В области защиты веб-ресурсов одна из значимых киберугроз современному бизнесу – ковровые DDoS-атаки (от англ. Carpet Bombing – ковровые бомбардировки) на инфраструктуру крупных телеком-провайдеров, на чьих сетях связи базируются цифровые сервисы огромного числа клиентов: сайты и приложения крупнейших корпораций, среднего и малого бизнеса. Сами провайдеры за последние годы тоже успели разрастись в настоящие экосистемы цифровых услуг c десятками, если не сотнями высоконагруженных сервисов.
Эти два фактора делают цифровые экосистемы провайдеров привлекательным объектом для злоумышленников: ковровая DDoS-атака способна одномоментно сделать недоступными сервисы самых разных компаний. Атаки типа Carpet Bombing похожи на лавину: начинаются практически незаметно и могут привести к очень серьезному ущербу. Защитить же от них столь масштабный бизнес с разнородным набором сервисов непросто, поэтому количество ковровых DDoS-атак продолжает расти год от года. Есть основания полагать, что провайдеры – лишь первая мишень. Уже сейчас очевидно, что хакеры нацелены на максимально широкий и заметный эффект от атак, поэтому любая организация, предоставляющая популярные в России цифровые сервисы, может стать следующей жертвой.
Надежная защита в данном случае не может быть обеспечена только за счет специализированных решений класса Anti-DDoS, здесь важен системный подход. Рассмотрим, какие этапы он должен включать.
Специфика ковровых DDoS-атак на цифровые экосистемы провайдеров
Ковровая DDoS-атака – это атака одновременно по множеству IP-адресов: от разнообразных ресурсов сети до конкретных сервисов. В силу своей масштабности такая атака может привести к массовым отказам как отдельных приложений, так и самой инфраструктуры. Основная задача злоумышленников в данном случае – прервать доставку данных и взаимодействие пользователей с сервисами, функционирующими на базе инфраструктуры провайдера.
Сложность в защите от ковровых DDoS-атак, во-первых, состоит в том, что такая атака на конкретный сервис или ресурс сети может быть не сразу детектирована. Это связано с тем, что на конкретный IP-адрес или сеть IP-адресов направляется относительно небольшой объем трафика, чтобы системы защиты не сразу на него среагировали. Однако суммарно в результате распределения по множеству адресов интенсивность таких атак составляет сотни Гбит/с, что является вызовом для любой, даже самой крупной организации, и в том числе для провайдеров.
Во-вторых, для отражения такой атаки компании может не хватить производительности всех используемых систем фильтрации трафика. Кроме того, поскольку под атакой одновременно находятся не только ресурсы и сервисы самого провайдера, но и его внешних заказчиков, такая атака создает пиковую нагрузку на персонал, отвечающий за сетевую безопасность.
Сложность защиты цифровых экосистем от ковровых DDoS-атак состоит еще и в том, что в отличие от, скажем, банков, где в основном используется однородное оборудование, масштабные экосистемы часто формируются путем приобретения совершенно разных бизнесов с разным парком телекоммуникационного оборудования и ИТ-систем. Иногда они не справляются с интенсивностью атак, что приводит к простою сервисов.
Как обобщенно выглядит инфраструктура цифровой экосистемы телеком-провайдера? В компании внедрена сеть передачи данных, внутри нее развернуты дата-центры, в которых размещаются различные сервисы. По периметру сети расположены маршрутизаторы, которые подключаются к другим провайдерам и осуществляют обмен трафиком. Сервисы через маршрутизаторы обмениваются данными с пользователями посредством сети интернет. Между сервисами и точками доступа в интернет расположены различные средства защиты, например, межсетевые экраны, осуществляющие фильтрацию трафика и защиту ресурсов организации от сетевых атак.
DDoS-атаки могут вестись полностью извне периметра, например, из-за рубежа, но могут и реализовываться изнутри сети с использованием зараженных рабочих станций, IoT-устройств и т.п. Кроме того, злоумышленники применяют технику усиления DDoS-атак и отражения их от легитимных сетей, принадлежащих зарубежным и российским сервисам, что усложняет использование инструментов для их детектирования и блокировки. В случае с ковровой DDoS-атакой ее трафик направлен не только на IP-адреса сервисов экосистемы, но и на маршрутизаторы, межсетевые экраны, DNS-серверы и другие узлы сети. Угроза действительно масштабна и требует соответствующего подхода.
Выстраиваем комплексную защиту
Чтобы обеспечить максимальную доступность всех ресурсов цифровой экосистемы во время ковровой DDoS-атаки, необходимо реализовать правильный комплекс организационно-технических мер – запустить все необходимые процессы и выстроить эшелонированную архитектуру защиты. Поэтапно предстоит сделать следующее:

Провести инвентаризацию ресурсов сети, максимально закрыв используемые для удаленного доступа порты и IP-адреса.
Внедрить и реализовать эшелонированную архитектуру защиты сервисов и узлов инфраструктуры экосистемы.
Выстроить процессы взаимодействия подразделений, задействованных в отражении DDoS-атак, и партнеров (Государственный радиочастотный центр, облачные провайдеры защиты от DDoS-атак).
Внедрить процедуры защиты для продуктов и сервисов, публикуемых в сеть интернет.
Постоянно актуализировать перечень защищаемых ресурсов.
Регулярно сканировать сеть на наличие открытых портов.
Проводить регулярные киберучения.

Рассмотрим подробнее каждый из этих этапов.
Инвентаризация ресурсов сети и устранение нарушений
Только полное и четкое знание о составе и особенностях инфраструктуры может быть залогом устойчивости к возможным атакам на ее сегменты. Помочь в этом может периодический внешний независимый аудит с предоставлением отчетов и рекомендаций по повышению уровня ее безопасности.
Эшелонированная защита
Эшелонированная защита крупных экосистем реализуется в несколько этапов и начинается с архитектуры. Здесь важно обеспечить процессы эксплуатации технических средств подразделениями провайдера – от формирования и поддержки списков доступа на оборудовании передачи данных до постоянного анализа трафика критичных сервисов на наличие DDoS и иных видов атак.
Кроме этого, необходимо использовать инструменты вне рамок сети провайдера, например, ресурсы Национальной системы противодействия атакам (НСПА), которая позволяет блокировать DDoS-атаки, ведущиеся из-за рубежа. Это снижает объем направленного на российские компании вредоносного трафика, но полностью проблему DDoS-атак не решает, поскольку злоумышленники для обхода такой защиты подменяют IP-адреса исходящего трафика на российские, а также используют для отражения различные сайты, наращивающие объемы DDoS-атак.
Дополнительным усилением защиты может стать подключение к облачным провайдерам Anti-DDoS, имеющим, в свою очередь, распределенные узлы анализа и фильтрации трафика.
Процессы взаимодействия подразделений и партнеров
Средства защиты, какими бы продвинутыми они ни были, не работают эффективно без экспертного управления и детализированных отчетов на каждом этапе процесса. Важно определить и зафиксировать роли всех участников процесса защиты от DDoS-атак, метрики по срокам выполняемых операций, а также модель эскалации.
Безопасные процедуры запуска продуктов и сервисов
Важно реализовать процессы тестирования и вывода в эксплуатацию сервисов и продуктов таким образом, чтобы вопросы обеспечения их безопасности были учтены еще на этапах разработки архитектуры и реализации. Любой сервис, публикуемый в сети Интернет, должен быть защищен от DDoS-атак по умолчанию.
Актуализация защищаемых ресурсов
Аудит используемых в продуктах и инфраструктуре IP-адресов должен проводиться регулярно, мы рекомендуем периодичность не реже раза в квартал. Этот процесс можно и нужно автоматизировать, как и получение уведомлений о добавлении или изменении адресов подразделениями, ответственными за защиту от DDoS-атак.
Регулярное сканирование сети
Даже если в организации внедрен подход, обеспечивающий защищенную публикацию в сеть Интернет IP-адресов продуктов и инфраструктуры, их необходимо дополнительно проверять. Это должно делаться на постоянной основе – как минимум, ежеквартально.
Регулярные киберучения
Важно, чтобы процессы противодействия атакам были не только максимально детально описаны и понятны всем участникам, но и доведены до автоматизма. Это достигается и контролируется за счет проведения киберучений, в ходе которых генерируются различные типы трафика, имитирующего DDoS-атаку. Для этих целей могут использоваться как внутренние ресурсы, так и услуги специализирующихся на этом компаний.
Таким образом, киберучения позволяют проверить как корректность и оперативность действий служб провайдера и партнеров, так и эффективность систем защиты. По результатам этих мероприятий формируется перечень задач на улучшение процессов, дополнительное обучение и прочее, что подтверждается следующими учениями – так формируется непрерывный процесс повышения уровня защищенности.
Выводы
Эволюция телеком-операторов в экосистемных игроков с цифровизацией всех процессов доставки продуктов и сервисов до конечных заказчиков сделала их одним из наиболее привлекательных объектов для злоумышленников, и ковровые DDoS-атаки – лишь один из наиболее действенных инструментов, которые используют хакеры. Только постоянная кропотливая работа по совершенствованию средств защиты и архитектуры безопасности компании, по внедрению, актуализации и поддержке процессов защиты позволит минимизировать возможный ущерб, который в итоге несут конечные пользователи сервисов – юридические лица и граждане.
Михаил Горшилин, руководитель направления управляемых сервисов кибербезопасности компании RED Security.