Сегодня к потерям от хакерских атак относят не только деньги, но и репутационные издержки сервисов: частных и государственных. Но, как известно, худа без добра не бывает. Рынок кибербезопасности тоже не стоит на месте.
Считается, что первая DDoS-атака произошла 22 июля 1999 года. В тот день компьютер университета в Миннесоте внезапно подвергся атаке со стороны сети из 114 компьютеров, зараженных вредоносным скриптом Trin00, написанным молодым человеком из Нового Орлеана под ником phifli. Trinoo заражал компьютеры под управлением Linux, что позволяло сформировать бот-сеть из сотен машин, готовых по команде хозяина атаковать целевой сервер, используя для этого методику UDP-флудинга. Код заставил зараженные машины отправлять в огромных объемах пакеты данных в университет, университетский компьютер оказался не в состоянии обработать запросы. Атака выбила его из строя на два дня. Вредоносная практика распространилась быстро. За несколько последующих месяцев ее жертвами стали другие сайты, включая Yahoo, Amazon и CNN. Так началась эра DDoS. Зло пересекло океан.
Итак, DDoS-атаки сыпятся на бизнес еще с прошлого века. Они тормозят работу сервисов, снижают доверие пользователей и крадут персональные данные. Неужели никто до сих пор так и не придумал эффективный способ защиты?
«Защитится пользователям от DDos-атак невозможно, поскольку атака направлена на вывод оборудования системы из строя. Условный пример: есть две кассы в гипермаркете, которые обслуживают клиентов. Если одна касса становится необслуживаемой, то соответственно у второй появляется очередь. Покупателю придется потратить больше времени на ожидание. Это и есть аналог DDos-атаки в быту», – рассказал «Телеспутнику» эксперт по информационной безопасности Сергей Вакулин.
Он уточнил, что сама такая атака никак не затрагивает пользовательские данные.
«Закономерностей никаких нет – все зависит от мощности оборудования и силы хакеров, которые пытаются вывести из строя оборудование. Утечь данные могут при атаке, когда в систему внедряются вирусы, обнаруживаются уязвимости», - пояснил эксперт.
О средствах и стратегиях защиты «безопасники» говорят неохотно. Раскрыть секрет эффективной защиты – все равно что нарисовать мишень на лбу себе или своему клиенту.
По мнению специалистов, DDoS-атака – это всего лишь подготовительный этап истинно хакерской атаки, сопряженной с запуском вредоносных программ. Отвлечение, маскировка для последующего проникновения, на котором, собственно, и происходит утечка данных. Используемые сервисные системы настолько большие, что в них всегда найдутся уязвимости для какого-то уровня угроз – критические и некритические. Критические могут привести к полному выходу из строя сервиса или хищения данных, некритические – просто нарушают функциональность. Избавиться от всех некритических уязвимостей на практике невозможно или, что важнее, экономически неоправданно. Таким образом и абсолютного решения проблемы DDoS-атак не существует. Но существует возможность снизить чувствительность к таким атакам, сдвинув их в неактуальную по мощности область для каждого объекта, то есть сделать их экономически необоснованными.
«Защита от DDoS – комплексная мера, которая помогает компании защитить свои сервисы в случае атаки. Каждая компания разрабатывает и внедряет свою структуру защиты, детали которой, конечно же не раскрываются. В современном мире большинство датацентров уже имеют встроенные системы защиты от разного уровня DDoS-атак. К сожалению, эти меры не позволяют исключить влияние полностью, поэтому компаниям требуется дополнительная защита. Это и использование специализированных сервисов фильтрации траффика, и применение правильных архитектурных принципов при разработке своих продуктов, и регулярные учения собственной команды по отражению возможной атаки. Превентивная отработка различных векторов атак является ключевым элементом для готовности команды к реальной атаке», – рассказал технический директор TravelLine Алексей Герасимов.
Эксперт подчеркнул: в случае любого сбоя системы, вызван он атакой или внутренним отказом, алгоритм работы команды одинаковый и стандартный.
«Есть техническая команда, которая непосредственно занимается решением инцидента. А есть маркетологи, которые транслируют статус работы системы клиентам и «переводчики» с технического на человеческий, задача которых информировать другие службы компании об этапах исправления. Они позволяют технарям не отвлекаться от работ по восстановлению сервисов. При сбое основной фокус всегда делается на максимально быстром восстановлении работоспособности, после чего проводится анализ причин и, по возможности, вносятся изменения в конфигурацию систем для предотвращения сбоя в будущем», – пояснил Герасимов.
Наравне с бизнесом репутационные потери от DDoS-атак несут и государственные цифровые сервисы. В России более 130 млн пользователей интернета, это 90% всего населения страны, включая младенцев. Ежедневно в сеть с различными целями заходят более 95 млн человек.
Даже несмотря на сложную геополитическую ситуацию, Всемирный банк два года назад признал Россию одной из ведущих стран мира по качеству и доступности государственных информационных систем для населения и присвоил ей высший рейтинг А.
Отправить деньги на карту родным можно в два касания экрана на смартфоне. Так же быстро, как записаться онлайн на прием к врачу или устроить ребенка в школу. Большинству жителей сегодняшней Европы такие новшества, ставшие частью повседневной жизни среднестатистического россиянина, все еще недоступны. Только портал «Госуслуги» ежедневно обрабатывает запросы более 10 млн пользователей.
«Для защиты от DDoS-атак и других угроз информационной безопасности в Санкт-Петербурге на уровне города создан ведомственный центр государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы исполнительных органов власти. Для обеспечения безопасности государственных информационных систем постоянно ведется мониторинг активности. Основная задача – предупреждение атак, и только в случае их реальной угрозы предпринимаются превентивные меры, например увеличение пропускной способности каналов для предотвращения перегрузок. Важно понимать, что атакам из сети интернет могут подвергнуться только публичные сайты, государственные же информационные системы полностью находятся в закрытом защищенном сегменте, изолированном от интернета», – рассказали «Телеспутнику» в Комитете информатизации и связи Северной столицы.
У DDoS‑атак могут быть разные причины. Малый и средний бизнес чаще всего сталкивается с DDoS‑атаками на почве конкуренции. Стоимость подобных услуг в даркнете зависит от веса компании и ее отраслевой роли.
Госсектор, банки или крупные компании атакуют в том числе и по политическим мотивам, в результате конкуренции, а также для параллельного мошенничества и вымогательства (кража персональных данных пользователей). Как реагировать, когда происходят такие инциденты?
«В нынешней геополитической ситуации хакеры используют атаки для того, чтобы нарушить работу государственных сайтов, новостных порталов или других платформ, имеющих важное значение. Это не только затрудняет доступ пользователей к информации и услугам, но и может нанести значительный ущерб репутации и функционированию организаций, ставших целью атаки. Поэтому рекомендуется сразу давать актуальную информацию о случившемся, особенно если проблема длится более часа. Важно, чтобы пользователи были в курсе, что проблема с доступностью ресурса связана с DDoS-атакой, а не с внутренними сбоями. Размещение информации о проблеме и предпринимаемых мерах поможет понять, что делается для восстановления работы сайта, и что ситуация находится под контролем. Кроме того, необходимо сообщать о технических работах и ориентировочном времени восстановления», – считают в Комитете.
Чиновники заверили, что готовы к быстрому реагированию на DDoS-атаки, используя отечественные решения и средства защиты. Но им не удалось обнаружить каких-либо закономерностей, касающихся частоты компьютерных атак с привязкой к праздничным или выходным дням.
«Основная закономерность – это ежегодное увеличения количества различных атак. По статистике за 2024 год их количество увеличилось, кажется, на 30%. Конечно, атаки происходят чаще в часы или дни ожидаемого снижения внимательности людей: в праздники или ночью. Правильным подходом является построение команды, которая может обеспечивать мониторинг работы сервисов в режиме 24 на 7, включая выходные», – уточнил технический директор TravelLine Алексей Герасимов.
Ранее «Телеспутник» писал о том, что специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора только за одну неделю января текущего года отразили 181 DDoS-атаку на систему субъектов госуправления, финансового сектора, топливно-энергетического комплекса, СМИ и операторов связи, самая продолжительная кибератака длилась свыше 67 часов.
