Как противостоять современным интернет-угрозам?
Всеобщая гиперподключенность, BYOD и “размывание" периметра рабочего и личного пространств – все это создает предпосылки как для легитимного, так и для нелегитимного доступа. При этом растет количество всевозможных сетевых протоколов, в каждом из которых имеются свои уязвимости, которыми могут воспользоваться злоумышленники. А атаки на Web-сервисы и ресурсы постепенно превращаются в оружие конкурентной борьбы и все более доступный способ зарабатывания денег. В этой статье предлагаю рассмотреть варианты защиты от основных интернет-атак на корпоративные ресурсы.
Если раньше какой-нибудь "червь" начинал "гулять" по миру, его можно было достаточно быстро обнаружить сигнатурными методами и обезвредить. Сейчас очень часто атаки и вирусы "затачиваются" под конкретную цель – компанию или организацию. Будучи успешно запущенным в целевую сеть, он достаточно быстро предоставляет злоумышленнику доступ к нужным ему ресурсам и данным или же совершает другие вредоносные действия, а затем самоуничтожается. Искать его уже не имеет смысла, важно предотвращать.
Именно на этом производители средств информационной безопасности (ИБ) сегодня концентрируют усилия, параллельно, по-прежнему уделяя внимание анализу инцидентов, на основе которого выстраивается стратегия проактивного управления рисками в реальном времени.
Атака на сервис
В последнее время особенно участились случаи децентрализованных DDoS-атак на сетевые ресурсы и сервисы с целью выведения их из состояния доступности. Объектами таких атак становятся интернет-магазины, системы электронных платежей, сервисы ДБО, фиксированной и мобильной связи, хостинг и электронные торговые площадки, сайты органов государственной власти, СМИ и форумы и пр. Очень часто мотивом проведения таких атак является конкурентная борьба, вымогательство, мошенничество, политические акции и пр. В результате простоя сервисов организации несут финансовые потери, например, если недоступность сайта влечет за собой невозможность осуществления транзакций, подачи заявок и прочее, а также теряют репутацию в глазах клиентов, читателей, избирателей и т.п.
Так, некоторое время назад на сайт ОАО "Единая электронная торговая площадка" была осуществлена DDoS-атака, нарушившая ход торгов. Однако виновным в этом (в нарушении закона о размещении заказов) ФАС России признала оператора электронной аукционной площадки, и компанию обязали выплатить штраф за допущенное нарушение. Протестуя против блокировки счетов Wikileaks, хакерская группировка Anonymous осуществила DDoS-атаки на платежные системы Visa, MasterCard и PayPal, что привело к временному нарушению в обработке электронных платежей клиентов этих компаний. В марте 2014 г. массовая DDoS-атака была предпринята на провайдера Альфа-банка, в результате чего был затруднен доступ к сайту банка и ряду его интернет-сервисов, вне доступа оказалась и часть банкоматов.
Помимо вывода из строя сетевой инфраструктуры и сервисов, DDoS-атаки зачастую применяются для маскировки целевых направленных атак (Advanced Persistent Threat, APT). Например, в случае с акционерной компанией побудительным мотивом может стать намерение дешево купить акции, вызвав падение их биржевого курса. Для этого бывает достаточно дискредитировать жертву, выведя из строя ее публичный Web-сервер. Имеет место и "политизация" кибератак. Их целями становятся сайты информационных агенств, различных правительственных ведомств и пр. В частности, согласно открытым источникам, DDoS-атака предпринималась на сайт крымского референдума.
Типы защиты от DDoS-атак
DDoS-атаки подразделяются на два типа. Во-первых, атаки на сетевой уровень (например, DNS-и NTP-amplification), которые характеризуются большим объемом входящего и исходящего трафика. Во-вторых, атаки на прикладной уровень (например, атака на банковский сервис выдачи кредитов) с высоким уровнем подготовки злоумышленника и "заточкой" средств атаки под целевой ресурс. При этом нередко эти виды DDoS комбинируются для усложнения обнаружения элементов ботнета, повышается и емкость атак. Например, в прошлом году максимальная емкость DDoS-атаки в Интернете составляла около 300 Гбит/с, в этом году она возросла уже до 400 Гбит/с. Растет и число используемых в ботнетах бот-машин, вместо 150 тыс. в прошлом году в 2014 г. было зафиксировано уже 250 тыс. машин. Кроме того, современные DDoS-атаки характеризуются высоким уровнем контроля процесса, а также анализом результативности и изменением стратегии атаки в зависимости от используемых средств защиты.
Увеличение количества DDоS-атак и их уровня говорит о важности информационной защиты, о которой, к сожалению, многие задумываются уже после совершения действий злоумышленников. А в отдельных случаях – и после серии атак, рассчитывая на то, что "в одну реку дважды не входят".
