В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности
Алексей Лукацкий — менеджер по формированию бизнеса Cisco Systems
В конце прошлого года прошла череда распределенных атак «отказ в обслуживании» (Distributed Denial of Service, DDoS) на последовательность русских банков. К примеру, атаки на « Объединенные совокупности моментальных платежей» (ОСМП), Assist, ChronoPay, ЦФТ, Factura.ru, «Северная казна» и т.п.
В кризисное время и обострившейся конкуренции это был хорошей способ выведения из строя соперничающих кредитных организаций. Не смотря на то, что первые DDoS-атаки на финучреждения фиксировались в Российской Федерации и не только и раньше.Многие банки стали задумываться о методах защиты и стали смотреть в сторону совокупностей обнаружения атак (intrusion detection system, IDS) и специальных ответов по подавлению DDoS-атак.
К нам в Cisco систематично обращаются и за теми ответами и за теми, и исходя из этого я решил мало развеять сложившиеся заблуждения относительно возможности банков (да и не только) самостоятельно бороться с данной проблемой.Итак, обратимся к статистике. По данным регулярного отчета компании Arbor Networks «Worldwide ISP Security Report» не меньше 85% операторов связи второго уровня и контент-провайдеров фиксируют атаки производительностью в основном 500 Мбит/сек — 1 Гбит/сек.
А сейчас ответьте себе на вопрос — в состоянии ли вы совладать с таким потоком трафика? Какова пропускная свойство вашего Интернет-канала? С уверенностью могу заявить, что атака, направленная против вас, забьет ваш канал и вы утратите сообщение с вашими клиентами (как и они утратят доступ к вашим Интернет-сервисам и ресурсам, к примеру, Интернет-банкингу).
Также касается и резервного канала связи.Иными словами, «может быть» тут не пройдет а также случайная атака, которая может задеть вас самым краем, нарушит доступность ваших сервисов. Первое, что приходит на ум, — установить на своем периметре хорошую совокупность обнаружения атак.
Но она тут не окажет помощь, т.к. выстроена по принципу поиска в обычном трафике сигнатур атак. Но простая DDoS-атака не определяется сигнатурами. DDoS-атака — это легко громадный количество в полной мере легитимного трафика, для которого сложно написать сигнатуры — необходимы совсем иные способы, которыми владеют специальные совокупности подавления DDoS-нападений.Такие совокупности представлены на русском рынке и многие банки вспоминают об их покупке, считая, что установив их на собственный периметр, они защитят собственные ресурсы от нарушения доступности.
Увы, это заблуждение. В отличие от простых вторжений, DDoS-атаки забивают целый канал от оператора связи до сети банка. И какой суть не разрешить войти атаку вовнутрь банковской сети, в случае если подступы к ней все равно будут забиты тщетным трафиком?
Преступники все равно собственной цели достигли.Исходя из этого единственный действенный вариант отражения DDoS-атак — обратиться к оператору связи, что кроме одолжений доступа в Интернет, предложит еще и защиту от распределенных атак «отказ в обслуживании». Лишь защита на стороне оператора связи может защитить банка от разглядываемого вида угроз.
Как промежуточный вариант — на Интернет-периметре банка возможно установлен детектор атак, но их подавление в любом случае должно быть организовано лишь оператором связи.
DDoS атака Как защититься с Cloudflare + Обходы CF
