Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Как эффективно защитить инфраструктуру компании от DDoS-атак?

DDoS-атаки уже давно стали фактором, который следует учитывать всем организациям, чья деятельность так или иначе зависит от доступности их цифровой инфраструктуры. Количество DDoS-атак и их мощность постоянно растут. Например, согласно годовому отчету Curator, мирового эксперта в сфере сетевой безопасности, в 2024 году было зафиксировано на 53% DDoS-атак, чем годом ранее.

Перед большинством компаний уже давно не стоит вопрос, нужно ли защищаться от сетевых атак — это стало необходимостью. Вопрос остается лишь в том, как это делать наиболее эффективно.

DDoS-атаки в 2024 году

Основные факты из отчета Curator «DDoS-атаки, боты и BGP-инциденты в 2024 году — статистика и тренды»:

  • Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом.
  • Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда.
  • Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня).
  • Крупнейший ботнет года — 227 тысяч устройств (в 2023 году — 136 тысяч).
  • Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%).
  • 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%).
  • Среднемесячная активность ботов выросла на 30%.

Типы инфраструктуры и их особенности с точки зрения сетевой безопасности

Одним из самых важных факторов при построении ИТ-защиты является сложность и разнообразие инфраструктуры организации. Современные компании, как правило, используют сочетание различных ее типов: веб-приложения в облаке; сетевые сервисы, размещенные как в облачной среде, так и в локальных центрах обработки данных; а также частные облачные решения.

Такое многообразие требует применения комбинации различных методов защиты, поскольку каждая часть инфраструктуры имеет свои специфические уязвимости и сталкивается с уникальными угрозами. Методы, применимые к одной части инфраструктуры, могут быть недостаточно эффективны или вовсе неактуальны для другой.

Основная задача, таким образом, заключается в создании единой, комплексной стратегии защиты от DDoS-атак, которая учитывает все компоненты инфраструктуры и обеспечивает надлежащую защиту для каждого из них. Рассмотрим, какие имеются варианты.

Защита веб-приложений в публичном облаке

В базовом сценарии у компании есть только веб-приложения и API для мобильных приложений в публичном облаке (IaaS или PaaS), и задача состоит в обеспечении их доступности и защиты от DDoS-атак.

Важно понимать, что ответственность за безопасность в такой конфигурации делится между владельцем приложений и облачным провайдером. Облако обеспечивает стабильность и доступность инфраструктуры (L3-L4), однако защитой на уровне веб-приложений (L7) должен заниматься сам владелец этих приложений.

В этом сценарии для защиты от сетевых угроз следует использовать следующие решения:

  • Защита от DDoS-атак на уровне L7: современное решение должно обеспечивать масштабируемую и адаптивную фильтрации атак с минимальным влиянием на легитимных пользователей.
  • Web Application Firewall (WAF): защита от целевых атак на уязвимости — важная часть безопасности веб-приложений.
  • Защита от вредоносных ботов: предотвращение парсинга данных, попыток взлома учетных записей и других атак, связанных с ботами.

Использование такой комбинации решений обеспечивает не только защиту, но также повышение производительности и доступности веб-приложений, что особенно важно для бизнеса в условиях роста количества и сложности сетевых угроз.

Почему для защиты веб-приложений от L7 DDoS, плохих ботов и хакерских атак нужны разные решения?

Несмотря на поверхностное сходство, сетевые угрозы имеют очень разные характеристики и цели.

  • DDoS: стремительные и масштабные атаки большим количеством мусорных запросов. Цель — как можно быстрее вывести атакуемый ресурс из строя.
  • Боты: большой объем запросов, идущих равномерным потоком, а не всплеском. При этом запросы осмысленные и семантически верные. Цель — как можно дольше собирать данные, избегая вывода ресурса из строя.
  • Хакеры: очень небольшое количество запросов, зачастую вовсе неотличимых от действий легитимных пользователей. Цель — найти и использовать слабые места в защите.

Поскольку цели, инструментарий и тактики атакующих кардинально отличаются, для эффективного обнаружения и противодействия этим угрозам нужны специализированные решения.

