В 2022 году из-за разрушительной войны россии против Украины количество DDoS-атак достигло рекордного уровня
Это одни из самых продолжительных DDoS-атак, когда хактивисты объединились, чтобы противостоять врагу в продолжительной кибервойне.
По сравнению с аналогичным периодом 2021 года количество DDoS-атак стало в 4,5 раза больше, при этом наблюдалась беспрецедентная продолжительность DDoS-сессий, в том числе на интернет-ресурсы банков и госструктур.
В свое время эксперты по кибербезопасности считали, что цифры за 2021 год были самым большим показателем за всю историю.
Самым жарким днем, учитывая интенсивность DDoS-атак, было 19 января, когда только в этот день их было зафиксировано 2250.
Вот еще немного статистики за этот период:
- было совершено 91 052 DDoS-атаки
- 44,34% атак было направлено на цели, расположенные в пределах США, что составило 45,02% от всех целей
- Наибольшее количество DDoS-атак (16,35%) приходилось на воскресенье
- Большинство атак (94,95%) длилось менее 4 часов, тогда как самый длинный инцидент длился 549 часов (почти 23 дня)
- 53,64% атак были UDP-флудом
- 55,53% серверов командования и управления были размещены в США
- На долю Китая приходилось 20,41% ботов, атаковавших SSH-ханипоты.
Все эти факторы заставляют нас лучше осознавать, наколько масштабными и опасными могут быть DDoS-атаки. Они также напоминают, что организации должны быть готовы к таким атакам.
Защита от DDoS-атак
1. Создайте план реагирования на DDoS
Ваша команда безопасности должна разработать план реагирования на инциденты, который обеспечит оперативное и эффективное реагирование сотрудников в случае DDoS. Этот план должен включать:
- Четкие, пошаговые инструкции по реагированию на DDoS-атаку.
- Как обеспечить непрерывность бизнес-активности |
- Инструкции и рекомендации для сотрудников
- Протоколы эскалации.
- Командные обязанности.
- Список всех необходимых инструментов.
- Список критически важных систем.
2. Обеспечьте высокий уровень безопасности сети
Безопасность сети необходима для пресечения любой попытки DDoS-атаки. Поскольку атака эффективна только в том случае, если хакер имеет достаточно времени для накопления запросов, критической является способность идентифицировать DDoS на ранней стадии для контроля радиуса воздействия.
Вы можете применить такие средства для сетевой безопасности, чтобы защитить свой бизнес от попыток DDoS:
- Брандмауэры (файерволы) и системы обнаружения вторжений, которые действуют как барьеры для сканирования трафика между сетями.
- Антивирусы и программное обеспечение, которое обнаруживает и удаляет вредоносные программы.
- Защита конечной точки, которая гарантирует, что конечные точки сети (десктопы, ноутбуки, мобильные устройства и т.п.) не станут точкой входа для вредных действий преступников.
- Инструменты веб-защиты, удаляющие веб-угрозы, блокируют чрезмерный трафик и ищут известные сигнатуры атак.
- Инструменты, предотвращающие спуфинг (это случай, когда злоумышленник или программа маскируется с помощью фальсификации данных, и тем самым получает незаконное преимущество).
- Сегментация сети, распределяющая системы на подсети с отдельными средствами контроля безопасности и протоколами.
Защита от DDoS-атак также требует высокого уровня безопасности сетевой инфраструктуры. Защита сетевых устройств позволяет подготовить ваше оборудование (маршрутизаторы, средства для балансирования нагрузки, DNS и т.д.) к скачкам трафика.
3. Резервирование серверов
Направляя усилия на несколько распределенных серверов, хакеру трудно атаковать все серверы одновременно. Если злоумышленник запускает успешную DDoS атаку на одном хостинге, другие серверы остаются без воздействия и принимают дополнительный трафик, пока атакующая система не появится в сети снова.
Поэтому следует размещать серверы в дата-центрах в разных регионах, чтобы убедиться, что у вас нет узких мест в сети или отдельных точек сбоя. Можно также использовать CDN. Поскольку DDoS-атаки работают путем перегрузки сервера, CDN может распределить нагрузку между несколькими распределенными серверами.
4. Обращайте внимание на предупреждающие знаки
Если команда безопасности может быстро определить признаки DDoS-атаки, вы можете вовремя принять меры и смягчить урон.
Распространенные признаки DDoS:
- плохое подключение
- снижение производительности
- много запросов на одну страницу или конечную точку
- сбои
- необычный трафик, поступающий из одной или небольшой группы IP-адресов
- всплеск трафика от пользователей с общим профилем (модель системы, геолокация, версия браузера и т.д.).
