В октябре этого года компания Google Cloud сообщила, что ей удалось успешно смягчить крупнейшую в истории атаку распределенного отказа в обслуживании (DDoS) – и что эта DDoS-атака поражает предприятия с августа.
Что сделало это худшим DDoS на сегодняшний день? Это был объем. На пике атаки количество запросов в секунду превысило 398 миллионов. Для сравнения: худшая зарегистрированная на тот момент DDoS-атака, обнаруженная в 2022 году, достигла 46 миллионов запросов в секунду.
Таким образом, атака осенью 2023 года была в восемь раз крупнее, чем ее предшественница, став рекордсменом. Каким бы ошеломляющим ни был масштаб, он также соответствовал тенденции развития DDoS-атак в последние годы.
В данном случае киберпреступники смогли запустить DDoS после того, как обнаружили уязвимость нулевого дня в протоколе HTTP/2. В худшем случае этот тип эксплойта может привести к перегрузке трафика и нарушению работы служб. Хотя это не поставит под угрозу данные, оно может отключить уязвимый веб-сайт или приложение.
Оглядываясь назад на полгода спустя, чему самая крупная DDoS-атака научила разработчиков программного обеспечения предотвращению DDoS?
Регулярно исправляйте уязвимости
Уязвимость нулевого дня сделала атаку настолько эффективной, насколько она была. Теперь он известен как HTTP/2 Rapid Reset или CVE-2023-44487 и может перегрузить серверы, использующие протоколы HTTP/2.
Раннее исправление ошибок — одна из лучших форм защиты от DDoS и других атак. В ходе этого процесса особое внимание необходимо уделять уязвимостям высокого риска.
Незапатентованные уязвимости являются одной из основных причин кибератак, однако многие команды годами игнорируют исправления. При наличии известных недостатков компании могут автоматизировать этот процесс, чтобы исправить их в системе на раннем этапе. Но как можно быстро исправить уязвимости нулевого дня? Это угрозы, которые до сих пор неизвестны. Инструменты не могут их обнаружить, потому что не знают о существовании таких слабостей.
Кроме того, может пройти некоторое время, прежде чем будет выпущен патч для последних эксплойтов нулевого дня. Пока вы ждете патча для быстрого сброса HTTP/2, Microsoft предлагает:
- Защита вашего сайта с помощью WAF
- Реализация защиты от DDoS-атак уровня 7.
- Настройка правил ограничения скорости для блокировки нежелательного трафика
- Блокировка вредоносных IP-адресов
- Отключение протокола HTTP/2
Подходите к кибербезопасности активно
Google имеет возможность обнаруживать и смягчать атаки до того, как они выйдут из-под контроля, просто потому, что они постоянно следят за своей безопасностью. Они продолжают разрабатывать более совершенные защитные механизмы. То есть они используют упреждающие меры для постоянного улучшения своей безопасности.
Чтобы не дать DDoS нарушить работу вашей системы на этом уровне, вам нужно нечто большее.
Начните здесь, чтобы реализовать более активный подход к безопасности:
- Мониторьте сетевой трафик, чтобы следить за любыми скачками трафика.
- Используйте решения поведенческого анализа для обнаружения аномальных моделей трафика
- Установите правила фильтрации трафика, чтобы остановить вредоносный трафик
В результате проактивная кибербезопасность помогает обнаруживать уязвимости на ранней стадии — до того, как они перерастут в разрушительные и дорогостоящие атаки.
Настройте многоуровневую защиту в своей инфраструктуре
В своем отчете о крупнейшей атаке Эмиль Кинер из Cloud Armor отмечает, что благодаря мерам по балансировке нагрузки и инфраструктуре предотвращения DDoS Google удалось поддерживать все в рабочем состоянии без простоев.
В противоположном примере: когда OpenAI подверглась DDoS-атаке в ноябре 2023 года, пользователи жаловались на повторяющиеся сбои в работе в течение всего дня.
Здесь имеет значение наличие комплексной инфраструктуры смягчения последствий и уровней безопасности. Только наличия WAF недостаточно для раннего предотвращения DDoS. Например, вот несколько показателей, на которые, по словам команды Google, она опирается:
- Индивидуальные политики безопасности
- Адаптивная защита для анализа моделей трафика
- Ограничение скорости для ограничения объема запросов
- Глобальная балансировка нагрузки для распределения трафика
Помимо надлежащей инфраструктуры, важно иметь многогранную программу кибербезопасности, сочетающую в себе универсальные превентивные и реактивные меры.
Сотрудничайте с коллегами в вашей отрасли
Этот случай учит нас тому, что важно сотрудничать с другими игроками в вашей отрасли.
Чтобы смягчить атаку, Google поделился информацией и разведданными об атаках с заинтересованными сторонами отрасли. Сюда входят специалисты по сопровождению программного обеспечения и поставщики облачных услуг.
Здесь Google, Cloudflare и AWS работали вместе, чтобы расследовать и остановить атаку, прежде чем она привела к длительным простоям уязвимых клиентов. Они координировали свои усилия и обменивались разведданными, стратегией и опытом, чтобы остановить атаку на раннем этапе.
Это важно для смягчения последствий крупномасштабных атак, подобных этой. Они могли бы справиться с угрозой на раннем этапе и использовать для этого наиболее эффективные меры.
Как другие компании могут сотрудничать таким же образом? Создайте сообщество, чтобы создать благоприятную среду в вашей отрасли. Обменивайтесь знаниями и практиками с другими компаниями.
Сотрудничайте с отраслевыми партнерами для предотвращения атак в режиме реального времени.
Адаптируйте и развивайте средства защиты для предотвращения DDoS-атак.
Когда крупная компания подвергается DDoS-атаке, может быть трудно понять, почему WAF и другие средства защиты не смогли вовремя остановить атаку.
Как видите, подготовить компанию к более изощренным атакам сложно. Если они используют уязвимости нулевого дня, мы говорим о недостатке, который ваша система безопасности не могла предвидеть.
Итог худшей DDoS-атаки? Точно так же, как DDoS-атаки с каждым годом становятся все более совершенными, ваша защита также должна постоянно развиваться.
Помимо применения стандартных мер кибергигиены, таких как регулярное обновление обновлений, к обеспечению безопасности следует подходить с упреждающими мерами. Иметь многогранную инфраструктуру безопасности. Сотрудничайте с другими, если можете.
Специальная подборка для Вас