Защита веб-приложений и корпоративных L3-L4 сервисов в облаке

В более сложном сценарии помимо веб-приложений компания также размещает в облаке другие элементы инфраструктуры. Такими элементами могут быть DNS-сервер, корпоративные сервисы видеоконференцсвязи или телефонии, те или иные индивидуальные приложения, использующие протоколы TCP и UDP, корпоративный VPN и так далее.

В этом случае угрозы на уровне L7 также остаются актуальными для владельца инфраструктуры. Но также к ним добавляются угрозы на уровнях L3-L4, поскольку соответствующие корпоративные сервисы доступны публично.

В такой ситуации перед компанией встает выбор между двумя вариантами:

  • Подключить услуги специализированного провайдера для защиты веб-приложений от L7 DDoS-атак, а также WAF и антибот-решения. При этом для защиты от атак на уровне L3-L4 полагаться на встроенные решения, которые предлагает облако.
  • Доверить специализированному провайдеру защиту как L7, так и L3-L4.

Встроенная защита облака, как правило, обеспечивает лишь доставку трафика в сторону заказчика. При этом доступность размещенных в облаке приложений, работающих с TCP и UDP, не будет гарантирована SLA. Поэтому предпочтительно использовать услуги единого специализированного провайдера как для L7, так и для L3-L4.

Здесь следует учитывать, что для фильтрации TCP-трафика, как и для HTTP/HTTPS, работает подключение через обратный прокси. Однако для UDP-трафика такой вариант плохо подходит в силу природы протокола.

Поэтому при выборе L3-L4 защиты следует определиться со способом подключения:

  • Подключение защиты через DNS (обратный прокси). Позволяет эффективно фильтровать TCP-трафик. Не требует создания выделенных каналов связи. Подходит для организаций, не имеющих собственной автономной системы.
  • Подключение защиты через BGP. Обеспечивает фильтрацию всех протоколов, включая UDP. Подходит для организаций, у которых есть собственные префиксы и своя автономная система. Позволяет защитить всю инфраструктуру целиком с гарантиями доступности каждого приложения вне зависимости от мощности и типа DDoS-атаки.

Использование BGP-подключения позволяет внедрить в UDP-приложения механизмы аутентификации и вайтлистинг. Таким образом можно по умолчанию запретить UDP-трафик и принимать его только с тех адресов, с которых пользователи предварительно аутентифицировались через HTTP/HTTPS.

Может ли CDN защитить от DDoS?

Существует распространенное заблуждение, что для защиты от DDoS-атак можно использовать CDN. Поскольку сети доставки контента применяются для повышения производительности и

доступности веб-приложений, может возникнуть ложное впечатление, будто это и есть то, что нужно во время DDoS-атаки: «залить» атаку обширными распределенными ресурсами CDN.

На самом деле это не так. Во многих случаях атакующие могут добиться, чтобы CDN перенаправлял вредоносные запросы на целевой ресурс. Или даже могут использовать саму сеть доставки контента в качестве амплификатора DDoS-атаки.

Также следует помнить, что хотя общие ресурсы CDN действительно велики, они разделяются между огромным количеством узлов. При этом отдельные узлы часто обладают невысокой производительностью и шириной канала. Это дает возможность атакующим проводить точечные атаки, выводя из строя узлы, обслуживающие определенный регион, ключевой для атакуемого ресурса.

Поэтому не следует полагаться на CDN для противодействия сетевым атакам — необходимо использовать специализированное решение для DDoS-защиты.

Защита гибридной инфраструктуры, включающей собственный ЦОД или частное облако

Перейдем к наиболее сложному сценарию. Как и в прошлом случае, в инфраструктуре организации есть как веб-приложения, так и сервисы, работающие с протоколами TCP и UDP — DNS, телефония, видеоконференцсвязь, VPN, самостоятельно разработанные приложения и так далее. Однако в данном сценарии организация размещает элементы инфраструктуры как в облаке, так и в собственном центре обработки данных.

