Распределенные атаки на отказ в обслуживании (DDoS, Distributed Denial of Service) впервые появились на страницах мировых СМИ в 1999 году, когда были выведены из строя сервисы крупнейших корпораций, таких как CNN, eBay, Amazon, E-Trade.nnС тех пор прошло много лет, однако до сих пор DDoS-атаки не утратили своей актуальности: они и сегодня остаются эффективным способом экономического и политического давления.nnБолее того, DDoS приобретает все более разрушительный характер: из строя выводятся уже целые дата-центры, и все чаще в фокус организаторов DDoS-атак попадают финансовые учреждения. Финансовые и коммерческие потери из-за DDoS (упущенный доход, отток клиентов, ухудшение репутации) намного превышают операционные убытки.nnВ среднем доля финансовых и коммерческих убытков в общей величине ущерба, согласно исследованию института Ponemon, оценена в размере 86%. По данным исследования Qrator Labs «Информационная безопасность в финансовом секторе 2017», почти половина опрошенных банков испытывала по крайней мере одну DDoS-атаку в прошедшем году.nnЕсли раньше злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мульти-векторный характер (то есть могут быть направлены сразу на несколько различных уровней сетевой инфраструктуры модели OSI). Давайте рассмотрим основные техники атак на финансовый сектор и расскажем, как защититься от них, чтобы сохранить доступность ресурсов и не потерять лояльность клиентов.n
Амплификаторы, ботнеты и пострадавшие банки
Начиная с первой половины 2010-х годов и до сегодняшнего дня одной из самых популярных техник DDoS являются атаки с использованием техники амплификации. Атака типа Amplification (усиление) осуществляется следующим образом: на сервер, содержащий уязвимость, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. Фактические затраты злоумышленника на инфраструктуру, необходимую для организации атаки, в несколько десятков раз меньше чем требуются компании-жертве, чтобы самостоятельно нейтрализовать такую атаку. Такие инциденты были наиболее распространены в 2014 году и продолжили тенденцию в 2015-м.nnСегодня техника амплификации «помогает» в проведении высокоскоростных DDoS-атак на ресурсы крупнейших финансовых организаций.nnС 23 по 27 февраля 2018 года по всей Европе прокатилась волна атак с использованием техники амплификации на основе протокола memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы).n
До сих пор DDoS-атаки не утратили своей актуальности: они и сегодня остаются эффективным способом экономического и политического давления
Среди атакованных — платежная система QIWI, специалисты которой подтвердили факт успешно нейтрализованной атаки полосой 480 Гбит/с UDP-трафика от скомпрометированных memcache амплификаторов.nnБотнеты — не менее популярный, а в последнее время «топовый» метод проведения DDoS-атак как в России, так и за рубежом. 19 сентября 2012 года массированные атаки поразили ведущие американские банки — Bank of America, JPMorgan Chase, Wells Fargo, U.S. Bank и PNC Bank.nnЭто была самая крупная в истории кибератака на финансовые организации, в результате которой ресурсы корпораций были не доступны в течение суток. Злоумышленники генерировали мусорный трафик с помощью ботнетов. Считается, что атака была организована Ираном в ответ на экономические санкции, введенные США и Евросоюзом против иранских финансовых учреждений.nnВ России сфера DDoS также не отстает. Так, 8 и 9 ноября 2016 года были атакованы веб-сайты как минимум пяти известных финансовых организаций из топ-10, среди них «Сбербанк», «Альфа-Банк», «Открытие», «ВТБ Банк Москвы» и «Росбанк». Атаки были организованы с помощью ботнетов, включающих десятки тысяч территориально распределенных машин интернета вещей. Максимальная полоса атак составила около 2 Гб/с.nnОднако это еще не все. Начало 2018 года, а именно 28 января, было ознаменовано самой массированной за последние годы DDoS-атакой на мировой финансовый сектор с помощью нового варианта ботнета Mirai: бот-сети loTroop. Лежащий в ее основе зловред способен проникать на сетевые и loT-устройства не только подбором логинов и паролей, но также посредством эксплуатации уязвимостей. От атаки пострадали крупнейшие голландские банки — ING, ABN Amro, Rabobank.nnСогласно данным Recorded Future, полоса атак в пиковые моменты достигала до 30 Гбит/с. В нападении приняли участие не менее 13 тысяч зараженных устройств, из которых 80% были роутерами производства MikroTik, остальные — серверы Apache и IIS, роутеры от Ubiquity, Cisco и ZyXEL, веб-камеры, телевизоры и видеорегистраторы. По мнению аналитиков, задачей кибератаки были компрометация финансовых организаций и нарушение работы серверов в сфере обслуживания.n
Безопасность превыше… DDoS
