Как эффективно защитить инфраструктуру компании от DDoS-атак?

DDoS-атаки уже давно стали фактором, который следует учитывать всем организациям, чья деятельность так или иначе зависит от доступности их цифровой инфраструктуры. Количество DDoS-атак и их мощность постоянно растут. Например, согласно годовому отчету Curator, мирового эксперта в сфере сетевой безопасности, в 2024 году было зафиксировано на 53% DDoS-атак, чем годом ранее.

Перед большинством компаний уже давно не стоит вопрос, нужно ли защищаться от сетевых атак — это стало необходимостью. Вопрос остается лишь в том, как это делать наиболее эффективно.

DDoS-атаки в 2024 году

Основные факты из отчета Curator «DDoS-атаки, боты и BGP-инциденты в 2024 году — статистика и тренды»:

• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом.
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда.
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня).
• Крупнейший ботнет года — 227 тысяч устройств (в 2023 году — 136 тысяч).
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%).
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%).
• Среднемесячная активность ботов выросла на 30%.

Типы инфраструктуры и их особенности с точки зрения сетевой безопасности

Одним из самых важных факторов при построении ИТ-защиты является сложность и разнообразие инфраструктуры организации. Современные компании, как правило, используют сочетание различных ее типов: веб-приложения в облаке; сетевые сервисы, размещенные как в облачной среде, так и в локальных центрах обработки данных; а также частные облачные решения.

Такое многообразие требует применения комбинации различных методов защиты, поскольку каждая часть инфраструктуры имеет свои специфические уязвимости и сталкивается с уникальными угрозами. Методы, применимые к одной части инфраструктуры, могут быть недостаточно эффективны или вовсе неактуальны для другой.

Основная задача, таким образом, заключается в создании единой, комплексной стратегии защиты от DDoS-атак, которая учитывает все компоненты инфраструктуры и обеспечивает надлежащую защиту для каждого из них. Рассмотрим, какие имеются варианты.

Защита веб-приложений в публичном облаке

В базовом сценарии у компании есть только веб-приложения и API для мобильных приложений в публичном облаке (IaaS или PaaS), и задача состоит в обеспечении их доступности и защиты от DDoS-атак.

Важно понимать, что ответственность за безопасность в такой конфигурации делится между владельцем приложений и облачным провайдером. Облако обеспечивает стабильность и доступность инфраструктуры (L3-L4), однако защитой на уровне веб-приложений (L7) должен заниматься сам владелец этих приложений.

В этом сценарии для защиты от сетевых угроз следует использовать следующие решения:

• Защита от DDoS-атак на уровне L7: современное решение должно обеспечивать масштабируемую и адаптивную фильтрации атак с минимальным влиянием на легитимных пользователей.
• Web Application Firewall (WAF): защита от целевых атак на уязвимости — важная часть безопасности веб-приложений.
• Защита от вредоносных ботов: предотвращение парсинга данных, попыток взлома учетных записей и других атак, связанных с ботами.

Использование такой комбинации решений обеспечивает не только защиту, но также повышение производительности и доступности веб-приложений, что особенно важно для бизнеса в условиях роста количества и сложности сетевых угроз.

Почему для защиты веб-приложений от L7 DDoS, плохих ботов и хакерских атак нужны разные решения?

Несмотря на поверхностное сходство, сетевые угрозы имеют очень разные характеристики и цели.

• DDoS: стремительные и масштабные атаки большим количеством мусорных запросов. Цель — как можно быстрее вывести атакуемый ресурс из строя.
• Боты: большой объем запросов, идущих равномерным потоком, а не всплеском. При этом запросы осмысленные и семантически верные. Цель — как можно дольше собирать данные, избегая вывода ресурса из строя.
• Хакеры: очень небольшое количество запросов, зачастую вовсе неотличимых от действий легитимных пользователей. Цель — найти и использовать слабые места в защите.

Поскольку цели, инструментарий и тактики атакующих кардинально отличаются, для эффективного обнаружения и противодействия этим угрозам нужны специализированные решения.

Защита веб-приложений и корпоративных L3-L4 сервисов в облаке

В более сложном сценарии помимо веб-приложений компания также размещает в облаке другие элементы инфраструктуры. Такими элементами могут быть DNS-сервер, корпоративные сервисы видеоконференцсвязи или телефонии, те или иные индивидуальные приложения, использующие протоколы TCP и UDP, корпоративный VPN и так далее.

В этом случае угрозы на уровне L7 также остаются актуальными для владельца инфраструктуры. Но также к ним добавляются угрозы на уровнях L3-L4, поскольку соответствующие корпоративные сервисы доступны публично.

