Директор платформы облачной киберзащиты Solar Space ГК "Солар" (дочерняя компания Ростелеком, работающая в сфере кибербезропасности) Артем Избаенков – о причинах и основных способах защиты от DDoS – атак.
Кабельщик: Характер атак в последнее время изменился?
Артем Избаенков: DDoS – атак в целом стало больше. Их цели начали смещаться: для организаторов важно донести информацию об атаке до как можно большего количества людей. Им, в первую очередь, нужен хайп. Раньше зачастую причиной атак была конкуренция, а теперь главное – PR – эффект. Атаковать мелких операторов легче, они хуже защищены. Зато СМИ об этом напишут и получится хайпануть.
Среди атакуемых отраслей в топе – IT телеком, финсектор, органы государственной власти. Но если раньше почти все атаки были направлены на организации Центрального федерального округа, сейчас идет смещение на Дальний Восток, Сибирь, Урал, Поволжье. ЦФО нет смысла атаковать, так как он хорошо защищен. Да, они пытаются, но это безуспешные атаки.
– Какие основные способы защиты существуют сегодня?
– Операторы связи выстраивают эшелоны защиты, чтобы DDoS не парализовал работу каналов связи. Бизнесу тоже нужно обеспечить защиту: и каналы обезопасить, и инфраструктуру. Сначала строится защита каналов как фундамент, затем – защита приложений, далее – защита от ботов и защита от взлома. На рынке ИБ сейчас очень много подобных предложений, среди них есть и вполне доступные для малых операторов связи. Речь идет о шаблонизированных решениях на основе искусственного интеллекта – такова, например, наша платформа облачной киберзащиты.
– Насколько эффективны системы защиты, которые внедряет государство?
– Есть трансграничные устройства, которые стоят на всей сети России, и есть национальная система противодействия атакам (НСПА). У нее прекрасный функционал, который позволяет верхнеуровнево защитить свою инфраструктуру. ГРЧЦ сделали эту систему общедоступной для страны. Они даже мониторят некоторые крупные атаки и защищают компании бесплатно. Если у тебя произошла DDoS – атака, ты всегда можешь к ним обратиться, они перемаршрутизируют трафик и тебя защитят. Все это качественно сделано и реально работает. Но надо понимать, что атаки бывают разные. От грубого, стандартного DDoS они эффективны. А чтобы обезопасить себя от более тонких атак ботов, от взлома, нужно или иметь специальное решение в собственной инфраструктуре, или пользоваться облачными провайдерами.
– А если говорить о телекоме, какие системы, из тех, что используют операторы, вещатели, наиболее уязвимы?
– Условно говоря, требует защиты все, что "снаружи", что доступно по IP – адресам. И начинать надо прямо с канала связи. Потому что нарушить телевещание, на самом деле, не так уж и сложно. Допустим, вы арендовали какое – то оборудование в ЦОДе. Злоумышленники специально арендуют рядом площадку, и с нее начинают атаки. Никакие национальные системы не отследят этот трафик. Это будет peer – to – peer атака, то есть между собой. Такие системы можно задействовать, и в России сейчас очень большой бум на них. Если раньше мы видели российского трафика в атаках порядка 10 – 15%, то сейчас эта цифра составляет 30 – 40%, именно с арендованных мощностей внутри страны. Я звонил, например, в один из коммерческих новосибирских ЦОД, где было 4 тыс. арендованных виртуальных машин, с которых происходили атаки. А они мне говорят: ну и что?
– А почему никто это не контролирует, например, правоохранители?
– Регуляторы инициировали законы о том, что к хостингу будет больше требований. Это замечательно. Требования есть, но дальше – ответственность за бизнесом. Допустим, началась атака. Компания видит, что нелегитимный трафик идет из определенного ЦОДа. Нужно обращаться в правоохранительные органы, писать заявление. И только когда заведут уголовное дело, дойдут руки до хостинга – его на полном основании отключат.
– Слишком бюрократично и долго получается. Может быть, нужны законодательные инициативы, которые бы позволили эффективнее решать проблему?
– Единственный способ – сократить путь от заявления до момента отключения этих сервисов. Так сделали с фишинговыми атаками. Есть домены, сайты, на которых публикуются террористические документы, которые нарушают закон. И здесь так автоматизировали систему, что эти сайты, могут быть отключены без заведения уголовных дел, в течение часа. Если бы в случае с DDoS – атаками было аналогичное решение, это дало бы больше стабильности. Я недавно был в Белоруссии, там эта проблема практически решена.
– Есть инициатива – законодательное ограничение для компаний, чтобы они не могли использовать западные решения в случае существования отечественного аналога. Это как – то может повлиять на ситуацию?
– Пока сохраняются возможности параллельного импорта, компании будут выбирать более мощное оборудование западных поставщиков. И что касается непосредственно DDoS, так как это атаки на отказ в обслуживании, генерируется огромное количество трафика. Чтобы с ним бороться, нужно его очень много перерабатывать – нужны очень производительные системы очистки трафика. Но уже сегодня можно гордиться тем, что программное обеспечение на них – отечественной разработки, таких решений много и они очень эффективны. Причем их уважают на международном рынке.
– Что можете посоветовать в плане защиты компаниям из телеком – отрасли?
– Не нужно не полагаться на русский авось. Инфраструктура любой телеком – компании поддерживает бизнес – процессы, которые напрямую влияют на уровень сервиса для корпоративных и частных клиентов, госзаказчиков. На этом уровне развития уже не работают отдельные решения, требуется комплексный подход к кибербезопасности. На первом этапе необходимо провести аудит всех цифровых активов компании и планов развития инфраструктуры, сервисов и телеком – продуктов в среднесрочной перспективе. Далее аналитики оценивают тренды киберугроз, мотивы и паттерны поведения злоумышленников, тактики взломов, которые используют хакерские группировки. Не менее важен и анализ технологических трендов в IT – и ИБ – отрасли. Все эти данные необходимы для разработки полноценной стратегии кибербезопасности. Она включает финансовую оценку рисков и методы снижения потенциального ущерба, план интеграции необходимых ИБ – решений: технологии сетевой безопасности и защиты данных, класс решений по управлению доступом и безопасной разработке и др. "Последняя миля" этого проекта – подключение сервисов ИБ. И когда вы закупите решения и интегрируете их, не нужно останавливаться. Решения надо проверять, чтобы понять, как они будут работать в условиях реальной атаки, например, в случае DDoS.
