DDoS-атаки на ЦОДы: убытки и оборона

Логотип компании
21.02.2015Автор
DDoS-атаки на ЦОДы: убытки и оборона
Финансовые потери от DDoS-атак понесли 44% ЦОДов нашей планеты. При этом они достигали мощности 400 Гбайт/c (в 2013-м году - 300 Гбайт/c). Также мишенью злоумышленников являются облачные сервисы...

Компания Arbor Networks в своем отчете Worldwide Infrastructure Security Report отметила, что ЦОДы и «облака» являются крупной мишенью для DDoS-атак. С ноября 2013 года по октябрь 2014-го в мире были атакованы две трети ЦОДов, из них значительная часть  вплоть до полной остановки деятельности. Финансовые потери от DDoS-атак понесли 44% ЦОДов нашей планеты. При этом DDoS-атаки достигали мощности 400 Гбит/c (в 2013-м году пиковый показатель мощности таких атак слегка превышал 300 Гбит/c). Также мишенью злоумышленников являются облачные сервисы: пострадавших от DDoS-атак в этой категории было 29% - чуть меньше, чем оказавшихся под огнем ЦОДов. В прошлом году таких было 19%.

 

За комментариями мы обратились к Александру Лямину, руководителю Qrator Labs.

 

Можете ли вы назвать интеллектуальные прорывы в деле борьбы с DDoS-атаками на инфраструктуру?

Защита от DDoS-атак — довольно закрытая область, поэтому об особых интеллектуальных прорывах говорить сложно. Безусловно, важную роль в отражении атак на инфраструктуру играет технология BGP FlowSpec, которая при правильном применении позволяет минимизировать паразитную нагрузку на сеть. В целом, за последнее время появилось немало интересных исследований в области защиты топологии сети, как, например, можно использовать уязвимости сетевой инфраструктуры, есть также исследования и решения, позволяющие заранее обнаружить эти уязвимости.

 

Каков на ваш взгляд, реальный процент потерь «легитимного» трафика в случае его фильтрации?

При атаках на инфраструктуру проблема классификации трафика не является ключевой, и процент потерь близок к нулю. В общем случае для полноценной защиты приложения важно видеть обратный трафик, чтобы анализировать параметры производительности. Мы лучше пропустим часть подозрительных IP-адресов, если сайт способен выдержать эту нагрузку, таким образом избегая даже минимального числа ложных срабатываний (false positive).

 

Правда ли, что от момента обнаружения атаки до перенаправления трафика для очистки обычно проходит довольно много времени?

Атаки на инфраструктуру необходимо отражать с помощью BGP-анонса, что – в случае, если сеть не находится под постоянной защитой – сопряжено с человеческим фактором. Неизбежно возникнет промежуток между началом атаки и тем моментом, когда сетевые инженеры поймут, что происходит. При этом нужно понимать, что сетевой инженер не обязан быть специалистом по защите от DDoS-атак, не обязан быть в курсе последних трендов в этой области и не всегда сможет моментально и безошибочно распознать источник проблемы. Так что интервал времени между началом атаки и началом очистки действительно может быть заметным – даже несмотря на то, что технически сам BGP-анонс занимает около минуты.

 

Если большинство ЦОДов защищается от DDoS-атак, почему же во многих случаях доходило до полной остановки их деятельности, и 44% несли убытки? Значит ли это, что специалисты по ИБ «проигрывают войну» кибер-комбатантам?

На практике мы часто сталкиваемся с тем, что владельцы ЦОДов предпочитают строить информационную защиту самостоятельно, что получается не всегда удачно из-за отсутствия соответствующей экспертизы. Альтернатива – организация защиты силами сторонних вендоров,  однако выбирать таких вендоров необходимо на основе разумно подобранных критериев, причем не только экономических, но и технических – и это тоже случается не всегда. Можно сказать, что есть проблемы с информированием об актуальных угрозах и рисках, а также об эффективных методах борьбы с ними.

 

Нет ли у вас подозрений, что часть атак организована недобросовестными производителями средств защиты от DDoS-атак?

Таких подозрений нет. Даже если оставить за скобками вопросы этики и морали, все равно существуют объективные причины, по которым ни один серьезный производитель решений в области ИБ не будет рисковать и заниматься организацией DDoS- атак. Например, источник широкополосной атаки легко обнаруживается операторами связи, которые взаимодействуют с производителями средств защиты. А создание ботнетов требует привлечения больших ресурсов, вплоть до создания отдельного секретного отдела внутри компании. Подобные вещи достаточно быстро выплывут на поверхность.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Как грамотно подойти к модели «нулевого доверия» (Zero Trust Network Access), как адаптироваться к ней, а также о многом другом IT-World рассказал Виталий Даровских, менеджер по продукту UserGate Client компании UserGate.

Похожие статьи