В этом случае, как правило, организация самостоятельно управляет всеми инфраструктурными элементами — как собственными, так и размещенными в облаке, включая роутеры и файрволы. При этом у такой организации обычно есть свои префиксы и автономная система. Таким образом создается отказоустойчивая архитектура с использованием собственного ЦОД и облака в качестве поставщика вычислительных и сетевых ресурсов.

Естественно, в такой конфигурации все риски, связанные с сетевыми атаками и обеспечением доступности, полностью лежат на самой организации.

Самое неудачное решение при использовании гибридной инфраструктуры — это одновременное использование двух независимых провайдеров защиты для облака и собственного ЦОД. Поскольку оба провайдера видят только часть трафика, возникает либо нескоординированность защиты, либо высокие издержки на координацию.

Оптимальный вариант для гибридной конфигурации — выбрать единого провайдера, который гарантирует всестороннюю защиту от любых сетевых угроз:

  • Атаки на сетевом и транспортном уровнях: подключение через BGP и перемаршрутизация всего трафика через сеть фильтрации обеспечат эффективную очистку любого трафика, включая UDP.
  • Атаки на уровне приложений: защита силами одного провайдера всей инфраструктуры — как на уровне L3-L4, так и на уровне L7, как в собственном ЦОД, так и в облаке, дает значительные преимущества, особенно в случае мощных многовекторных DDoS-атак.

При этом для диверсификации можно иметь резервного провайдера защиты, к которому трафик может будет переведен в случае необходимости.

В том случае, когда собственный ЦОД и облако обслуживают невзаимосвязанные приложения, допустимо одновременное использование двух разных провайдеров защиты. Например, если основная часть инфраструктуры работает в собственном ЦОД, а веб-ресурсы размещены в облаке, то защиту этих двух независимых частей инфраструктуры можно доверить разным поставщикам.

Симметричная и асимметричная защита от DDoS

Иногда у компаний может возникнуть соблазн сэкономить и использовать асимметричную защиту от DDoS — пропускать через сеть очистки только входящий трафик. Логика такая: поскольку источник DDoS-атаки находится снаружи, то непосредственную опасность для инфраструктуры организации представляет только входящий трафик. Таким образом, исходящий трафик можно вести в обход сети фильтрации, чтобы за него не платить.

Однако в такой конфигурации эффективность DDoS-защиты значительно снижается. В частности, защита может пропускать атаки некоторых типов (например, SYN-ACK reflection) поскольку их сложно обнаружить без наблюдения за исходящим трафиком. Также асимметричная защита вовсе не подходит для защиты от DDoS-атак на уровне приложений (L7).

Поэтому, хотя в некоторых специфических случаях асимметричная защита может быть оправдана, для большинства организаций правильным подходом будет использование симметричной защиты.

Поддержание устойчивости к DDoS-атакам

В условиях постоянного обновления и развития корпоративной инфраструктуры эффективная защита от DDoS-атак требует не только применения современных технологий, но и регулярного обслуживания, включающего несколько ключевых аспектов, о которых мы и поговорим ниже.

Проведение регулярных нагрузочных тестирований

С ростом и изменением инфраструктуры необходимо проводить регулярные нагрузочные тестирования, которые помогут оценить способность системы противостоять DDoS-атакам в реальных условиях.

Эти тесты позволяют выявлять потенциальные узкие места и уязвимости, которые могут возникнуть в результате обновлений или расширений инфраструктуры. Регулярное тестирование также способствует адаптации защитных мер к новым типам угроз и изменениям в архитектуре сети.

Сертификация и соответствие стандартам

Для обеспечения надлежащего уровня безопасности, инфраструктура и процессы защиты должны соответствовать общепризнанным стандартам и требованиям сертификации, таким как ISO/IEC 27001, PCI DSS и отраслевые нормативные требования.

Сертификация не только подтверждает соответствие высоким стандартам, но и способствует улучшению процессов управления рисками, повышая общую устойчивость к атакам.

