Ежедневно во всемирной сети Интернет происходит порядка 2000 DDoS-атак. В среднем одна такая атака, способная вывести из строя интернет-часть компании на неделю, стоит всего $150. Кроме прямых убытков от сбоя в работе интернет-ресурса, атаки влияют на лояльность пользователей, а также на продуктивность работы персонала. По статистике, 11% респондентов были под атакой шесть и более раз за год, среди тех, кто за последние 12 месяцев был под атакой, 46% «лежали» более 5 часов, а 23% – более 12 часов. Компания «Кселл» разработала и начала предлагать своим клиентам решение, которое может решить проблему с DDoS-атаками очень быстро, не более чем за 3 минуты. Что это за решение и как оно работает, в интервью «Капитал.kz» рассказал Евгений Климов, директор департамента безопасности АО «Кселл».
- Что такое DDoS-атака и как она может повлиять на работу компании?
- DDoS (Distributed Denial of Service) – это распределенные атаки типа «отказ в обслуживании». Современные организации, бизнес-процессы которых завязаны на использовании интернет-каналов, чаще всего подвержены таким атакам. Например, онлайн-магазины, интернет-банкинг в современных банковских организациях, страховые компании, которые принимают заявки или выдают какую-то информацию на своих сайтах. Соответственно, когда компании выстраивают свою ИТ-инфраструктуру, веб-серверы, закупают необходимый интернет-канал, они примерно рассчитывают емкость и количество посетителей, которых эти серверы должны обрабатывать, как по каналу, так и по серверу. Когда злоумышленники понимают, что емкость канала не очень высокая, они могут сгенерировать дополнительную нагрузку, что в свою очередь приведет к простою этого сервиса. Нагрузка создается совершенно разными способами. Во-первых, используются зараженные компьютеры по всему миру, которые по команде из центра начинают одновременно обращаться к этому серверу и тем самым повышают нагрузку. Во-вторых, нагрузка генерится с использованием так называемых амплификаторов – массива некорректно настроенных серверов. Послав на них определенным образом сформированный запрос, можно получить ответ, который в десятки раз больше по объему, чем исходящий запрос. Соответственно, если злоумышленник отправляет на этот сервис запрос, подменяя свой адрес на адрес жертвы, то жертва получает огромный объем информации. Перегружается канал, сервер и ресурс падают. В-третьих, атакующий может эксплуатировать особенности веб-сервиса путем постоянного вызова наиболее ресурсоемких запросов, например, поиск по содержимому на сайте, тем самым повышая на него нагрузку. И если это делается постоянно, кто-то целенаправленно «бомбит» ресурсы, это называется DDoS-атака и приводит к простою ресурса на неопределенный период времени, ровно на столько, на сколько у злоумышленника хватит денег.
- Инициаторами или заказчиками DDoS-атаки могут быть конкуренты?
- Это могут быть конкуренты, обиженные пользователи или партнеры. Но в первую очередь логично предположить, что заказчиками таких атак являются конкуренты. Если проанализировать, именно в тот период, когда распределяются большие рекламные пакеты, почему-то часть интернет-изданий автоматически перестает работать. Случайным образом именно в этот период времени на этот ресурс заказывается DDoS-атака. Когда крупный рекламодатель смотрит, у кого ресурс работает хорошо, а у кого плохо, и видит, что какой-то ресурс недоступен, он начинает сомневаться в том, а давать ли ему рекламные бюджеты.
Часто заказывают DDoS-атаки в интернете обиженные пользователи, есть целый рынок таких подпольных криминальных сервисов и услуг. Их просто найти и стоит это не так дорого.
Третий тип больше присущ банкам. Злоумышленники используют такие схемы, когда с помощью DDoS-атаки прикрывается другое, более серьезное преступление. Например, через интернет-банкинг крадется большой объем денежных средств. Для того чтобы служба безопасности и все ресурсы банка были сосредоточены на чем-то другом, киберпреступники параллельно организовывают DDoS-атаку и все начинают заниматься ею, а деньги в это время уходят.
- Расскажите о вашей новой услуге «Анти DDoS». Для кого она разработана?
- Наше решение позволяет организовать гарантированную защиту от DDoS-атак за счет распределенной архитектуры, которую мы выбрали. Вообще, изначально мы выбирали решение для того, чтобы обезопасить самих себя и гарантировать высокий уровень сервиса нашим корпоративным клиентам и абонентам, то есть постоянную доступность голосовых сервисов, высокий уровень предоставления услуг в области данных. Проанализировав риски, то, что происходит в мире, мы увидели, что телеком-компании начинают атаковать, мы решили проактивно защититься. Выбрали для себя это решение, а потом подумали: «А почему бы не начать предлагать это нашим корпоративным клиентам, которые нас также об этом спрашивают?» Мы предоставляем интернет-услуги, также можем предоставлять и защиту от DDoS-атак. Согласовали с нашим B2B департаментом план действий, провели еще раз анализ рынка с точки зрения того, с кем лучше заключать партнерство, выбрали текущего партнера и совместно с ним предоставляем рынку эту услугу.
- А кто ваш текущий партнер?
- Это российский провайдер системы защиты от DDoS-атак QRator Lab.
- То есть вы предлагаете прогонять трафик через вашу сеть для очистки?
