Статьи

Что происходит на ИТ-рынке с хакерскими атаками

Уже более трех месяцев с главных страниц новостей не сходят сообщения о масштабных DDoS-атаках. Атакам подвержены практически все IT- и телекоммуникационные компании. Сегодня вопрос не в том, подвергнетесь ли вы нападению или нет, а в том, когда это произойдет и как предотвратить такую ​​возможность. Что сейчас происходит на рынке и как сделать так, чтобы все сервисы компании работали стабильно, расскажем в статье.

А как это было раньше… изменение рынка

С 2016 года количество DDoS-атак удвоилось или утроилось по сравнению с предыдущим годом. В 2016 году DDoS-атаки были направлены на пять крупных российских банков и ИТ-сектор. В конце 2017 года вновь сообщалось о DDoS-атаках на финансовые организации, в том числе на ЦБ, а также на Минздрав. В 2019 году количество атак увеличилось в 3,3 раза по сравнению с 2018 годом и продолжило расти в 2020 году.

В 2020 году мир столкнулся с пандемией коронавируса. Карантин во многих странах вызвал еще большее проникновение Интернета в жизнь людей и способствовал очередному росту атак. Хакеры стали быстрее, изощреннее и осторожнее (согласно Аналитическому отчету DDoS-GUARD о DDoS-атаках 2018-2020 | Блог).

Согласно исследованию Qrator Labs, в 2021 году киберпреступники атаковали компании в основном для сбора данных, причем больше всего от атак пострадали розничные сети, образование и электронная коммерция.

В конце 2021 года компания Stormwall опубликовала исследовательский отчет, согласно которому DDoS-атакам в России чаще всего подвергались финансовый сектор (43%), розничная торговля (31%) и игровой сектор (18%).

С конца февраля 2022 года новый шквал DDoS-атак обрушился практически на все компании, которые хотя бы минимально связаны с ИТ и телекомом. Хакеры начали массово отключать государственные онлайн-сервисы, значимые сайты и приложения. По данным РБК, как минимум часть атак осуществлялась с веб-ресурсов, на которых был опубликован призыв прекратить дезинформацию. Anonymous взяли на себя ответственность за некоторые атаки.

По данным «Лаборатории Касперского», в первом квартале 2022 года зафиксирован рекордный рост атак (в 4,5 раза) по сравнению с аналогичным периодом прошлого года.

Количество атак

Из графиков видно, что пик атак пришелся на восьмую неделю 2022 года, то есть на период с 21 по 27 февраля, а наибольшее количество DDoS-атак было отражено 25 февраля.

Количество атак

Средняя продолжительность DDoS-атак в неделю, апрель 2021 г. – март 2022 г. В двадцатых числах февраля начинается резкий рост этого показателя.

количество DDoS-атак

В ответ на DDoS-атаки многие компании использовали геозону (GeoIP-фильтрацию) для ограничения доступа из-за рубежа. Кроме того, Национальный координационный центр компьютерных инцидентов (NCCC) опубликовал списки IP-адресов и рефереров, с которых предположительно были запущены атаки, и рекомендации по безопасности.

Также в апреле 2022 года стало известно, что Роскомнадзор планирует модернизировать оборудование, используемое для обеспечения соблюдения закона об изоляции Рунета, и создать на его основе систему защиты от DDoS-атак из-за рубежа.

Воздействие DDoS-атак: виды и последствия

Основной целью DDoS-атак является нанесение ущерба компании. Во время атаки компания теряет клиентов из-за медленной работы или полного отключения серверов, что приводит к репутационным издержкам для бизнеса. Восстановление всего быстро требует времени и денег. Средние потери от DDoS-атак оцениваются в $50 000 для небольших компаний и почти $500 000 для крупных.

Распространенные типы атак

DDoS-атаки прикладного уровня (DDoS прикладного уровня) — атака заключается в отправке огромного количества запросов, требующих больших вычислительных мощностей. К этому классу также относятся атаки HTTP-флуд и DNS-флуд.

HTTP-флуд обычно осуществляется против конкретной цели, и такую ​​атаку довольно сложно предотвратить. Он не использует вредоносные пакеты и больше полагается на ботнет.

В случае DNS-флуда целью является DNS-сервер жертвы. Если DNS-сервер недоступен, вы не сможете найти соответствующий сервер. DNS-флуд — это симметричная атака, запускаемая несколькими ботами в ботнете.

DDoS-атаки сетевого уровня (DDoS сетевого уровня) — крупномасштабные атаки, измеряемые в гигабитах в секунду (Гбит/с) или пакетах в секунду (PPS). В худших случаях такие атаки могут достигать скорости от 20 до 200 Гбит/с. Этот тип DDoS-атаки делится на SYN-флуд и UDP-флуд.

SYN-флуд создает поток запросов на подключение к серверу, который делает невозможным ответ на эти запросы. Целью является каждый порт на сервере, который переполняется пакетами SYN, что приводит к переполнению очереди соединений на сервере, что приводит к зависанию соединений, ожидающих подтверждения со стороны клиента.

Сервер лавинной рассылки UDP заполняется запросами UDP на каждом порту. В этом случае сервер отвечает пакетами «пункт назначения недоступен»; в результате атакуемая система оказывается перегруженной и не может отвечать на запросы.

На сегодняшний день DDoS-атаки считаются одной из самых серьезных киберугроз. Опасность DDoS намного выше, чем опасность вирусов, разного рода мошенничества и фишинга.

Каковы наиболее распространенные последствия DDoS-атак?

Полная остановка бизнес-процессов. В результате атаки все процессы, которым требуется сеть, могут быть остановлены. В зависимости от типа атак поток трафика может перегружать серверы или снижать пропускную способность интернет-соединения. В результате сервисы и сайты недоступны до окончания DDoS-атаки и устранения ее последствий.

Репутационный ущерб. Если в компании есть службы, работающие круглосуточно и без выходных, даже незначительные простои могут вызвать проблемы. По данным «Лаборатории Касперского», 23% компаний считают репутационный ущерб главной угрозой для бизнеса.

Технические трудности. Если сбой носит глобальный характер или основные сервисы недоступны длительное время, компании вынуждены разворачивать системы резервного копирования. Это не всегда просто, требует времени и дополнительных ресурсов.

Снижение эффективности защиты. Все инструменты безопасности имеют лимит обрабатываемых запросов в секунду. Если он будет небольшим, часть ложных запросов останется неконтролируемой, что может привести к критическим ситуациям. Например, под видом DDoS-атаки хакеры могут внедрить в сервисы вирусы-шифровальщики или похитить корпоративную информацию.

Дополнительные расходы. Для отражения DDoS-атак и восстановления рабочего режима нужны дополнительные ресурсы и специалисты, а это дополнительные затраты.

Если еще месяц назад атаки были примитивными и плоскими, от них было легко защититься, то сегодня тенденция меняется. С каждым днем ​​они становятся все умнее и непредсказуемее.

Наш опыт: кейс CoMagic и UIS

До 24 февраля платформа регулярно подвергалась мелким атакам. Чаще всего они были кратковременными, с ними спокойно справлялись инженеры и дополнительные автоматизированные системы. Основной причиной таких атак является конкуренция. 24 февраля началась целенаправленная массированная атака на сервисы компании.

Пик самых серьезных атак пришелся на апрель. Первая атака началась 11 апреля и продолжалась 2,5 часа.

Отчет об инциденте выглядит очень «скромно» (стандартный отчет для одного из UPLINK):

Отчет

11 апреля также были атаки на операторов «большой тройки». Например, график обращений клиентов Мегафон о наличии проблем с услугами интернета и телефонии с портала Downdetector.

Сбои в обслуживании

Изучив проблему, инженеры выяснили, что при таких атаках «страдают» региональные номера, предоставленные одним из операторов. 12 апреля началась самая сложная и затяжная атака, продолжавшаяся 28 часов с «перерывом на обед», которая в пиках достигала более 30 Гбит/с вредоносного трафика. Именно тогда оператор вместе с инженерами компании разобрался, почему страдают региональные номера.

атаки

График: начало атаки и ее рост в сети УИС для первого UPLINK: «разгон» за 20 минут с 0 до 10 Гбит/с вредоносного трафика 13 апреля 2022 11:38–12:02

Сухие цифры отчета не передают уровень нагрузки, но факты остаются фактами (15 Гбит/с вредоносного трафика 13 апреля в пиках и это только один от UPLINK.):

Отчет об атаке

Расписание: 20-часовая атака на сеть UIS/CoMagic с 11:38 13 апреля до 09:00 14 апреля.

атаки

Следующее нападение произошло 18 апреля. В течение дня компания подвергалась нападениям 51 раз. На основании внутреннего общения с инженерами других телефонных операторов, предположительно, алгоритм был следующим: в разговоры клиентов пытались внедрить дополнительную информацию в виде экстремистской записи голоса. 51 атака — это примерно 180 тысяч попыток взломать беседу. Благодаря своевременным действиям мы не получили никаких подтверждений того, что это удалось.

атаки

График: пример всплеска медиатрафика за период 10 минут — атака происходит каждые две минуты

атаки

График: Начало атаки медиатрафика в 7:22 утра — скачок с 300 полезных звонков до 1000 за несколько минут

26 апреля была попытка атаки на сайт, которая была заблокирована через полторы минуты после начала.

Атака на сайт

График: атака на uiscom.ru 26 апреля на скорости 6 Гбит/с

27 апреля произошло самое жестокое нападение. Хакеры под видом клиентов, использующих веб-софтфоны компании, начали одновременно совершать целенаправленные действия. Первые 7 минут были небольшие проблемы: клиенты не могли один раз пройти звонки или регистрацию. Инженеры быстро выяснили, в чем проблема, и устранили ее.

Отметим, что за все время атак, которые продолжаются по сей день, сервисы платформы ни разу не падали и продолжают стабильно работать в штатном режиме. Это подтверждает, что все предпринятые меры оказались своевременными и правильными.

Что сделано:

1. Созданы резервные каналы связи.

2. Приобретено ПО для резервного копирования для фильтрации трафика.

С декабря начались работы по обеспечению безопасности. К 1 марта был достигнут двукратный запас прочности, мощности и отказоустойчивости. Даже если один из серверов компании в кластере будет взломан, он будет заменен таким же, безболезненно «взяв на себя» нагрузку. Это не модернизация, это расширение производительности и мощности оборудования.

Кроме того, для обеспечения безопасности используются дополнительные службы защиты. Компания, как оператор связи, имеет достаточно гибкую и развитую инфраструктуру, способную фильтровать входящий трафик в зависимости от страны.

3. Собрана команда профессионалов

Все новейшие и самые мощные средства защиты не чета человеческим ресурсам.

Как устроена команда?

Правила просты — если вы видите угрозу, сообщите об этом инженеру. В зависимости от того, какой сегмент подвергается атаке, инженеры по эксплуатации останавливают ее и передают информацию коллегам, отвечающим за тот или иной сегмент.

Главное правило: организовать бесперебойную связь отделов и оперативность работы.

Общение происходит на уровне руководителей отделов. Они отказались от больших чатов в пользу «узких» голосовых каналов, где задачи решают 3-4 специалиста.

Рекомендации

Чтобы минимизировать риски DDoS-атак и оставаться на плаву, мы рекомендуем:

  • создать резервный канал;

  • усилить мощность оборудования;

  • приобрести дополнительные средства фильтрации и защиты;

  • выбирайте провайдера с умом. Компания, которая может предложить защиту от атак, услуги резервного копирования.

Аналитическая информация для специалистов SEO, SMM. Продвижение сайта в Яндекс, Google, Вконтакте и других социальных сетях. Обучение востребованным профессиям в сфере IT. Настройка рекламных компаний в интернет. Маркетинг. Анализ рынка. Полезные секреты проведения рекламных компаний.

Кнопка «Наверх»