Вне зависимости от того, какого типа атака обрушивается на финансовую организацию, для защиты существуют единые рекомендации, которые помогут избежать финансовых и репутационных потерь.nnВ современных реалиях, когда арсенал злоумышленников и техники атак постоянно развиваются и сложные DDoS-атаки могут исчерпать всю емкость интернет-канала «жертвы», на стороне атакуемого проблему не решить: эффективная защита может быть обеспечена только при привлечении внешнего решения — операторского класса или облачного. Это касается и небольших банков, и крупных финансовых корпораций.nnБанки, рассчитывающие на свои силы в защите и устанавливающие специализированные устройства (CPE, Customer Premises Equipment) в стойку с оборудованием в своем центре обработки, рискуют стать легкой жертвой злоумышленников.nnКанальных емкостей компаний, даже самых крупных, для противодействия текущим вызовам DDoS-атак уже не хватает: нападения устраиваются с помощью огромных ботнетов, которые очень быстро забивают канал жертвы мусорным трафиком. Поэтому с точки зрения эффективности решения на стороне банка окончательно устарели.nnДа и операторские решения не всегда являются панацеей: сети провайдеров не рассчитаны на экстремальные нагрузки и зачастую не могут нейтрализовать высокоскоростные атаки (если в 2010 году скорость атак была порядка 100 Гбит/с, в 2013-м — 300 Гбит/с, то в 2018 году скорость достигла 1,7 Тбит/с).nnСложная атака может перекрыть всю имеющуюся канальную емкость оператора, что выведет из строя большинство его клиентов.nnС 2016 года произошел переход в защите от чистых операторских решений к специализированным гео-распределенным сервисам, поскольку распределенной угрозе можно эффективно противодействовать, только имея распределенную сеть.n
Подходы к обеспечению безопасности должны меняться в соответствии с быстрыми переменами ситуации на рынке
Если свой выбор банк остановил на облачном решении, то его обязательно рекомендуется проверить на наличие следующих характеристик:n
- Распределенность — должно быть несколько географически разнесенных узлов, чтобы вывод из строя любого из них не оказывал влияния на сервис
- Полная автоматизация процесса фильтрации и постоянная фильтрация трафика 24/7. «Ручное» вмешательство порождает ошибки и не всегда приводит к нужному результату. Поэтому необходимо проводить глубокий анализ трафика и поведения пользователей в автоматическом режиме.
Взломы и дыры
Помимо защиты от DDoS-атак, финансовым организациям следует позаботиться и о защите от взлома.nnЧасто, запуская DDoS-атаку в качестве отвлекающего фактора, злоумышленники используют уязвимости приложений, чтобы получить несанкционированный доступ к данным, включая персональную информацию о клиентах, их счетах и прочие важные данные. Поэтому необходимо не только своевременно обнаружить и блокировать атаки на приложение, но и устранить возможность эксплуатации уязвимостей.nnЭффективные системы защиты от взлома должны содержать следующие компоненты:n
- проактивный фильтр, блокирующий большую часть атак на веб-приложение,
- систему обнаружения уязвимостей и система Virtual Patching (виртуальные патчи), защищающую приложения сайта от неисправленных уязвимостей, обнаруживая и блокируя попытки атак и вторжений в режиме on-line.
Не теряют своей актуальности и уязвимости у вендоров сетевого оборудования, которые часто являются одним из элементов атак на отказ в обслуживании. Используя «дыры» в маршрутизаторах, коммутаторах и других коммутационных устройствах, злоумышленники могут удаленно выполнять вредоносный код. проводить DDoS-атаки и перезагружать систему.nnНовости об уязвимостях появляются с завидной регулярностью, производители выпускают необходимые патчи, которые по идее должны решить проблемы.nnОднако в действительности отнюдь не все администраторы устанавливают обновления вовремя и максимально быстро, что зачастую может привести к фатальным последствиям для любой компании, и в особенности для финансового учреждения.nnЧто можно и нужно сделать, чтобы сетевое оборудование гарантированно не стало жертвой атаки: рекомендуется убедиться в обновлении всех маршрутизаторов и коммутаторов. а также отслеживать дату конца срока эксплуатации оборудования. Когда обслуживание вендором закончится, система вряд ли получит обновления, закрывающие уязвимости.nВедение банковского бизнеса в глобальной сети, по сути, ничем не отличается от деятельности платежных систем или онлайн-ретейла: для них актуальны те же угрозы, те же риски и те же правила защиты, неважно продаете ли вы автомобили, кредитуете через интернет или предоставляете онлайн-доступ к услугам банка.nnБезусловно, финансовый сектор находится на линии огня — уже не осталось банков, которые хотя бы раз не испытали кибератаку. Уровень конкуренции слишком высок, сегодня вопрос уже не в том, атакуют компанию или нет, а в том, когда это произойдет.nnПоэтому крайне важно понимать, что подходы к обеспечению безопасности должны меняться в соответствии с быстрыми переменами ситуации на рынке. Какой бы метод защиты от атак ни выбрала финансовая компания, главное — помнить, что к атакам нужно быть готовым заранее, а построенная ИТ-инфраструктура должна полностью соответствовать объемам бизнеса компании.n
Организовать активную защиту сети предприятия от кибер преступников могут профессионалы из itfb. Свяжитесь с нами.