- Стоит начать с того, что в вопросе защиты от DDoS-атак в принципе существуют два подхода. Можно поставить у себя специализированное решение. Многие говорят: у нас в файерволе настроен механизм защиты от DDoS-атак или стоит специальное аппаратное решение, как говорят айтишники, «железка», которая умеет защищать от таких атак. Но и аппаратное решение, и файервол точно так же останутся «узким горлышком» в вашей корпоративной инфраструктуре. Если атака превышает 100 гигабит, то от нее очень тяжело защититься именно аппаратными решениями, потому что ресурсы интернет-канала ограничены. Либо нужно обладать неограниченным ресурсом, что мало кто может себе позволить в наше время. Тогда вообще никакая атака не будет страшна, она просто будет невыгодна атакующему. Либо надо защищаться, соответственно, если поставили «железку», то точно так же атакующий перегружает эту «железку».
Мы пошли немного по другому пути – по пути распределенных центров фильтрации. У нас есть локальный центр фильтрации, который находится здесь, и есть несколько в Европе, США и Юго-Восточной Азии. Весь трафик, который проходит через эти центры или точки, а он все равно через них проходит, если абонент, клиент или атакующий сидит где-то в Европе или в США, все идет через ключевые точки и там уже идет очистка трафика. То есть до Казахстана доходит только очищенный трафик. Вредоносный трафик внутри нашей страны очищается на нашей локальной точке фильтрации. За счет этого мы существенно увеличиваем объем трафика, который можно обработать и очистить.
- Получается, ни аппаратные решения, ни настройки файервола, ни программные решения не защитят компанию от массированной DDoS-атаки?
- С массированной, объемной атакой, продуманной – не справятся.
- Вы предлагаете прогонять трафик через вашу сеть для очистки, но это же увеличивает скорость прохождения сигнала. А если это будет объемный трафик?
- Скорость прохождения информации также увеличивают и аппаратные решения. Мы этот параметр тоже анализировали, когда принимали решение о партнерстве. На самом деле задержка на обработку трафика несущественна, она составляет микросекунды. И нужно понимать, что мы не отправляем наш трафик на серверы в Европе.
Смотрите, образно говоря, на один и тот же ресурс приходит определенный объем трафика. Можно поставить систему защиты у самого ресурса, то есть, к примеру, файервол, и тогда весь трафик, который приходит из разных точек, из разных стран, весь будет попадать в эту трубу и может возникнуть так называемое «узкое горлышко». А можно поставить несколько точек фильтрации в разных странах, чтобы трафик очищался уже там и поступал в эту трубу у самого ресурса уже очищенным или его локальный объем был намного меньше.
- Больше DDoS-атаки генерируются локальным или глобальным трафиком?
- Глобальным, практически все DDoS-атаки генерируются глобальным трафиком. Внутри Казахстана мы видим всего лишь 900 зараженных машин, которые участвуют в ботнетах и атаках. Это не так много. В России сейчас 13 тысяч таких машин. В Европе – несколько десятков тысяч, в США и Китае еще больше.
Сейчас атаки идут в основном из Европы, России, США и Китая, доля казахстанского трафика очень мала. Пока.
- Что нужно сделать, чтобы подключить эту услуги и сколько она стоит?
- В первую очередь позвонить по контактам, которые указаны у нас на сайте. Мы сводим вместе наших ИТ-специалистов и представителей компании, они осуществляют достаточно простую операцию и при хорошем стечении обстоятельств, если все отработали со своей стороны, то через день они уже под защитой.
- А если компания маленькая и ИТ-сотрудник на аутсорсе, вы помогаете внедрению?
- Конечно. Более того, на периодической основе организация будет получать отчеты о том, что происходило у них в сети. О том, что на компанию была DDoS-атака, они узнают только из отчета, никаких сбоев непосредственно в своей сети никто не заметит.
- Это будет абонентская плата?
- Да, в зависимости от пакета плюс стоимость трафика, цена выставляется в зависимости от объема полезной нагрузки на сайт.
- Вы будете в дальнейшем развивать это направление по внедрению услуг в сегменте информационной безопасности, ведь DDoS-атаки – это только часть из них. Есть вирусы, шифровальщики, фишинг и много других зловредов.
- Мы уже работаем в этом направлении, предлагаем антивирусную защиту для наших абонентов, как мобильных, так и стационарных, прорабатываем защиту веб-сайтов от хакерских атак и скоро запустим ее. Также в наших планах внедрение других сервисов в рамках концепции Security services provider, когда компании заказывают именно обеспечение безопасности своих сервисов, которые находятся либо на нашей территории, либо у них, профессионалам, которые находятся в телеком-провайдере. В том числе сможем проводить анализ защищенности ресурсов.
- Я понимаю, почему компания может заказать у вас защиту от DDoS-атак, но в чем ваше преимущество в антивирусных решениях?
- Среди наших партнеров по антивирусным решениям – «Лаборатория Касперского», Dr.Web, Eset. Абоненту достаточно просто зайти к нам на сайт, скачать антивирус, поставить себе на телефон и оплачивать с баланса, что, по-моему, гораздо удобнее, чем каждый раз оплачивать где-то по карточке.
- Когда будет внедрена услуга и сколько компаний, по вашим ожиданиям, ею воспользуются?
- Официально она запущена на прошлой неделе, но тестирование с первыми клиентами мы начали около двух месяцев назад. Мы видим достаточно серьезный потенциал для роста потребности в этой услуге на рынке, многие компании, как государственные, так и частные, в ней заинтересованы, ожидаем большой интерес. Это будут онлайн-СМИ, ретейлеры, банки, есть несколько запросов от государственных учреждений, которые предоставляют услуги населению, то есть все организации, бизнес которых связан с интернетом.