В такой ситуации перед компанией встает выбор между двумя вариантами:

• Подключить услуги специализированного провайдера для защиты веб-приложений от L7 DDoS-атак, а также WAF и антибот-решения. При этом для защиты от атак на уровне L3-L4 полагаться на встроенные решения, которые предлагает облако.
• Доверить специализированному провайдеру защиту как L7, так и L3-L4.

Встроенная защита облака, как правило, обеспечивает лишь доставку трафика в сторону заказчика. При этом доступность размещенных в облаке приложений, работающих с TCP и UDP, не будет гарантирована SLA. Поэтому предпочтительно использовать услуги единого специализированного провайдера как для L7, так и для L3-L4.

Здесь следует учитывать, что для фильтрации TCP-трафика, как и для HTTP/HTTPS, работает подключение через обратный прокси. Однако для UDP-трафика такой вариант плохо подходит в силу природы протокола.

Поэтому при выборе L3-L4 защиты следует определиться со способом подключения:

• Подключение защиты через DNS (обратный прокси). Позволяет эффективно фильтровать TCP-трафик. Не требует создания выделенных каналов связи. Подходит для организаций, не имеющих собственной автономной системы.
• Подключение защиты через BGP. Обеспечивает фильтрацию всех протоколов, включая UDP. Подходит для организаций, у которых есть собственные префиксы и своя автономная система. Позволяет защитить всю инфраструктуру целиком с гарантиями доступности каждого приложения вне зависимости от мощности и типа DDoS-атаки.

Использование BGP-подключения позволяет внедрить в UDP-приложения механизмы аутентификации и вайтлистинг. Таким образом можно по умолчанию запретить UDP-трафик и принимать его только с тех адресов, с которых пользователи предварительно аутентифицировались через HTTP/HTTPS.

Может ли CDN защитить от DDoS?

Существует распространенное заблуждение, что для защиты от DDoS-атак можно использовать CDN. Поскольку сети доставки контента применяются для повышения производительности и

доступности веб-приложений, может возникнуть ложное впечатление, будто это и есть то, что нужно во время DDoS-атаки: «залить» атаку обширными распределенными ресурсами CDN.

На самом деле это не так. Во многих случаях атакующие могут добиться, чтобы CDN перенаправлял вредоносные запросы на целевой ресурс. Или даже могут использовать саму сеть доставки контента в качестве амплификатора DDoS-атаки.

Также следует помнить, что хотя общие ресурсы CDN действительно велики, они разделяются между огромным количеством узлов. При этом отдельные узлы часто обладают невысокой производительностью и шириной канала. Это дает возможность атакующим проводить точечные атаки, выводя из строя узлы, обслуживающие определенный регион, ключевой для атакуемого ресурса.

Поэтому не следует полагаться на CDN для противодействия сетевым атакам — необходимо использовать специализированное решение для DDoS-защиты.

Защита гибридной инфраструктуры, включающей собственный ЦОД или частное облако

Перейдем к наиболее сложному сценарию. Как и в прошлом случае, в инфраструктуре организации есть как веб-приложения, так и сервисы, работающие с протоколами TCP и UDP — DNS, телефония, видеоконференцсвязь, VPN, самостоятельно разработанные приложения и так далее. Однако в данном сценарии организация размещает элементы инфраструктуры как в облаке, так и в собственном центре обработки данных.

В этом случае, как правило, организация самостоятельно управляет всеми инфраструктурными элементами — как собственными, так и размещенными в облаке, включая роутеры и файрволы. При этом у такой организации обычно есть свои префиксы и автономная система. Таким образом создается отказоустойчивая архитектура с использованием собственного ЦОД и облака в качестве поставщика вычислительных и сетевых ресурсов.

Естественно, в такой конфигурации все риски, связанные с сетевыми атаками и обеспечением доступности, полностью лежат на самой организации.

Самое неудачное решение при использовании гибридной инфраструктуры — это одновременное использование двух независимых провайдеров защиты для облака и собственного ЦОД. Поскольку оба провайдера видят только часть трафика, возникает либо нескоординированность защиты, либо высокие издержки на координацию.

Оптимальный вариант для гибридной конфигурации — выбрать единого провайдера, который гарантирует всестороннюю защиту от любых сетевых угроз:

• Атаки на сетевом и транспортном уровнях: подключение через BGP и перемаршрутизация всего трафика через сеть фильтрации обеспечат эффективную очистку любого трафика, включая UDP.
• Атаки на уровне приложений: защита силами одного провайдера всей инфраструктуры — как на уровне L3-L4, так и на уровне L7, как в собственном ЦОД, так и в облаке, дает значительные преимущества, особенно в случае мощных многовекторных DDoS-атак.

При этом для диверсификации можно иметь резервного провайдера защиты, к которому трафик может будет переведен в случае необходимости.

