Чем дальше в лес, тем толще вирусы Сегодня заказать DDoS-атаку на неприятный сайт может позволить себе практически любой желающий. Олег Глебов, специалист департамента маркетинга компании «Информзащита», приводит следующие цифры: стоимость атаки мощностью 20–25 Гбит/с сегодня составляет максимум $250 в сутки. Юлия Майорова, руководитель дирекции развития бизнеса Orange Business Services, называет еще меньшую сумму — $70–90 в сутки.
Олег Шабуров, старший системный инженер Symantec в России и СНГ, добавляет, что даже простым пользователям сети, не имеющим специального компьютерного образования, стали доступны наборы эксплойтов — компьютерных программ для облегчения запуска широкомасштабных атак. «Число веб-атак, которые ежедневно фиксировались в 2010 году, возросло на 93% по сравнению с 2009 годом, — сообщает господин Шабуров. — При этом две трети угроз были созданы с помощью готовых наборов инструментов».
Немалый вклад в развитие DDoS-атак вносят бот-сети, число которых растет во многом за счет российских злоумышленников. По словам господина Шабурова, не так давно закрытый ботнет Rustock достиг численности более 1 млн подконтрольных компьютеров-ботов. Сеть из 10 тыс. ботов предлагается на черном рынке за символическую сумму $15.
Юрий Наместников, ведущий антивирусный эксперт «Лаборатории Касперского», связывает уменьшение цены DDoS-атаки в первую очередь с ужесточением конкуренции на киберпреступном рынке. В борьбе за клиента киберпреступникам приходится снижать цены на свои услуги.
Цифровой холестерин В 2009 году была совершена атак на сайт интернет-платежей Assist, партнером которого в то время была компания «Аэрофлот». Недельный простой сайта стоил компании потери контракта с «Аэрофлотом» и серьезно подорвал репутацию платежной системы. Нередко DDoS-атаки являются средством нечестной конкурентной борьбы. Так, в 2010 году на крупнейший сайт сообщества
яхтсменов России планомерно проводились акции, совпадающие с проведением регат. На рынок регатного спорта в то время выходило много новых организаций, которые вели себя довольно агрессивно с коммерческой точки зрения.
За прошедший год участились случаи использования DDoS-атак на сайты, которые оплачивают услуги рекламных агентств, увеличивающих посещаемость других интернет-ресурсов. В такой схеме работы владелец сайта оплачивает каждое уникальное посещение по ссылке, созданной и раскручиваемой нанятым агентством. Тем самым оплачивается посещаемость ресурса. Успешно проведенная DDoS-атака позволяет подделать переход по ссылке, тем самым накручивая статистику. При этом для реального посетителя, который обратится к сайту, он будет вне доступа. Владелец сайта, с одной стороны, теряет посетителей на время атаки, с другой, еще вынужден оплатить все поддельные посещения.
Опасная зависимость Чем больше информационные технологии и интернет входят в нашу жизнь, тем более зависимыми от них становятся бизнес-процессы. Антон Разумов, руководитель группы консультантов по безопасности компании Check Point, рассказывает, что 10–15 лет назад в рамках конкурентной борьбы было модно срывать отправку банками информации в межрегиональный центр информатизации при ЦБ РФ. Это могло привести к очень серьезным последствиям вплоть до отзыва лицензии, но для остальных компаний такого рода атаки не имели особого смысла. Сейчас же ситуация существенно изменилась. «Как вы думаете, во сколько обходится день простоя интернет-магазина или недоступность сайта по продаже билетов? Как минимум это упущенная прибыль за соответствующий период времени», — рассуждает господин Разумов.
Евгений Царев, заместитель директора департамента продуктов и услуг компании LETA, считает, что пять-десять лет назад рынок киберпреступности еще только формировался и нередки были случаи атак из любопытства или «обиды» на бывшего работодателя. Сейчас киберпреступность — это настоящая отрасль, и люди туда идут с целью заработка. По этой причине подавляющее число кибератак приходится на финансовый сектор.
Защита Лужина В некотором роде решением для защиты от подобного рода угроз эксперты считают популярные сегодня «облака»: они позволяют использовать ресурсы, сравнимые с распределенными мощностями атакующих, но и их может не хватить. Хотя в этом случае можно просто наращивать ресурсы. «Так же, как перед новогодними праздниками поступают интернет-магазины, просто запуская дополнительные сервера, можно поступать и при повышении нагрузки в моменты DDoS-атак, в том числе автоматически. Это удобно своей простотой и оперативностью, но может оказаться довольно дорогостоящим решением», — заключает господин Разумов.