Помните, что не все DDoS-атаки сопровождаются большим трафиком. Атака малого объема с короткой продолжительностью часто обозначается случайным событием. Однако эти атаки могут быть тестовыми или такими, чтобы отвлечь внимание от более опасного инцидента (например, вирус-вымагатедь). Поэтому обнаружение атаки малого масштаба столь же важно, как и обнаружение полномасштабной DDoS.
Организуйте обучающие программы по повышению осведомленности в кибербезопасности, в частности, чтобы сотрудники научились замечать признаки DDoS-атаки. Следовательно, вам не нужно ждать, пока сотрудник службы безопасности заметит предупреждающие знаки.
5. Постоянный мониторинг сетевого трафика
Использование непрерывного мониторинга (CM) для анализа трафика в режиме реального времени является отличным методом обнаружения следов активности DDoS. Достоинства CM:
- Мониторинг в режиме реального времени гарантирует, что вы обнаружите попытку DDoS до того, как атака наберет обороты.
- Команда может установить пределы обычной сетевой активности и модели трафика. Когда вы знаете, как выглядят повседневные операции, команде легче определить нетипичную активность.
- Круглосуточный мониторинг обеспечивает выявление признаков атаки, которая происходит в нерабочее время и выходные дни.
6. Используйте облачные сервисы, чтобы предотвратить DDoS-атаки
Хотя использование внутреннего оборудования и программного обеспечения для противодействия угрозе DDoS жизненно необходимо, у облачных сервисов нет ограничений по нагрузке. Облачная защита легко масштабируется, а также позволяет справляться даже с масштабной DDoS-атакой.
Вы также можете отдать защиту от DDoS на аутсорс облачному провайдеру. Вот ключевые преимущества работы со сторонними поставщиками:
Облачные поставщики предлагают максимальный пакет киберзащиты с лучшими брандмауэрами и программным обеспечением для мониторинга угроз.
Публичное облако имеет больше пропускной способности, чем любая собственная сеть.
Датацентры обеспечивают надежное резервирование с помощью копий данных, систем и оборудования.
Если у вашей внутренней команды достаточно ресурсов и знаний, возможно, вам не придется полагаться исключительно на облачного провайдера для защиты от DDoS. Вы можете настроить гибридную или многооблачную среду и организовать свой трафик, чтобы получить тот же результат, что и защита от DDoS по требованию или постоянная активная защита.
Что такое DDoS-атака?
DDoS (аббр. англ. Denial of Service «отказ в обслуживании») – это кибератака, которая имеет целью разрушить сеть, службу или сервер путем наполнения системы фальшивым трафиком. Внезапный всплеск сообщений, запросов на соединение или пакетов перегружает инфраструктуру цели и вызывает замедление или сбой системы.
Хотя некоторые хакеры используют DDoS-атаки для шантажа, чтобы компания заплатила выкуп (подобно программам-вымагателям), более распространенными мотивами DDoS являются:
- сделать недоступными услуги или связь
- нанести вред бренду
- получить бизнес-удобство, пока веб-сайт конкурента не работает
- отвлечь группу реагирования на инцидент
DDoS-атаки представляют опасность для бизнеса любого размера, от компаний из списка Fortune 500 до небольших онлайн-магазинов. По статистике, DDoS-хакеры чаще всего нацелены на:
- Интернет-магазины
- Поставщиков ИТ-услуг
- Финансовые и финтех-компании
- Государственные учреждения
- Гейминговые компании и онлайн-казино
Злоумышленники обычно используют ботнет, чтобы осуществить DDoS. Ботнет – это связанная сеть компьютеров, мобильных устройств и гаджетов Интернета вещей, зараженных вредоносным программным обеспечением, контролируемая злоумышленником. Хакеры используют эти устройства-зомби для направления чрезмерного количества запросов на целевой веб-сайт или IP-адрес сервера.
Как только ботнет посылает достаточное количество запросов, онлайн-сервисы (электронная почта, веб-сайты, веб-приложения и т.д.) замедляются или выходят из строя. Согласно отчету Radware, в среднем:
- 33% DDoS-атак делают услуги недоступными в течение часа.
- 60% DDoS-атак длятся меньше, чем целый день.
- 15% DDoS-атак длятся в течение месяца.
Хотя DDoS, как правило, не приводит непосредственно к взлому или утечке данных, жертва тратит время и деньги на возврат услуг онлайн. Потеря бизнеса, брошенные корзины, разочарованные пользователи и ущерб репутации являются обычными последствиями неспособности предотвратить DDoS-атаки.