Регулярное обучение персонала и повышение квалификации

Одним из важнейших аспектов в защите от DDoS-атак является человеческий фактор. Регулярное обучение персонала, тренинги по повышению квалификации, а также моделирование кризисных ситуаций и отработка сценариев реагирования на инциденты помогают командам быть готовыми к действиям в условиях реальной атаки.

Такие тренинги способствуют повышению осведомленности сотрудников о современных угрозах и лучших практиках защиты, что значительно снижает риск успешной атаки.

Заключение

Надежная стратегия защиты от DDoS-атак требует многостороннего подхода, объединяющего передовые технологии, непрерывный мониторинг и хорошо подготовленный персонал. Следующие ключевые аспекты являются необходимыми для обеспечения устойчивости к постоянно развивающимся угрозам:

  • Всеобъемлющая защита — необходимое условие. Разнообразие современной корпоративной инфраструктуры — от веб-ресурсов в публичных облаках до специализированных приложений в локальных ЦОД — создает необходимость единой и скоординированной стратегии защиты от DDoS-атак.
  • Многоуровневый подход к защите. Эффективная защита сети должна охватывать несколько уровней — от защиты от L3-L4 DDoS-атак до обеспечения безопасности на уровне приложений. Последний случай включает защиту от DDoS на уровне L7, WAF и защиту от ботов. В идеале эти решения должны функционировать как единая система.
  • Непрерывный мониторинг и продвинутые алгоритмы обнаружения угроз. Постоянный анализ угроз, автоматизированная фильтрация и адаптивные механизмы реагирования являются ключевыми для эффективной защиты трафика с минимальным числом ложных срабатываний.
  • Регулярное тестирование нагрузки и соблюдение стандартов. Для поддержания устойчивости к DDoS-атакам необходимо регулярно проводить нагрузочные тестирования инфраструктуры и обеспечивать соответствие стандартам безопасности.
  • Обучение персонала и планирование реагирования на инциденты. Поскольку человеческий фактор остается критически важным, непрерывное обучение, проведение учений с имитацией атак и заранее разработанные протоколы реагирования на инциденты играют важную роль в снижении риска сбоев.

«Curator больше 15 лет стабильно работает на рынке защиты от DDoS-атак, сотрудничает с большим количеством крупных российских компаний, в том числе и государственных. Для нас Curator является надежным и ценным партнером».

Менеджер направления развития новых решений Департамента информационной безопасности Softline Надежда Макарова.

Теги:

Новости, истории и события
Смотреть все
Proteqta (ГК Softline) и РДТЕХ договорились о сотрудничестве
Новости

Proteqta (ГК Softline) и РДТЕХ договорились о сотрудничестве

23.05.2025

ГК Softline объявляет об окончательном формировании кластера «Фабрика ПО», назначении Максима Тадевосяна на должность генерального директора новой структуры
Новости

ГК Softline объявляет об окончательном формировании кластера «Фабрика ПО», назначении Максима Тадевосяна на должность генерального директора новой структуры

23.05.2025

ГК Softline получила награду от МойОфис за высокие показатели продаж
Новости

ГК Softline получила награду от МойОфис за высокие показатели продаж

23.05.2025

Bell Integrator (ГК Softline) реализует проект по модернизации программного комплекса для крупной финансовой корпорации в части формирования отчетности для БКИ (бюро кредитных историй)
Новости

Bell Integrator (ГК Softline) реализует проект по модернизации программного комплекса для крупной финансовой корпорации в части формирования отчетности для БКИ (бюро кредитных историй)

22.05.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) укрепляет свои позиции на рынках Ближнего Востока, приняв участие в международной медицинской конференции Interdisciplinary Urology Consortium (IUCC)
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) укрепляет свои позиции на рынках Ближнего Востока, приняв участие в международной медицинской конференции Interdisciplinary Urology Consortium (IUCC)

22.05.2025

Совет директоров ПАО «Софтлайн» рекомендовал Собранию акционеров направить 1 млрд рублей на выплату дивидендов по итогам 2024 года
Новости

