Число DDoS-атак возросло на 16% с начала 2018 года, достигнув рекордно высоких объемов (1,35 Тбит/с) и характеризуясь адаптивными механизмами и новыми векторами атак.
Компания Akamai, провайдер платформ доставки контента и приложений, недавно опубликовала свой отчет The Summer 2018 State of the Internet / Security: Web Attack. Эти отчеты публикуются дважды в год и содержат информацию об отражении всех атак на свою инфраструктуру (свыше 7000 за последние 6 месяцев). Основная цель этих отчетов – проинформировать пользователей о последних изменениях в атаках, чтобы помочь улучшить защиту.
Одним из основных ключевых моментов в отчете является то, что проблема с DDoS-атаками заключается не только в их размере. Многие думают о DDoS-атаках только как об одном типе вектора атак – волюметрическом. Именно такие атаки чаще привлекают внимание, потому что они чаще встречаются в заголовках в СМИ. Как ни странно, именно эти атаки легче идентифицировать и справиться с ними сегодня. Поскольку при обнаружении такой атаки трафик перенаправляется в облачный или локальный центр очистки, для защиты требуется всего несколько минут.
Атаки становятся более сложно организованными: представьте себе 45-минутную, мощную SYN flood-атаку на конкретный IP-адрес. Как только атака была обнаружена и начался процесс митигации, атакующий может изменить вектор и значительно снизить объем трафика. Многие платформы безопасности такие действия обманут, так как это будет выглядеть как обычный объем трафика.
Таким образом, с одной стороны, вам нужно суметь защититься от крупных атак. Встроенные устройства митигации будут неэффективными в случае волюметрических атак, размер которых превышает общую полосу пропускания вашего канала. Если в вашей компании несколько Интернет-каналов, или вы работаете на провайдера Интернет-услуг, то использование таких устройств нецелесообразно. Постоянное перенаправление трафика в облачную услугу защиты от DDoS-атак компенсирует это ограничение, но цена, вероятно, будет высока. С другой стороны, адаптивные и эволюционирующие DDoS-атаки могут обмануть некоторые устройства из числа перечисленных выше.
Что могут сделать организации для защиты себя? Делайте как хакеры – эволюционируйте и адаптируйтесь.
- Пересмотрите свой план реагирования на DDoS-атаки. Экономически эффективный и масштабируемый метод обнаружения DDoS-атак заключается в использовании трафика NetFlow, захваченного с существующих устройств, для анализа шаблонов трафика и обнаружения атак извне.
- Убедитесь, что ваше решение безопасности способно идентифицировать изменения атаки и адаптировать механизм обнаружения. Это обеспечит непрерывную защиту, даже если порог атаки упадет до уровня «обычного корпоративного» трафика.
- Рассмотрите более продуманные стратегии митигации. Наиболее эффективным и экономичным способом борьбы с DDoS-атаками является поэтапное комбинирование методов митигации. Например, перенаправьте первую фазу атаки на локальное устройство митигации, переадресуйте дальнейшие стадии в облачное решение защиты от DDoS-атак, что позволит снизить стоимость защиты, а затем воспользуйтесь BGP Flowspec, чтобы ваши маршрутизаторы смогли сбросить трафик на последней стадии атаки.
DDOS-атаки были, есть и будут. Они станут более сложными, так как создается больше векторов для раскрытия уязвимостей. Компаниям нужно быть такими же искусными, как и атакующим. Как выглядит ваш план реагирования на DDoS-атаки? Хотелось бы послушать ваши комментарии.
P.S. Если вы хотите узнать больше, из этого вебинара вы узнаете некоторые практические рекомендации об адаптивных DDoS-атаках.