Варианты защиты
Комплексная система противостояния DDoS-атакам для Enterprise-сегмента должна состоять из защиты как на стороне интернет-провайдера, так и на стороне самой компании. Со стороны компании противостоять DDoS-атаке можно либо путем установки аппаратных средств AntiDDoS (они хорошо справляются с задачей, но только в том случае, когда объем трафика атаки не превышает пропускную способность канала и производительность самих устройств), либо обращаясь за помощью к сторонним специализирующимся на очистке трафика организациям.
Услуги последних заключаются в анализе трафика с телекоммуникационного оборудования заказчика и очистке его от паразитных DDoS-пакетов с использованием специализированных платформ. Также могут применяться системы предотвращения вторжений (Intrusion Prevention System, IPS) с функциями автоматической защиты. В отличие от классических систем они полагаются не только на статические сигнатуры, а также в реальном времени используют метод поведенческого анализа и генерирующие сигнатуры. Благодаря этому удается предотвращать атаки, основанные не только на известных уязвимостях приложений.
Подобная распределенная фильтрация трафика позволяет выдержать DDoS-атаки практически любой мощности, в том числе и те, что направлены на исчерпание полосы пропускания.
Универсальный подход
Не стоит забывать и про другие виды атак. Помимо DDoS, возможны атаки, направленные на конкретную компанию, ее сотрудника, приложение и т.п. с целью получения необходимых конфиденциальных сведений, ключей доступа к критически важным ресурсам и модификацию хранимой в базах данных информации. Обычно для защиты по нескольким фронтам используется либо интеграция нескольких продуктов, либо UTM-устройства (Unified Threat Management или Next Generation Firewall).
Преимущество UTM-устройств заключается в том, что они реализуют сразу несколько методов сетевой защиты в комплексе, в том числе блокировку потенциально опасных сайтов. Последний метод позволяет предотвращать атаки, осуществляемые посредством социальной инженерии, когда корпоративного пользователя заманивают на Web-ресурс с вредоносным кодом путем отправки ему, например, анимированной открытки, на которую нужно нажать, или с помощью всплывающего баннера. Для обнаружения подобных действий используются разнообразные технологии, включая сигнатуры и эвристику. За обнаружением следует блокировка злоумышленника, чаще всего с уведомлением администратора об имевшем место инциденте.
Например, UTM-устройства Check Point позволяют решить сразу несколько проблем ИБ: обеспечение защиты от спама, URL-фильтрацию, межсетевое экранирование, предотвращение вторжений и направленных DoS-атак. Последние могут представлять собой неправильно сформированные пакеты, с помощью которых из строя выводится какая-то служба с уязвимостью. Подобная уязвимость RDP-службы, в частности, была обнаружена в 2012 г. у большинства серверных продуктов Microsoft. С помощью UTM-устройств ее можно "закрыть" еще до выпуска вендором официального патча.
Чтобы выстроить более широкий фронт защиты, дополнительно к UTM-устройствам можно использовать также Anti-DDoS-решения Check Point (максимальная производительность устройств DDoS Protector составляет 12 Гбит/с).
Кто под угрозой?
Основными заказчиками решений и услуг защиты от интернет-атак являются государственные организации, банки и операторы связи, так как законодательство обязывает их защищать Web-сервисы и критичные ресурсы. Однако под угрозой может оказаться кто угодно, в том числе и интернет-ритейлеры, страховые компании, промышленные и производственные предприятия и пр.
Например, в проекте КРОК для крупной ритейлерской сети упор был сделан на защиту интернет-магазина от DDoS-атак на основе сервисного подхода. Выход из строя подобных ресурсов может привести к приличным финансовым потерям для заказчика (в случае простоя сервиса – от нескольких часов и более).
В настоящее время мы работаем над проектом для крупной нефтегазовой компании, где внедряется порядка 50 UTM-устройств, которыми можно будет управлять из единой консоли с поддержкой отечественных сертифицированных средств шифрования.
В третьем случае для транспортной компании, которая занимается пассажирскими перевозками, мы обеспечили защиту от DDoS-атаки интернет-сервиса по продаже билетов. Этот пример примечателен тем, что сайт заказчика с этим сервисом располагается в публичном облаке КРОК и Anti-DDoS-решение он получает как дополнительную услугу, которую может включить/выключить или изменить уровень сервиса в считанные минуты.
Что важно в построении защиты
Очень важно перед началом проектирования защиты от той или иной интернет-угрозы провести аналитическое обследование инфраструктуры и сервисов организации на предмет выявления слабых мест. В противном случае внедренного решения может оказаться недостаточно, и ресурсы компании останутся в неполной мере защищены.
И наконец, перед запуском решения в эксплуатацию важно провести его нагрузочное тестирование, чтобы определить время реакции на начало атаки, производительность сервисов в условиях работы решения, предельную емкость выдерживаемой атаки и пр.
Опубликовано:
Журнал "Information Security/ Информационная безопасность" #3, 2014
