиты, а сканирование является ключевым методом поиска открытых портов, поэтому система обнаружения вторжений должна активно отслеживать их состояние, чтобы предупреждать о существенных изменениях объема трафика или аномальных источниках сканирования портов. 

3.     Проверьте и оптимизируйте решения для отражения DDoS-атак. Крайне важно провести анализ и проверку существующих в настоящее время процедур и методов защиты от DDoS-атак и определить, следует ли их изменить, и если это необходимо, какие изменения нужно внедрить для оптимизации защиты и минимизации негативных последствий.

4.     Проверьте и оптимизируйте пограничные контроллеры сессий при необходимости. Поставщики решений для предотвращения негативных последствий DDoS-атак обычно включают функцию межсетевого экрана для веб-приложений (WAF) для обеспечения безопасности 7-го уровня, но сервисы IP-телефонии не являются традиционными веб-приложениями, и для обеспечения этой функции им требуются пограничные контроллеры сессий. Следовательно, важно также проверить функциональные возможности существующих пограничных контроллеров сессий и убедиться, что их конфигурации обновлены. К примеру, как давно обновлялись списки управления доступом, и указаны ли в них адреса аномальных источников сканирования портов?

В наши дни выявление и отражение DDoS-атак стало неотъемлемой частью бизнес-стратегии каждого поставщика услуг. В то время как киберпреступники будут пытаться и дальше оставаться на шаг впереди новейших средств обнаружения, поставщики услуг могут предпринять действенные меры в 2022 и последующие годы, чтобы защитить не только свою репутацию и бренд, но и свои сети, интеллектуальную собственность, своих сотрудников и их каналы взаимодействия с заказчиками и деловыми партнерами.

Опубликовано 21.02.2022

Похожие статьи