Также эксперт предупреждает о том, что если компания решила защищать свои ресурсы с помощью специализированных устройств, нужно помнить: они не способны защитить от перегрузки канала, поскольку устанавливаются на сайте клиента. Даже если в компании гигабитное подключение к интернету, то ботнет из 1 тыс. машин с подключением в 10 Мбит/с (что сейчас далеко не редкость для домашних пользователей) с легкостью забьет канал и сделает сервис недоступным для легитимных пользователей. Хотя этот вариант защиты наиболее простой во внедрении и относительно недорогой.
Юрий Наместников считает наиболее эффективным на сегодня способом борьбы с этой угрозой распределенные системы фильтрации трафика. Чаще всего это программно-аппаратный комплекс, который поддерживается в актуальном состоянии рядом специалистов различного профиля: от системных администраторов до вирусных аналитиков, изучающих поведение DDoS-ботов.
Олег Глебов рекомендует для защиты от внешнего воздействия позаботиться о специализированных средствах очистки трафика или договориться с провайдером, который замкнет замусоренный трафик на собственные системы очистки или перенаправит их на арендованные у другой фирмы. Услуга такой удаленной защиты от DDoS, когда трафик идет через дата-центр внешней компании, специализирующейся на его очистке, стоит для средней пропускной возможности сети не более 700–1000 руб. за месяц аренды. На рынке также имеются аппаратные средства защиты от DDoS, которые представляют собой высокоспециализированные решения с пропускными способностями до 25–40 Гбит/с на устройство. Объединение таких продуктов в «ферму очистки» позволяет строить масштабируемые решения для каналов уровня глобальных ЦОД, крупных провайдеров и магистралей.
Существует также такая угроза, как внутренний DDoS. В этом случае внутренние компьютеры сети, подвергшиеся заражению, начинают забивать канал или серверные мощности других компьютеров компании. Внешние центры очистки у провайдера или устройства на границе периметра не смогут перехватить такой трафик. «В проведении такой атаки зачастую немаловажным является человеческий фактор, — предупреждает господин Глебов. — Если компания максимально защищена от проникновения извне, то злоумышленники будут стараться получить доступ в сеть организации уже не техническими методами, а при помощи социальной инженерии». В таком случае в качестве носителей вредоносного кода могут быть использованы PDF-документы или зараженные письма. Во избежание проблем внутри корпоративной сети организации нужно иметь систему очистки трафика на ядре сети, при этом сама сеть должна быть жестко разграничена на общие и критичные ресурсы.
В целом, утверждает Олег Шабуров, средства защиты не только успевают за киберпреступниками, но и работают на опережение. Пример тому — «облачные» репутационные технологии. Например комплекс Norton Insight Network, который анализирует анонимные данные о распространении программ более чем на 175 млн компьютеров клиентов и автоматически присваивает высокоточные рейтинги безопасности более чем
2,5 млрд уникальных файлов. В базе данных содержатся рейтинги практически всех существующих вредоносных и безопасных файлов.
Траты неизбежны Бизнес все больше уходит в интернет, поэтому угрозы информационной безопасности постоянно растут. «На данный момент я бы посоветовал тратить любой компании с активным бизнесом в онлайне от 30 до 50% IT-бюджета на построение и поддержку серьезной системы ИБ. В среднем же сейчас на такую систему компании тратят не более 10%», рассказывает Александр Трошин, технический директор «Манго Телеком». Евгений Царев говорит, что сегодня доля расходов на информационную безопасность в общей смете расходов на IT не должна быть ниже 10–15%. А для телекоммуникационных и финансовых систем — не ниже 20%. «Что касается критичных систем, то доля ИБ должна быть выше, вплоть до 50% общих расходов», — заключает эксперт.
По мнению Олега Глебова, расходы на сдерживание DDoS-атак могут распределяться неравномерно. Можно заниматься постоянным наращиванием мощностей, расширением каналов или анализом и противодействием атак с помощью классических мер (блокировка). Даже в рамках небольших бюджетов на рынке ИБ есть возможность использовать как самые простые аппаратные решения, так и «облачные» средства защиты от DDoS (DDoS protection-as-a-Service). В ряде случаев компания не всегда готова перенаправлять собственный трафик за пределы своей сети, особенно если он содержит коммерческую информацию или персональные данные пользователей. В таких случаях необходимо организовывать комплексные системы защиты как от внешних, так и от внутренних DDoS-атак. Но тогда, как уже говорили эксперты, главной проблемой будет пропускная способность интернет-каналов «последней мили».
При этом Юрий Наместников предупреждает, что сложность атак будет расти, что повлечет увеличение затрат на обеспечение безопасности. «Эту проблему необходимо решать на высоком уровне и в законодательном порядке пресекать деятельность компаний, которые предлагают услуги по кибератакам», — уверен генеральный директор электронной площадки B2B-Center Алексей Дегтярев. Того же мнения придерживается Евгений Царев: «Борьба с киберпреступностью малоэффективна без жесткого законодательства и правоприменения». n