Медаль за храбрость
В начале года в интернете появился сайт "Путин взрывает дома", дающий возможность любому желающему одним нажатием кнопки предоставить мощности своего компьютера для участия в DDoS-атаке. Цели для нападения выбираются всеобщим голосованием. С развитием технологий организовывать кибератаки становится все проще и дешевле — по данным "Лаборатории Касперского", каждый месяц в мире блокируется 2 млн сетевых атак. В дальнейшем это число будет лишь увеличиваться.
Чем дальше в лес, тем толще вирусы
Утечки персональных данных в результате спланированных кибератак становятся настоящим бичом крупных IT-компаний. Этой весной хакерами были взломаны интернет-сервисы компании Sony: злоумышленники получили персональные данные и, возможно, номера кредиток более 70 млн человек, а ущерб для бизнеса компании составил до $170 млн. Согласно данным "Лаборатории Касперского", в России за последний год 96% компаний сталкивались с теми или иными видами киберугроз. Почти половина из них отметила рост числа кибератак, и еще 46% компаний теряли в результате конфиденциальные данные. Среди опрошенных ЛК компаний 14% считают киберугрозы одним из трех наиболее значимых рисков для бизнеса, а 44% уверены, что эти риски войдут в "большую тройку" в ближайшие пару лет.
Сегодня заказать DDoS-атаку на неприятный сайт может позволить себе практически любой желающий. Олег Глебов, специалист департамента маркетинга компании "Информзащита", приводит следующие цифры: стоимость атаки мощностью 20-25 Гбит/с сегодня составляет максимум $250 в сутки. Юлия Майорова, руководитель дирекции развития бизнеса Orange Business Services, называет еще меньшую сумму — $70-90 в сутки. По ее словам, такая доступность этой "услуги" делает DDoS-атаки все более и более популярным инструментом в конкурентной борьбе.
Олег Шабуров, старший системный инженер Symantec в России и СНГ, добавляет, что ситуация резко обострилась в последние год-два: даже простым пользователям сети, не имеющим специального компьютерного образования, стали доступны наборы эксплойтов — компьютерных программ для облегчения запуска широкомасштабных атак. "По данным нашего ежегодного аналитического отчета об угрозах безопасности в интернете, число веб-атак, которые ежедневно фиксировались в 2010 году, возросло на 93% по сравнению с 2009 годом,— сообщает господин Шабуров.— При этом две трети угроз были созданы с помощью готовых наборов инструментов".
Немалый вклад в развитие DDoS-атак вносят бот-сети, число которых растет во многом за счет российских злоумышленников. По словам господина Шабурова, не так давно закрытый ботнет Rustock достиг численности более 1 млн подконтрольных компьютеров-ботов. Сеть из 10 тыс. ботов предлагается на черном рынке за символическую сумму $15. Олег Шабуров опасается, что еще более серьезные проблемы могут возникнуть теперь, когда появилась возможность при необходимости арендовать управление крупными бот-сетями.
Юрий Наместников, ведущий антивирусный эксперт "Лаборатории Касперского", связывает уменьшение цены DDoS-атаки в первую очередь с ужесточением конкуренции на киберпреступном рынке. По его словам, в качественном плане технологии DDoS-атак за последние десять лет не очень изменились, а вот количество ботсетей, созданных для атак, увеличилось в разы, что и привело к появлению конкуренции на этом рынке. В борьбе за клиента киберпреступникам приходится снижать цены на свои услуги.
Цифровой холестерин
При отсутствии у подвергшегося атаке сайта средств защиты такое кибернападение забьет любой отдельно взятый ресурс в интернете. Неудивительно, что эта проблема стоит в России и во всем мире очень остро. Вот лишь несколько примеров крупных DDoS-атак за прошедшие годы.