Совет директоров ПАО «Софтлайн» рекомендовал Собранию акционеров направить 1 млрд рублей на выплату дивидендов по итогам 2024 года

22.05.2025

ActiveCloud (ГК Softline) запускает облачный хостинг CloudServer по цене VPS
Новости

ActiveCloud (ГК Softline) запускает облачный хостинг CloudServer по цене VPS

21.05.2025

ОС «МСВСфера Сервер» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с менеджером паролей «Пассворк»
Новости

ОС «МСВСфера Сервер» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с менеджером паролей «Пассворк»

21.05.2025

ОС «МСВСфера АРМ» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с офисным пакетом «АльтерОфис 2025»
Новости

ОС «МСВСфера АРМ» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с офисным пакетом «АльтерОфис 2025»

20.05.2025

Совет директоров ПАО «Софтлайн» 21 мая 2025 года даст рекомендацию Собранию акционеров по выплате дивидендов
Новости

Совет директоров ПАО «Софтлайн» 21 мая 2025 года даст рекомендацию Собранию акционеров по выплате дивидендов

19.05.2025

«Инферит» (ГК Softline) оснастил ноутбуками лабораторию дизайна университета им. С. Г. Строганова
Новости

«Инферит» (ГК Softline) оснастил ноутбуками лабораторию дизайна университета им. С. Г. Строганова

19.05.2025

ВАЛОВАЯ РЕНТАБЕЛЬНОСТЬ ПАО «СОФТЛАЙН» В 1 КВАРТАЛЕ 2025 ГОДА ДОСТИГЛА ИСТОРИЧЕСКИ РЕКОРДНЫХ 39% ЗА СЧЕТ ТРАНСФОРМАЦИИ БИЗНЕСА И РАСТУЩЕЙ РЕНТАБЕЛЬНОСТИ СОБСТВЕННЫХ РЕШЕНИЙ
Новости

ВАЛОВАЯ РЕНТАБЕЛЬНОСТЬ ПАО «СОФТЛАЙН» В 1 КВАРТАЛЕ 2025 ГОДА ДОСТИГЛА ИСТОРИЧЕСКИ РЕКОРДНЫХ 39% ЗА СЧЕТ ТРАНСФОРМАЦИИ БИЗНЕСА И РАСТУЩЕЙ РЕНТАБЕЛЬНОСТИ СОБСТВЕННЫХ РЕШЕНИЙ

19.05.2025

Операционная система «МСВСфера» от «Инферит» (ГК Softline) победила в конкурсе «ПРОФ-IT.Инновация»
Новости

Операционная система «МСВСфера» от «Инферит» (ГК Softline) победила в конкурсе «ПРОФ-IT.Инновация»

16.05.2025

Система инвентаризации и контроля ИТ-активов «Инферит ИТМен» (ГК Softline) стала призером конкурса «ПРОФ-IT.Инновация»
Новости

Система инвентаризации и контроля ИТ-активов «Инферит ИТМен» (ГК Softline) стала призером конкурса «ПРОФ-IT.Инновация»

16.05.2025

ГК Softline получила статус золотого партнера вендора «АйТи Бастион»
Новости

ГК Softline получила статус золотого партнера вендора «АйТи Бастион»

16.05.2025

ГК Softline стала лидером NGFW-проектов среди партнеров UserGate
Новости

ГК Softline стала лидером NGFW-проектов среди партнеров UserGate

16.05.2025

ГК Softline стала золотым партнером компании ФЛАТ
Новости

ГК Softline стала золотым партнером компании ФЛАТ

15.05.2025

«Инферит Облако» (ГК Softline) подтвердил совместимость с серверами 3-го поколения серии RS «Инферит Техника»
Новости

«Инферит Облако» (ГК Softline) подтвердил совместимость с серверами 3-го поколения серии RS «Инферит Техника»

14.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

Топ-редакторы для работы с PDF — сравниваем программы
Блог

Топ-редакторы для работы с PDF — сравниваем программы

04.03.2025

Российские офисные системы: выбор и преимущества
Блог

Российские офисные системы: выбор и преимущества

03.03.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться