Когда много — не всегда хорошо

Загадка для ГИКов безопасности: В той или иной степени, Его негативное влияние испытывают большинство пользователей «Паутины». Он постоянно на слуху, хорошо изучен, существует много методов борьбы с Ним, но мало кто может похвастаться тем, что победил Его полностью. Он входит в ТОП-5 современных угроз информационной безопасности, достаточно регулярный гость Интернет-периметра. Трофейные экземпляры попадаются не часто, но если приходят — то «громко» и «больно».

Речь сейчас идёт, конечно же, о DDoS. Так почему же мы всегда откладываем его на потом?

Для непосвященных постараюсь очень кратко, и, по сути.

Distributed Denial of Service attack — вид сетевых угроз, направленный на переполнение ресурсов оборудования, конкретного сервиса или сетевой инфраструктуры в целом, с целью невозможности их использования «легитимными» пользователями.

Как правило, выделяют четыре типа DDoS-атак:

1. Переполнение доступных ТСР-соединений;

2. Переполнение пропускной способности каналов (т.н. вольюметрические атаки);

3. Истощение вычислительных мощностей оборудования (т.н. фрагментационные атаки);

4. Атаки на конкретные приложения.

Если первые три типа были всегда, то последний — некая «инновация». Объяснение тому очень простое: они очень точечные, максимально эффективные, потому что используют уязвимости именно этих приложений, и, самое главное, они очень сложно детектируемые, поскольку практически неотличимы от легитимного трафика.

Немаловажно наличие «коэффициента усиления» за счёт всевозможных технологий рефлекции. Примером можно привести очень популярную на сегодняшний день технологию DNS амплификации/рефлекции (Small request, big reply) с использованием бот-нетов.

Вторая новинка заключается в том, что атаки стали многостадийными (наподобие волн, когда каждая последующая больше своей предшественницы) и комбинированными (мульти-векторными), направленными одновременно на разные протоколы, разные приложения и разные уязвимости.

Как же с ними бороться?

1. На уровне конечного потребителя услуг. Более мощные приложения, более мощное сетевое оборудование (более производительные межсетевые экраны и балансировщики нагрузки, как первая линия атаки), специализированные решения (как в виде программно-аппаратных комплексов на сайте конечного пользователя, так и виде облачных сервисов), ну и, конечно же, специализированные техники (temporary bandwidth burst, black-holing и т.д.).

2. На уровне оператора предоставления услуг. Конечно же, идеальным будет тот случай, когда оператор будет беспокоиться «очисткой» пользовательского трафика перед доставкой его конечному потребителю. Но BCP 38 (или RFC2827), лучшим практикам по уменьшению влияния DDoS активности, скоро исполнится 14 лет, а операторы до сих пор не реализовали все описанные рекомендации. На рынке появилась специализированная услуга «очистки» в «центрах очистки трафика», но она почему-то не сильно востребована на рынке, и, следовательно, не особо развивается на уровне операторов. Но мы склонны предполагать, что рано или поздно те операторы, которые первыми реализуют данные услуги, окажутся в более благоприятной среде с точки зрения качества предлагаемых услуг.

3. Комбинированный. Всё и сразу, когда операторское оборудование взаимодействует с установленным у конечного потребителя. Как вы понимаете, это — наиболее эффективный метод, но по тем или иным причинам достаточно редко встречающийся, в виду своей комплексности и сложности реализации.

Учитывая все вышесказанное, очень непросто найти решение, которое бы позволяло реализовать все требования, как на уровне провайдеров, так и на уровне включения корпоративных клиентов, и к тому же удовлетворяло бы четырем основным критериям качественного продукта: экспертиза, технология, фокусность и доверие.

R&D команда нашей компании очень тщательно подошла к поиску решений на рынке. После достаточно долгого изучения имеющихся на рынке вариантов мы остановили свой выбор на продуктах компании Arbor Networks.

В отличие от большинства компаний, которые перепозиционировали свои продукты периметровой безопасности в «DDoS-защиту» на волне интереса клиентов к защите от DDoS-атак, Arbor Networks уже 14 лет занимается созданием специализированных систем: как для операторского, так и для enterprise сегментов.

Одно из важных и уникальных отличий этого производителя — особые доверенные взаимоотношения с клиентами, в том числе с большинством крупнейших операторов связи мира. Arbor использует эти отношения для анализа трендов в Сети и для улучшения своих продуктов. Благодаря этим взаимоотношениям, Arbor Networks имеет доступ к анализу свыше 70 Тбит/c мирового трафика, а также к honeypot-ам, установленным у наиболее крупных операторов («honeypot» — ресурс, представляющий собой приманку для злоумышленников для последующего анализа атак).

Отдельно стоит отметить ключевые разработки Arbor, которые оказали сильное влияние на отрасль защиты от DDoS и информационной безопасности в целом:

• Fingerprint Sharing Alliance — возможность обмена сигнатурами атак между клиентами Arbor. Это может использоваться для блокировки атаки, например, у вышестоящего оператора связи.

• BGP FlowSpec — возможность создания правил фильтрации трафика с помощью BGP. Технология, разработанная с участием Arbor, на данный момент используется большинством крупнейших облачных центров очистки трафика.

• Cloud Signaling — возможность для корпоративного устройства защиты запросить помощь у провайдера связи. Это требуется в случае атаки на канал связи между оператором и его клиентом: в этом случае канал «забивается», устройство на площадке клиента не спасает, и оно запрашивает помощь в очистке у оператора связи.

• Использование stateless подходов для очистки трафика — общепризнанным фактом является слабый иммунитет традиционных систем периметровой безопасности (IPS, межсетевые экраны и т.п.) к DDoS-атакам. Это вызвано необходимостью создавать и поддерживать таблицу сессий. При DDoS-атаке чаще всего памяти для данной таблицы не хватает, либо не хватает процессорной мощности для добавления новых сессий — злоумышленники прекрасно осведомлены о данном факте и часто его используют.

Продукты Arbor Networks обеспечивают предсказуемое поведение системы очистки, так как вредоносный трафик отбрасывается в соответствии с настроенными противомерами. Кроме того, решение избегает использование поведенческих алгоритмов для блокировки трафика, особенно если речь идет о TCP уровне. Не секрет, что многие продукты, декларируя преимущества поведенческого анализа хостов на уровне работы TCP стека, предпочитают умолчать о высокой вероятности полной блокировки сервиса либо о неспособности детектировать атаку в случае, когда атакующие хосты используют грамотно рандомизированные параметры в IP и TCP заголовке.

Продукты Arbor поставляются с грамотно сформированными профилями настроек по умолчанию для защиты HTTP/DNS/MAIL и прочих типов серверов. Это позволяет, к примеру, ставить решение Pravail APS «из коробки» для защиты сервисов под атакой и обеспечить защиту — период «обучения» системы не требуется. Однако пользователь всегда может провести «тонкую настройку» системы под себя и свои приложения: использовать блокировку трафика по странам, выбрать уровень реагирования на защиту от известных бот-нетов (более 700 сигнатур), анализировать DNS-ответы для выявления DNS Dictionary атак, настроить реакцию систему на медленные HTTP атаки и так далее.

Резюмируя все сказанное, не хотелось бы создать впечатление, что на рынке есть всего лишь один производитель, который может решить ваши проблемы в области DDoS-атак. Наша задача — показать, что при прочих равных условиях есть ряд технологических уникальных возможностей, которые действительно важны в этой области, с тем, чтобы каждый для себя самостоятельно сделал выводы относительно применимости данного класса решений.

Мы же, со своей стороны, может гарантировать, что рынок получит не только самый классный продукт, но также и самую лучшую инженерную поддержку в области инсталляции и поддержки решения.

Подробнее о решении узнайте на вебинаре.

Публикуется на правах рекламы.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365