В 2009 году была совершена атак на сайт интернет-платежей Assist, партнером которого в то время была компания "Аэрофлот". Недельный простой сайта стоил компании потери контракта с "Аэрофлотом" и серьезно подорвал репутацию платежной системы. Нередко DDoS-атаки являются средством нечестной конкурентной борьбы. Так, в 2010 году на крупнейший сайт сообщества яхтсменов России (rusregata.ru) планомерно проводились акции, совпадающие с проведением регат. На рынок регатного спорта в то время выходило много новых организаций, которые вели себя довольно агрессивно с коммерческой точки зрения.
А в момент назначения губернатора Нижегородской области была осуществлена крупная атака на сайт "Виртуальная Выкса", который тогда в режиме реального времени освещал трагедию наиболее пострадавшего от лесных пожаров района Нижегородской области. Аналитики связали эту DDoS-атаку со стремлением подорвать имидж губернатора в преддверии его назначения на должность.
За прошедший год участились случаи использования DDoS-атак на сайты, которые оплачивают услуги рекламных агентств, увеличивающих посещаемость других интернет-ресурсов. В такой схеме работы владелец сайта оплачивает каждое уникальное посещение по ссылке, созданной и раскручиваемой нанятым агентством. Тем самым оплачивается посещаемость ресурса. Успешно проведенная DDoS-атака позволяет подделать переход по ссылке, тем самым накручивая статистику. При этом для реального посетителя, который обратится к сайту, он будет вне доступа. Владелец сайта, с одной стороны, теряет посетителей на время атаки, с другой еще вынужден оплатить все поддельные посещения.
"Нередко DDoS-шторма являются лишь вуалью, с помощью которой скрывают более сложные атаки или факты утечки данных,— рассказывает Олег Глебов.— Важно понимать, что в конечном итоге DDoS-атака влечет за собой для организаций неминуемую потерю прибыли, которая существенно превышает затраты хакера на сам DDoS. Способствует такому положению дел и безразличие со стороны провайдера по отношению к проблемам безопасности клиентов. Как минимум отдельный пользователь или компания будет всегда обязана оплачивать огромный трафик DDoS-атаки. В очень редких случаях провайдер оговаривает DDoS форс-мажор с клиентом в рамках стандартного соглашения".
Опасная зависимость
Чем больше информационные технологии и интернет входят в нашу жизнь, тем более зависимыми от них становятся бизнес-процессы. Антон Разумов, руководитель группы консультантов по безопасности компании Check Point, рассказывает, что 10-15 лет назад в рамках конкурентной борьбы было модно срывать отправку банками информации в межрегиональный центр информатизации при ЦБ РФ. Это могло привести к очень серьезным последствиям вплоть до отзыва лицензии, но для остальных компаний такого рода атаки не имели особого смысла. Сейчас же ситуация существенно изменилась. "Как вы думаете, во сколько обходится день простоя интернет-магазина или недоступность сайта по продаже билетов? Как минимум это упущенная прибыль за соответствующий период времени,— рассуждает господин Разумов.— Кроме того, помимо прямых финансовых потерь следует учитывать и существенные репутационные риски даже для традиционных компаний и даже возможность штрафных санкций. Что уж говорить о сервисах, специализирующихся на предоставлении онлайн-услуг, таких как Evernote, BaseCamp, SalesForce, платных разделах на новостных сайтах, интернет-аукционах".
Помимо такого фактора, как падение стоимости организации кибератак, играет существенную роль также и формирование рынка вокруг этой зловредной деятельности. Евгений Царев, заместитель директора департамента продуктов и услуг компании LETA, считает, что пять-десять лет назад рынок киберпреступности еще только формировался и нередки были случаи атак из любопытства или "обиды" на бывшего работодателя. Сейчас киберпреступность — это настоящая отрасль, и люди туда идут с целью заработка. По этой причине подавляющее число кибератак приходится на финансовый сектор. Сейчас очень остры проблемы с DDoS-атаками и атаками на системы дистанционного банковского обслуживания (ДБО). "Сегодня нет точной статистики по инцидентам в системах ДБО, почти все банки тщательно скрывают эти факты, однако по нашему опыту можно сказать, что таких инцидентов очень много",— говорит господин Царев.
Защита Лужина
В некотором роде решением для защиты от подобного рода угроз эксперты считают популярные сегодня "облака": они позволяют использовать ресурсы, сравнимые с распределенными мощностями атакующих, но и их может не хватить. Хотя в этом случае можно просто наращивать ресурсы. "Так же, как перед новогодними праздниками поступают интернет-магазины, просто запуская дополнительные сервера, можно поступать и при повышении нагрузки в моменты DDoS-атак, в том числе автоматически. Это удобно своей простотой и оперативностью, но может оказаться довольно дорогостоящим решением",— заключает господин Разумов.
Также эксперт предупреждает о том, что если компания решила защищать свои ресурсы с помощью специализированных устройств, нужно помнить: они не способны защитить от перегрузки канала, поскольку устанавливаются на сайте клиента. Даже если в компании гигабитное подключение к интернету, то ботнет из 1 тыс. машин с подключением в 10 Мбит/с (что сейчас далеко не редкость для домашних пользователей) с легкостью забьет канал и сделает сервис недоступным для легитимных пользователей. Хотя этот вариант защиты наиболее простой во внедрении и относительно недорогой.
Юрий Наместников, ведущий антивирусный эксперт "Лаборатории Касперского", считает наиболее эффективным на сегодня способом борьбы с этой угрозой распределенные системы фильтрации трафика. Чаще всего это программно-аппаратный комплекс, который поддерживается в актуальном состоянии рядом специалистов различного профиля: от системных администраторов до вирусных аналитиков, изучающих поведение DDoS-ботов. Подобные комплексы способны отразить даже очень мощные DDoS-атаки, и "Лаборатория Касперского" предоставляет услугу защиты от DDoS-атак именно на основе этой технологии.
Олег Глебов рекомендует для защиты от внешнего воздействия позаботиться о специализированных средствах очистки трафика или договориться с провайдером, который замкнет замусоренный трафик на собственные системы очистки или перенаправит их на арендованные у другой фирмы. Услуга такой удаленной защиты от DDoS, когда трафик идет через дата-центр внешней компании, специализирующейся на его очистке, стоит для средней пропускной возможности сети не более 700-1000 рублей за месяц аренды. На рынке также имеются аппаратные средства защиты от DDoS, которые представляют собой высокоспециализированные решения с пропускными способностями до 25-40 Гбит/с на устройство. Объединение таких продуктов в "ферму очистки" позволяет строить масштабируемые решения для каналов уровня глобальных ЦОД, крупных провайдеров и магистралей.
Существует также такая угроза, как внутренний DDoS. В этом случае внутренние компьютеры сети, подвергшиеся заражению, начинают забивать канал или серверные мощности других компьютеров компании. Внешние центры очистки у провайдера или устройства на границе периметра не смогут перехватить такой трафик. "В проведении такой атаки зачастую немаловажным является человеческий фактор,— предупреждает господин Глебов.— Если компания максимально защищена от проникновения извне, то злоумышленники будут стараться получить доступ в сеть организации уже не техническими методами, а при помощи социальной инженерии".
В таком случае в качестве носителей вредоносного кода могут быть использованы PDF-документы или зараженные письма. Такие комплексные элементы обмена данными потенциально содержат средства для атаки и используют уязвимости системы. Для крупных компаний внутренний DDoS объясняется низкими показателями безопасности филиалов, которые проще атаковать и заразить. А далее по смежным каналам передачи данных филиальная сеть может развернуть массированный DDoS против ресурсов головного ЦОД. Во избежание проблем внутри корпоративной сети организации нужно иметь систему очистки трафика на ядре сети, при этом сама сеть должна быть жестко разграничена на общие и критичные ресурсы.
В целом, утверждает Олег Шабуров, средства защиты не только успевают за киберпреступниками, но и работают на опережение. Пример тому — "облачные" репутационные технологии. Ежедневно появляются новые угрозы, которые не идентифицируются традиционными способами, основанными на сигнатурах, эвристических и поведенческих методах, а также системах предотвращения вторжений. Поэтому для защиты от новых и неизвестных угроз используются репутационные технологии, например комплекс Norton Insight Network, который анализирует анонимные данные о распространении программ более чем на 175 млн компьютеров клиентов и автоматически присваивает высокоточные рейтинги безопасности более чем 2,5 млрд уникальных файлов. В базе данных содержатся рейтинги практически всех существующих вредоносных и безопасных файлов.
Траты неизбежны
Для компании B2B-Center вопрос информационной безопасности критически важен. Фирма поддерживает несколько электронных торговых площадок и использует все ресурсы: и человеческие, и программные, и аппаратные, чтобы сделать работу на электронной площадке максимально безопасной. Ситуацию на рынке оценивает генеральный директор электронной площадки B2B-Center Алексей Дегтярев: "В связи с тем что проблема актуальна, тем более с учетом того, что возможность организовать кибератаку не составляет труда, затраты на обеспечение информационной безопасности с каждым годом будут только расти".
Бизнес все больше уходит в интернет, поэтому угрозы информационной безопасности постоянно растут. "Чем больше размер онлайн-бизнеса, тем выше риск самых разных киберугроз, а значит, и бюджет построения защиты от угроз тоже должен становиться выше,— рассказывает Александр Трошин, технический директор "Манго Телеком".— На данный момент я бы посоветовал тратить любой компании с активным бизнесом в онлайне от 30% до 50% IT-бюджета на построение и поддержку серьезной системы ИБ. В среднем же сейчас на такую систему компании тратят не более 10%". Евгений Царев говорит, что сегодня доля расходов на информационную безопасность в общей смете расходов на IT не должна быть ниже 10-15%. А для телекоммуникационных и финансовых систем — не ниже 20%. "Что касается критичных систем, то доля ИБ должна быть выше, вплоть до 50% общих расходов",— заключает эксперт.
По мнению Олега Глебова, расходы на сдерживание DDoS-атак могут распределяться неравномерно. Можно заниматься постоянным наращиванием мощностей, расширением каналов или анализом и противодействием атак с помощью классических мер (блокировка). Даже в рамках небольших бюджетов на рынке ИБ есть возможность использовать как самые простые аппаратные решения, так и "облачные" средства защиты от DDoS (DDoS protection-as-a-Service). В ряде случаев компания не всегда готова перенаправлять собственный трафик за пределы своей сети, особенно если он содержит коммерческую информацию или персональные данные пользователей. В таких случаях необходимо организовывать комплексные системы защиты как от внешних, так и от внутренних DDoS-атак. Но тогда, как уже говорили эксперты, главной проблемой будет пропускная способность интернет-каналов "последней мили".
При этом Юрий Наместников предупреждает, что сложность атак будет расти, что повлечет увеличение затрат на обеспечение безопасности.
"Эту проблему необходимо решать на высоком уровне и в законодательном порядке пресекать деятельность компаний, которые предлагают услуги по кибератакам",— уверен генеральный директор электронной площадки B2B-Center Алексей Дегтярев.
Того же мнения придерживается Евгений Царев: "Для комплексного противодействия киберугрозам применяются технические (аппаратные и программные), организационные меры. Но этого недостаточно. Мировая практика показывает, что борьба с киберпреступностью малоэффективна без жесткого законодательства и правоприменения. Именно неотвратимость наказания играет решающую роль в борьбе с киберпреступностью. Однако в России в условиях фактической безнаказанности приходится полагаться только на построение эффективной системы информационной безопасности и специализированные компании, которые могут помочь в борьбе с DDoS и другими видами киберугроз".