DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

Количество DDoS-атак на российские компании и государственные учреждения увеличивается каждый год. Атаки становятся мощнее и продолжительнее. Любая организация рискует оказаться под ударом злоумышленников. Технический руководитель F6 Threat Intelligence Елена Шамшина в блиц-интервью для блога ГК Softline рассказала, какие типы атак наиболее популярны, как подготовиться к внедрению инструментов DDoS-защиты и оценить их эффективность.

Есть ли региональная специфика DDoS-атак? Какие отрасли чаще остальных подвергаются атакам?

По данным наших экспертов, в 2024 году число DDoS-атак в целом увеличилось минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

В силу геополитической ситуации F6 фиксирует рост количества атак на региональных телеком-операторов. От киберпреступлений особенно страдают приграничные области — Курская и Белгородская. Лидер по совершенным атакам — группировка IT Army of Ukraine. Она активизировалась еще в феврале 2022-го и с тех пор не сбавляет обороты.

Кроме телеком-операторов также нередки атаки на финансовый сектор, ритейл, медиа, авиакомпании, информационные технологии и другие отрасли. Они проводятся, чтобы привлечь к инцидентам внимание населения нашей страны и вызвать наибольший резонанс.

Соответственно, если организация желает пережить атаки с наименьшими потерями и простоями для своего бизнеса, рекомендуем превентивно начать использовать специализированные решения для защиты от DDoS-атак. Стоит упомянуть, что данные из F6 Threat Intelligence содержат фиды, такие как прокси, используемые в DDos-атаках, которые также помогают блокировать атаки на ранних этапах, минимизируя риски.

Отличаются ли типы DDoS-атак, которые злоумышленники направляют на крупные корпорации, малый и средний бизнес, госсектор?

Опять же, в силу геополитической специфики, и малый, и средний бизнесы, и государственный сектор атакуют одни и те же хакеры. Соответственно, они используют все доступные инструменты, поэтому типы атак на различные сектора и виды бизнеса схожи. В целом сейчас злоумышленники проводят атаки на уровни L3-L7 модели OSI. По нашим данным, наиболее часто хакеры задействуют следующие виды DDoS-атак:

• UDP Flood;
• TCP Flood;
• HTTP Stress;
• DNS Reflection;
• SSDPD Amplification.

Как развитие искусственного интеллекта влияет на подходы к защите от DDoS-атак?

Некоторые решения, действительно, используют алгоритмы, связанные с искусственным интеллектом, и нейронные сети для борьбы с DDoS-атаками. Это предполагает анализ трафика и выявление аномалий с помощью искусственного интеллекта. Такой метод позволяет адаптивно реагировать на угрозы в режиме реального времени. Для обучения нейронной сети рекомендуется использовать лог работы системы с реальными пользователями, который наиболее объективно описывает штатную работу с легитимными пользователями. На нем получится эффективно обучить нейронную сеть и научить ее выявлять аномалии.

Как компании подготовиться к внедрению инструментов для DDoS-защиты? Какие работы необходимо провести в первую очередь, на что обратить внимание?

Нужно провести анализ собственных потребностей: какие активы критично важны, а какие наименее, насколько будет заметен их простой. Стоит продумать, возможно, обсудить с поставщиком варианты интеграции защитного решения, например, во внутреннюю или внешнюю сеть, чтобы трафик постоянно проходил через вендора или же только во время атаки, а также другие технические аспекты. Разумеется, будет полезным провести экономическую оценку и понять, какой бюджет вы готовы выделить на защитные решения.

Как оценить эффективность внедренных мер по защите от DDoS-атак? Какие метрики и KPI следует использовать?

Главная метрика успешности защиты от DDos-атак — это SLA (доступность информационных ресурсов/серверов), при «хорошем» раскладе она должна быть близка к 95-99%. Немаловажными параметрами является скорость обнаружения атаки и минимальное воздействие на легитимный трафик обычных пользователей.