DDoS-атаки набирают мощь и требуют все больше ИБ-бойцов

Логотип компании
20.06.2014Автор
DDoS-атаки набирают мощь и требуют все больше ИБ-бойцов
Аналитическая компания Neustar оценивает совокупные потери британских компаний от DDoS-атак в $400 тыс. в сутки. В ее отчете также указано, что за последнее время средняя мощность DDoS-атаки выросла на 200%...

Аналитическая компания Neustar оценивает совокупные потери британских компаний от DDoS-атак в $400 тыс. в сутки. В ее отчете также указано, что за последнее время средняя мощность DDoS-атаки выросла на 200% и некоторые из них превышают 100 Гбит/c. Число попавших под атаку британских компаний выросло за год на 35%.

Отмечается, что атаки становятся длиннее: порядка 28% из них длились больше двух дней. Примерно в 69% случаев атака спустя некоторое время повторялась, а в 48% случаев DDoS-атаки повторяются от двух до десяти раз. В 39% случаев компании требовалось как минимум шесть специалистов для того, чтобы смягчить последствия DDoS-атаки, а в 24% – десять и более. Отмечается и рост числа «дымовых завес» (smokescreening attacks), когда DDoS-атака маскирует какие-то другие действия злоумышленников.

На вопросы IT News отвечает Александр Лямин, генеральный директор компании Qrator Labs.

 

DDoS-атаки набирают мощь и требуют все больше ИБ-бойцов. Рис. 1
Александр Лямин, генеральный директор компании Qrator Labs

Почему в исследовании Neustar отмечена четкая связь между числом специалистов по ИБ и силой атаки, которую надо отразить? Неужели недостаточно одного грамотного специалиста?

Очевидно, Neustar имеет в виду ситуацию, когда для защиты от DDoS-атаки используется оборудование, предполагающее не только машинное обучение алгоритмов. Проблема с машинным обучением состоит в том, что иногда алгоритмы начинают работать неоптимальным образом, и без глубинного понимания происходящих процессов найти причину ошибки невозможно. Именно поэтому большинство вендоров сейчас выпускают оборудование с усеченным ML-функционалом и набором контрмер, активируемых либо вручную, либо по паттернам, которые тоже пишутся вручную. Таким образом, «одного грамотного специалиста» для подобного решения будет явно мало.

 

Какой процент российских компаний, на ваш взгляд, занимается предупреждением возможной DDoS-атаки? Или большинство действует согласно российской пословице «Пока гром не грянет, мужик не перекрестится»?

Раньше всё действительно соответствовало этой пословице, но ситуация достаточно быстро меняется. На сегодняшний день около 10% наших заказчиков – это превентивные подключения. В enterprise-секторе таких порядка 30%.

 

Есть ли сегодня технические возможности сдержать атаку мощностью 100 Гбит/c и насколько дорого это обходится?

Да, безусловно, такие решения существуют. Атаки мощностью 100 Гбит/c перестали быть чем-то экстраординарным еще год назад. Что касается дороговизны, то это понятие относительное. Думаю, что оборудование, способное фильтровать подобные атаки, обойдется в масштабе стоимости аренды 100 Гбит/c канальных мощностей.

 

Есть ли возможность быстро развернуть решение против DDoS-атаки после того, как она уже началась?

Все зависит от особенностей сети/приложения. Некоторые сетевые сервисы даже теоретически невозможно закрыть от DDoS-атаки. Как правило, это следствие череды неправильно выбранных архитектурных решений. Мало кто учитывает фактор DDoS на этапе проектирования. Однако в сущности – да, возможно. Закрыть текущий вектор атаки, вывести сервис в работу и снять остроту проблемы, после чего в плановом порядке провести интеграцию сервисов с фильтром и обеспечить полное покрытие всего спектра угроз.

 

Считается, что облачные сервисы способны снизить опасность атак, но не настанет ли момент, когда DDoS-атаки научатся выводить из строя и «облака»?

Теоритически такая ситуация возможна, вопрос лишь в цене необходимых для ее реализации ресурсов и радиусе возможного «осколочного поражения». Важно же не только создать DDoS-трафик, но и доставить его до периметра жертвы. В случае с облачными решениями речь идет о многих сотнях гигабит. Вероятнее всего, в зону «осколочного поражения» попадут и крупнейшие точки обмена трафиком: AMSX/DECIX/M9IX и прочие публичные «эксченджи». На следующий день напишут: «Интернет сломался», – и будут правы.

 

По мере роста мощности атак какие средства защиты будут выходить на первый план?

Распределенному нападению можно эффективно противостоять только распределенной защитой. Отсюда ответ – «облака» и комбинированные решения с их применением.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
IT-World рассказывает о главных преимуществах 3D-моделирования, а также сложностях при внедрении BIM-технологий.

Похожие статьи