В том случае, когда собственный ЦОД и облако обслуживают невзаимосвязанные приложения, допустимо одновременное использование двух разных провайдеров защиты. Например, если основная часть инфраструктуры работает в собственном ЦОД, а веб-ресурсы размещены в облаке, то защиту этих двух независимых частей инфраструктуры можно доверить разным поставщикам.

Симметричная и асимметричная защита от DDoS

Иногда у компаний может возникнуть соблазн сэкономить и использовать асимметричную защиту от DDoS — пропускать через сеть очистки только входящий трафик. Логика такая: поскольку источник DDoS-атаки находится снаружи, то непосредственную опасность для инфраструктуры организации представляет только входящий трафик. Таким образом, исходящий трафик можно вести в обход сети фильтрации, чтобы за него не платить.

Однако в такой конфигурации эффективность DDoS-защиты значительно снижается. В частности, защита может пропускать атаки некоторых типов (например, SYN-ACK reflection) поскольку их сложно обнаружить без наблюдения за исходящим трафиком. Также асимметричная защита вовсе не подходит для защиты от DDoS-атак на уровне приложений (L7).

Поэтому, хотя в некоторых специфических случаях асимметричная защита может быть оправдана, для большинства организаций правильным подходом будет использование симметричной защиты.

Поддержание устойчивости к DDoS-атакам

В условиях постоянного обновления и развития корпоративной инфраструктуры эффективная защита от DDoS-атак требует не только применения современных технологий, но и регулярного обслуживания, включающего несколько ключевых аспектов, о которых мы и поговорим ниже.

Проведение регулярных нагрузочных тестирований

С ростом и изменением инфраструктуры необходимо проводить регулярные нагрузочные тестирования, которые помогут оценить способность системы противостоять DDoS-атакам в реальных условиях.

Эти тесты позволяют выявлять потенциальные узкие места и уязвимости, которые могут возникнуть в результате обновлений или расширений инфраструктуры. Регулярное тестирование также способствует адаптации защитных мер к новым типам угроз и изменениям в архитектуре сети.

Сертификация и соответствие стандартам

Для обеспечения надлежащего уровня безопасности, инфраструктура и процессы защиты должны соответствовать общепризнанным стандартам и требованиям сертификации, таким как ISO/IEC 27001, PCI DSS и отраслевые нормативные требования.

Сертификация не только подтверждает соответствие высоким стандартам, но и способствует улучшению процессов управления рисками, повышая общую устойчивость к атакам.

Регулярное обучение персонала и повышение квалификации

Одним из важнейших аспектов в защите от DDoS-атак является человеческий фактор. Регулярное обучение персонала, тренинги по повышению квалификации, а также моделирование кризисных ситуаций и отработка сценариев реагирования на инциденты помогают командам быть готовыми к действиям в условиях реальной атаки.

Такие тренинги способствуют повышению осведомленности сотрудников о современных угрозах и лучших практиках защиты, что значительно снижает риск успешной атаки.

Заключение

Надежная стратегия защиты от DDoS-атак требует многостороннего подхода, объединяющего передовые технологии, непрерывный мониторинг и хорошо подготовленный персонал. Следующие ключевые аспекты являются необходимыми для обеспечения устойчивости к постоянно развивающимся угрозам:

• Всеобъемлющая защита — необходимое условие. Разнообразие современной корпоративной инфраструктуры — от веб-ресурсов в публичных облаках до специализированных приложений в локальных ЦОД — создает необходимость единой и скоординированной стратегии защиты от DDoS-атак.
• Многоуровневый подход к защите. Эффективная защита сети должна охватывать несколько уровней — от защиты от L3-L4 DDoS-атак до обеспечения безопасности на уровне приложений. Последний случай включает защиту от DDoS на уровне L7, WAF и защиту от ботов. В идеале эти решения должны функционировать как единая система.
• Непрерывный мониторинг и продвинутые алгоритмы обнаружения угроз. Постоянный анализ угроз, автоматизированная фильтрация и адаптивные механизмы реагирования являются ключевыми для эффективной защиты трафика с минимальным числом ложных срабатываний.
• Регулярное тестирование нагрузки и соблюдение стандартов. Для поддержания устойчивости к DDoS-атакам необходимо регулярно проводить нагрузочные тестирования инфраструктуры и обеспечивать соответствие стандартам безопасности.
• Обучение персонала и планирование реагирования на инциденты. Поскольку человеческий фактор остается критически важным, непрерывное обучение, проведение учений с имитацией атак и заранее разработанные протоколы реагирования на инциденты играют важную роль в снижении риска сбоев.

«Curator больше 15 лет стабильно работает на рынке защиты от DDoS-атак, сотрудничает с большим количеством крупных российских компаний, в том числе и государственных. Для нас Curator является надежным и ценным партнером».

Менеджер направления развития новых решений Департамента информационной безопасности Softline Надежда Макарова.