В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Противодействие DDoS-атакам - обеспечение непрерывности бизнеса
Не секрет, что компьютерные атаки, такие как распределенный отказ в обслуживании (DDoS), являются одним из эффективных способов недобросовестной конкурентной борьбы и "рабочим" инструментом преступников. С проблемой таких атак сталкиваются многие компании как в России, так и за рубежом.
Сергей Шишкин
Руководитель группы разработки услуг
дирекции информационной безопасности компании "ТТК"
Злоумышленники организуют как целевые DDoS-атаки на конечных клиентов, инфраструктуру и интернет-сервисы компаний, так и для маскировки или отвлечения внимания при совершении других преступлений. Последствием подобных действий становится потеря доступности ключевых для ведения бизнеса приложений и систем, репутационные потери, финансовый ущерб. Немного статистики. По данным последнего исследования компании Arbor Networks, 66% участников опроса (в основном это операторы связи, хостинг/контент-провайдеры) назвали DDoS-атаки на своих клиентов одной из ключевых угроз, с которой им пришлось столкнуться в 2010 г. За прошедший год полоса пропускания самой крупной из зарегистрированных DDoS-атак увеличилась более чем в 2 раза (в 2009 г.- 49 Гбит/с, 100 Гбит/с в 2010 г.), за 5 лет - в 20 раз. Стремительный рост мощности атак значительно превышает наращивание полосы пропускания интернет-сервис-провайдерами. Причем в ближайшие годы эксперты в области информационной безопасности прогнозируют рост не только мощности, количества и длительности таких атак, но и повышение уровня "интеллектуальной составляющей" реализации таких угроз.
Рынок услуг защиты
Поэтому не случайно в последнее время рынок услуг защиты от DDoS-атак значительно развился. Услуги по противодействию реализации подобных угроз появились в портфеле многих крупных операторов связи, хостинг-провайдеров, системных интеграторов и различных "групп реагирования". Стоимость услуг для целевой аудитории стала вполне доступна, и хотя пока она все еще больше, чем затраты на организацию DDoS-атаки, но из-за возрастающей конкуренции среди поставщиков сервиса и падения цен на предоставление доступа в Интернет цена услуги имеет устойчивую тенденцию к снижению.
Нужна ли вам защита?
Сначала необходимо понять, являются ли DDoS-атаки угрозой. Возможно, что решение приобрести услугу по защите - дань моде? Для этого требуется оценить, к чему может привести недоступность сервиса для компании и/или ее клиентов. Оценку целесообразно выразить потенциальными финансовыми потерями и/или неполученной прибылью.
Сервис большинства компаний строится на оборудовании известных брендов. Поставщики сервиса "щеголяют" процентами отфильтрованного трафика DDoS-атаки, количеством и техническими характеристиками используемого оборудования, вложенными во внедрение решения финансовыми средствами, большим штатом специалистов поддержки и т.д.
Между тем следует заметить, что, по мнению многих экспертов и руководителей компаний, наиболее эффективной является защита именно на уровне телекоммуникационных узлов провайдеров, которые помимо специализированного оборудования по фильтрации DDoS-атак имеют мощные каналы связи и штат квалифицированных специалистов.
Зная данную величину, можно обоснованно принимать решение и либо игнорировать риски (ничего не делать), либо, если полученные "цифры" неприемлемы, принять собственные контрмеры и выбрать поставщика сервиса, совместно с ним реализовав следующие организационно-технические мероприятия:
- проанализировать текущую схему подключения информационных ресурсов к сети Интернет и выявить актуальные угрозы, которые могут привести к простою сервиса в результате DDoS-атак;
- изменить схему подключения критичных с точки зрения ведения бизнеса информационных ресурсов к сети Интернет (например, крайне неэффективно размещать портал, который должен обеспечивать электронный бизнес в той же подсети и на том же канале, что и второстепенные сервисы, такие как сервис доступа в сеть Интернет из корпоративной сети или Web-сайт компании);
- при необходимости модернизировать собственные информационные системы таким образом, чтобы исключить лишние сервисы в их работе, которые могут быть объектом атаки, постараться сделать информационные системы такими, чтобы максимально усложнить злоумышленникам возможность развертывания бот-сети, способной проводить "интеллектуальные" атаки и обходить существующие средства защиты;
- настроить средства защиты от DDoS-атак таким образом, чтобы максимально учитывать особенности защищаемой информационной системы;
- разработать и внедрить регламент противодействия DDoS-атакам
(процедурные вопросы играют ключевую роль в процессе обеспечения непрерывности бизнеса, поэтому целесообразно уделить им значительное внимание). Регламент должен предусматривать выделение ответственных сотрудников каждой из сторон с необходимыми полномочиями и компетенцией. В регламенте должны быть отражены все вопросы взаимодействия, например как подается заявка на активацию защиты, какие совместные действия осуществляются в процессе отражения атаки, каковы временные параметры реагирования и т.д. Особое внимание необходимо уделить средствам коммуникации;
- провести тестирование регламента противодействия DDoS-атакам, и если этого не сделать, то можно с уверенностью сказать, что в "минуту опасности" всевозможные накладки не позволят обеспечить доступность информационной системы.
Требования к услуге по защите от DDoS-атак
- поставщиком сервиса должен выступать оператор связи, желательно с высокой пропускной способностью собственных каналов связи;
- имеющиеся у поставщика сервиса специализированные программно-аппаратные комплексы фильтрации трафика DDoS-атак должны быть мощными, отказоустойчивыми и размещаться на телекоммуникационных узлах как в России, так и за ее пределами;
- услуга должна строиться по иерархическому принципу, необходимо, чтобы поставщик данного сервиса имел договоренность о потреблении подобной услуги у своего апстрим-провайдера;
- поставщик сервиса должен располагать квалифицированными инженерами, способными в реальном времени грамотно и оперативно изменять настройки оборудования фильтрации DDoS-атак в ответ на изменения профиля атаки;
- услуга должна иметь возможность фильтрации трафика до канала перед информационными ресурсами клиента, в идеале чем дальше от клиента и чем ближе к атакующим ресурсам осуществляется фильтрация, тем лучше;
- естественно, что услуга должна оказываться в круглосуточном режиме.
В заключение несколько слов о мифах поставщиков сервисов по защите от DDoS-атак. Не стоит доверять маркетинговым обещаниям о тех или иных процентах фильтрации DDoS-атаки - их трудно оценить и невозможно гарантировать. Не стоит верить, что используется лучшее на рынке техническое средство, имеющее целый ряд правил выявления и блокирования трафика DDoS-атаки. В условиях противостояния атакующего и защищающегося при прочих равных ключевое значение имеют опыт и компетентность поставщика услуги, а не характеристики используемого оборудования.
Опубликовано: -2011
Посещений: 9365
Статьи по теме
Автор
| Сергей ШишкинРуководитель группы разработки услуг дирекции информационной безопасности компании "ТТК"Всего статей: 1 |
|
|
|
В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций