| +11 голос |
|
Фахівці з кібербезпеки компанії Netscout, що знається на управлінні продуктивністю додатків і мережевих продуктів, а також захисті від кібератак і зокрема DDoS, коментують декілька поширених хибних тверджень щодо захисту інформаційної інфраструктури підприємства.
Коли справа доходить до кібербезпеки та, зокрема, DDoS-атак, питання полягає не в тому, чи ваша організація стане мішенню, а коли, вважать експерти. Оскільки зловмисники постійно вдосконалюють методи кібератак, ризик негативного впливу такого нападу на бізнес, включаючи збільшення витрат, втрату доходу через простої або удар по репутації, більший, ніж будь-коли.
Щоб визначити ризик DDoS-атаки для вашої організації та бути готовим зупинити або пом’якшити наслідки, потрібно бути в курсі актуальних тенденцій DDoS-атак і ефективних методів захисту. Завжди можна покращити стан безпеки й пошук можливих прогалин треба починати з критичного погляду на поточні припущення.
1. «Ми впевнені, що контролюємо ризики кібербезпеки. Атак давно не було».
Чи має ваша організація інструменти об’єктивного контролю стану справ щодо DDoS-атак (відмова в обслуговуванні) на власну інфраструктуру та додатки? Згідно зі статистикою Netscout, кількість таких нападів у світі щорічно зростає принаймі на 18% та у 2022 році перевищила поріг у 13 млн. Це в середньому понад мільйон атак на місяць. Причому DDoS стають все складніші й близько 40% від загальної кількості складають мультивекторні атаки.
Поєднання різноманітних мотивацій та безлічі дешевих інструментів й послуг DDoS-атак суттєво підвищує ймовірність стати мішенню.
2. «DDoS-атаки просто виявити та ми знаємо, як на них відповісти».
Сучасна DDoS-атака складніша, ніж заведено думати. Як відомо, існує три основних типи DDoS-атак. Перший – об'ємний. Це саме те, що більшість людей зазвичай вважає власне DDoS. Такі атаки призначені для заповнення інтернет-каналів нелегітимним трафіком. Об’ємна атака може сягати 1 ТБіт/с й тривати годинами. Таке і справді важко не помітити. Але факт полягає в тому, що велика кількість DDoS-атак мають потужність менше 1 ГБіт/с і тривають лише кілька хвилин.
Крім того вирізняють ще два типи DDoS-атак – State Exhaustion (виснаження стану) та Application Layer (прикладного рівня). Вони можуть мати різні вектори та мету. Але головне, що вони складніші, непомітніші та набагато небезпечніші.
Атаки State Exhaustion створюють навантаження нелегітимними TCP-з’єднаннями та призначені для заповнення таблиць стану в пристроях зі збереженням стану, таких як брандмауер, концентратор VPN або балансувальник. Коли ці таблиці станів заповнюються, легітимні підключення припиняються, а служби, що стоять за цими пристроями, стають не доступні.
Атаки на рівні додатків набагато менші за розміром, тому їх дуже важко виявити, та призначені для повільного виснаження ресурсів серверів додатків. Приклади включають потоки HTTP GET/PUT, часткові запити, повільне читання або атаки з надмірним корисним навантаженням.
Іноді невелика DDoS-атака одного з основних типів є частиною мультивекторного нападу та має на меті відвернути увагу під час інших типів кібератак.
3. «Добре, що ми в безпеці – у нас є провайдер і брандмауери для захисту від DDoS».
Звичайно ваш провайдер має бути в змозі зупинити велику об’ємну атаку, потужність якої порівнянна з шириною вашого інтернет-каналу. Але скоріш за все йому буде важко виявити та зупинити менші й короткочасні об’ємні атаки, напади виснаження стану та особливо на прикладному рівні. Такі атаки потребують локального рішення для захисту від DDoS-атак без збереження даних. Цей локальний захист розгортається перед вашим брандмауером із контролем стану або іншими пристроями з контролем стану, такими як концентратор VPN або балансувальник навантаження.
4. «Чому не вистачає брандмауера?»
Є кілька причин, чому не варто покладатися лише на брандмауери.
- Брандмауери дійсно пропонують елементарний захист від атак DDoS, такий як базовий захист від затоплення SYN, UDP, ICMP. Але навіть цей обмежений захист впливає на ефективність більш важливих функцій, таких як пропускна здатність інспекції сьомого рівня, розшифрування SSL і завершення VPN;
- Оскільки брандмауер покладається на перевірку двонапрямних з’єднань, він не може працювати в сценарії асиметричної маршрутизації, де видно лише вхідні пакети DDoS-атаки;
- Брандмауер не надасть вам докладної видимості трафіку DDoS-атаки, що пропадає;
- Брандмауер не матиме можливості в разі необхідності зв’язатися з хмарним рішенням очищення для пом’якшення справді великих атак DDoS.
Тому для розв’язання задачі захисту від DDoS-атак бажано використовувати сучасне ефективне рішення.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
