Пиковые 350 Гб всего за несколько секунд
Здравствуйте!
В этом году исследователи Imperva описали стратегию ДДоС-атак, которую назвали Pulse Wave. Хотя мы регистрировали такие атаки в нашей сети ещё в 2015 году, это повод поговорить о них и сейчас. Pulse Wave состоит из серии коротких и мощных импульсов, способных полностью парализовать сеть. В отличие от традиционной атаки у неё отсутствует период наблюдения. Через несколько секунд она достигает пиковой мощности и так же быстро сходит на нет, чтобы повториться через десять минут.
Почему ваша защита не спасает от ДДоС-атак
ДДоС-атаки становятся изощреннее, и одной системы предотвращения вторжений (Intrusion Prevention System — IPS) вместе с файрволом уже не хватает для защиты от всего. Во время распределённой атаки, которую конкуренты могут заказать за пятьдесят долларов, вы столкнётесь с проблемами.
Файрвол и IPS не спасают от ДДоС
Межсетевые экраны действуют как политики для предотвращения несанкционированного доступа к данным и услугам. Файрвол должен контролировать все порты и IP-адреса, чтобы понимать контекст атаки.

IPS отслеживает весь трафик и смотрит на содержимое каждого пакета, чтобы вовремя отреагировать на вторжение. Она хорошо блокирует точечные попытки взлома, например, кражу данных. Если атака ёмкостная, то IPS не поможет.

Помимо того, что IPS не очень эффективна против распределённых атак, её можно обмануть, подсунув якобы зашифрованный трафик. Хакеры вставляют в заголовок https вместо http, и решение пропускает этот пакет, потому что доступа к ключам у него нет. В итоге трафик никак не анализируется.

Файрвол и IPS важны для безопасности: они хорошо справляются с задачами, которые не включают в себя блокировку ДДоС-атак. Если эти решения поставить на первую линию, их завалит лавиной мусорного трафика с разных IP.

Обычно атака усиливается с помощью UDP-амплификации: на уязвимый сервер посылается короткий запрос, и он присылает гораздо больший ответ на IP жертвы. Пока файрвол и IPS обрабатывают этот трафик, запросы от пользователей не проходят. С этим справится только решение от провайдера, потому что он обладает большей ёмкостью каналов.
Что произойдёт после нейтрализации IPS и файрвола
ДДоС часто используют как отвлекающий манёвр для атаки на приложения, атаки нулевого дня и другого хакинга. После того как IPS-решение будет анализировать бесполезный трафик, а сотрудники — заниматься логами, вы останетесь один на один с криптолокерами WannaCry и Petyа.
Шантаж
Ransomware, которые вышли на первый план в 2016–2017 годах, становятся умнее и опаснее. Обычно они распространяются через спам-рассылки или заражённые сайты, но последняя версия вируса WannaCry использует уязвимость в транспортном протоколе Windows. С его помощью он получает удалённый доступ к компьютеру и устанавливается без участия пользователя. Потом распространяется по локальной или корпоративной сети, если компьютеры не обновлены до патча с исправлением уязвимости.
Конкурентная борьба
СМИ редко упоминают ДДоС-атаки, поэтому многие компании о них даже не задумываются. Но ущерб от действий хакеров вполне реален. Большинство организаций, особенно в финансовой сфере, решают проблемы с ДДоС-атаками молча и без прессы. Им не хочется раскрывать убытки, рисковать репутацией и оправдываться перед клиентами. ДДоС стал частью конкурентной борьбы — сервисы для заказа атаки легко найти в Гугле.
Выход: эшелонированная защита
Чтобы справиться с ДДоС, нужно фильтровать трафик до того, как он попадёт на IPS-решение. Для доступа по TLS/SSL-протоколу к зашифрованному трафику нужен доступ к ключам. Если отдать защиту на аутсорс, придётся раскрывать конфиденциальные данные. Чтобы обезопасить себя и не передавать данные, достаточно установить эшелонированную защиту.

Эшелонированная защита — это разделение трафика между несколькими решениями. Сначала flow-based решение нейтрализует угрозы, которые легко выявить, и отсекает лишний трафик. Inline-решения точечно детектируют и чистят трафик. Такие решения называются all-in-box и устанавливаются в серверной у клиента.
Эшелонированная защита
У комплексных решений есть доступ к ключам клиента, потому что они устанавливаются у него. По умолчанию решение автоматически подстраивается под трафик клиента и выставляет пороги. Вы можете настраивать защиту вручную в сложных случаях.

Разделение трафика и точная настройка порогов помогает отсечь до 95% мусорного трафика. Например, в ходе восьмичасовой атаки на банк решение Orange уменьшило количество мусорного трафика в пять раз, а после перенастройки порогов — ещё в четыре раза.
Центр кибербезопасности для детектирования трафика
Новые ДДоС-атаки Pulse Wave наращивают мощность за секунды. Это слишком быстро для обычных решений. Чтобы реагировать на атаки с такой скоростью, нужны превентивная защита и штат специалистов, круглосуточно следящих за сетью. Отдельные решения не помогут — нужен центр кибербезопасности (Security Operation Center).

Создавать свои центры безопасности не рентабельно. Штат высококлассных специалистов должен заниматься аналитикой, проводить пен-тесты и детектировать трафик. Многим компаниям такой отдел просто не нужен.

Провайдеры и компании, специализирующиеся на защите, создают свои центры кибербезопасности. Они состоят из людей, платформы и алгоритмов для анализа. Получается такой центр реагирования на инциденты для компаний на аутсорсе.

Перед атакой хакерам нужна подготовка. Постоянный анализ трафика помогает определить, какие действия нормальные, а какие — подозрительные. Специалисты центра узнают, когда хост надо тщательно проанализировать, или вовремя обнаружат, что он уже заражён.

SOC собирает информацию с различных устройств компании, анализирует её, реагирует на атаки, если они возникают. Сотрудники центра круглосуточно следят за трафиком и успешно справляются даже со стремительными атаками, такими как Pulse Wave. Кроме того, они всегда на связи и помогают с любыми вопросами по защите сети.
Преимущества центра кибербезопасности
  1. Быстро обнаруживает угрозы.
  2. Отбивает атаки любой мощности.
  3. Даёт меньше ложноположительных результатов.
  4. Автоматически фильтрует трафик и корректирует пороги.
  5. Круглосуточно дежурит специалист, который подключается в сложных ситуациях.
Вывод
IPS и файрвол хороши для точечных решений, но для защиты от ДДоС перед ними должна быть ещё одна линия обороны, которая будет фильтровать трафик. Если безопасность — не ваш бизнес, передайте её на аутсорс в центр безопасности, где вас будут защищать алгоритмы и отдельный сотрудник.

Безопасность — дело нервное. Берегите нервы и задавайте нам вопросы.