Почему DDoS-атаки становятся более избирательными

Кратный рост DDoS-атак на российские компании в прошлом году, увеличение их длительности от нескольких минут до месяцев стали для бизнеса настоящим шоком. Под атаками «лежали» сайты министерств и ведомств, СМИ, кредитных организаций, служб доставки, транспортных организаций и т. д. В этом году бизнес и государство стали тщательнее защищать себя, и теперь злоумышленникам сложнее получить доступ к данным или парализовать работу сервисов организаций. Но атаки становятся сложнее и изощреннее, а целью хакеров может стать любая компания.

Старые и новые цели DDoS

В первом полугодии 2022 г. треть всех DDoS-атак приходилась на финансовый сектор, писал ТАСС со ссылкой на компанию по информационной безопасности StormWall. В целом по итогам 2022 г. количество DDoS-атак на финансовые организации в России выросло в 4 раза, говорил зампред Банка России Филипп Габуния. Но уже в I квартале 2023 г. число DDoS-атак упало более чем на 70% по сравнению со средним значением за предыдущие четыре квартала, свидетельствует статистика Банка России. Такие цифры скорее говорят о росте защищенности кредитных организаций, нежели о потере интереса злоумышленников к атакам на банки, уверен коммерческий директор разработчика продуктов для защиты от кибератак Servicepipe Данила Чежин. «Многие банки, насколько мне известно, сообщают регулятору только о DDoS-атаках, которые привели к недоступности сервисов, а их количество благодаря повышению уровня защищенности действительно снизилось», – говорит он.

На сегодняшний день атаки на кредитные организации продолжаются, но банки уже адаптировались к этой угрозе, выросла их защищенность, подтверждает директор по развитию облачных и инфраструктурных решений ПАО «МегаФон» Александр Осипов. По его словам, массированные атаки на кредитные организации начались в марте 2022 г., а наиболее активными они были осенью прошлого года. Успешные атаки на финансовые организации приносят хакерам наибольшую прибыль, объясняет основатель Qrator Labs Александр Лямин. Поэтому банки и дальше будут оставаться главными мишенями подобных атак, полагает он.

Помимо банков в первой половине 2022 г. хакеры активно атаковали ресурсы государственных организаций, ритейлеров и логистических компаний (данные StormWall). В 2023 г. злоумышленники стали тщательнее выбирать жертв, указывает Чежин. Например, во II квартале 2023 г. целями хакеров все чаще становились страховые компании и региональные министерства информационных технологий, говорит Осипов. Кроме того, иногда злоумышленники фокусировались на конкретной крупной компании – лидере рынка, добавляет Лямин.

Как и в прошлом году, некоторые атаки по-прежнему были направлены на создание общественного резонанса, указывает Чежин. Такими нападениями занимаются хактивисты – хакеры, которые совершают кибератаки с целью привлечь внимание к определенным идеям или проблемам. «Например, под атакой «лежали» десятки онкологических медучреждений, НИИ, – утверждает он. – Кроме того, наблюдались целенаправленные атаки на ресурсы для бухгалтеров, призванные помешать поступлению налогов в бюджет».

С зарубежного трафика на российский

Не только банки, но и другие российские компании адаптировались к сложившейся ситуации и научились использовать эффективную защиту, поэтому злоумышленники снизили интенсивность атак, рассказывает Осипов. Так, среднее ежемесячное количество нападений на российские IT-ресурсы в апреле – мае 2023 г. было в 2 раза меньшим, чем в январе – марте, поясняет он.

Снизилась и длительность атак. По словам Лямина, в 2022 г. средняя продолжительность атаки составляла 99 минут, в 2023 г. – 34 минуты. Тем не менее средняя скорость атаки выросла: 7,2 Гб/с, или 1,15 мегапакета в секунду, в 2023 г. против 6,07 Гб/с, или 2,2 мегапакета в секунду, в 2022 г., добавляет эксперт. По данным «МегаФона», средняя емкость атак в течение первых пяти месяцев текущего года оставалась неизменной и составляла примерно 7 Гб/с.

Уменьшилось количество дорогих DDoS-атак, которые заключаются в отправке большого количества запросов в достаточно короткий срок, писал «Коммерсантъ», опросивший компании по информационной безопасности. Другая тенденция заключается в том, что в 2022 г. большое число атак шло из-за рубежа, а в 2023 г. – с территории России. По словам Лямина, атакующие осознали, что во многих случаях компании (как правило, госструктуры) применяют для защиты от нападений метод блокировки зарубежного трафика, и научились обходить эту меру, используя российские IP-адреса.

От простого к сложному

По словам Осипова, на волне прошлогодних инцидентов спрос на услуги в области противодействия DDoS-атакам был очень высоким, сохраняется он и сейчас. Постепенно защита от DDoS-атак становится неотъемлемой частью услуги по покупке канала связи для доступа в интернет, утверждает он. «МегаФон» предлагает различные варианты защиты от DDoS-атак – как для крупных компаний, так и для малого бизнеса. «Клиент может прийти за услугой «Сеть доступа «Интернет» и купить у «МегаФона» защиту на этом канале, – рассказывает Осипов. – Иногда клиент приходит в первую очередь ради защиты, а заодно покупает и каналы связи. Бывает, что клиенту нужна защита сервиса по облачной модели – тогда «МегаФон» оказывает эту услугу на чужом канале».

Запросы бизнеса становятся масштабнее, так как параллельно с ростом емкости предоставляемых клиентам каналов связи растет и емкость кибератак, объясняет Осипов: «Атаки стали «умнее» – они направлены на конкретные уязвимости, а обычные атаки на исчерпание каналов (т. е. когда цель атаки – «забить» канал передачи данных и тем самым привести к недоступности сервиса или сайта. – «Ведомости&») используются для прикрытия взлома ресурсов и кражи данных». Сегодня организуются, как правило, комплексные нападения, включающие в себя все возможные векторы: и канальный уровень (когда «забивается» сам канал передачи данных), и уровень приложения (атака, нацеленная на перегрузку конкретного сервиса, обрабатывающего запросы пользователей), соглашается Лямин.

По словам Чежина, именно атаки на приложения и многовекторные атаки («обстрел» атакующим трафиком одновременно всех уровней) представляют наибольшую опасность, поскольку им сложнее противостоять. «Так, решения для защиты от сетевых DDoS-атак любая компания может получить в составе услуги доступа в интернет при размещении своих данных в облаке или дата-центре, – объясняет Чежин. – А для защиты от атак на уровне приложений требуются решения, которые могут не просто выявить аномальный всплеск сетевых пакетов и заблокировать его источники, но и отделить запросы настоящих пользователей от атакующих запросов ботов, даже если они схожи и их источники совпадают». Доля атак на приложения в общей структуре DDoS-атак выросла с 40% в феврале 2022 г. до 60% в феврале 2023 г., утверждает эксперт.

«МегаФон» для защиты веб-ресурсов рекомендует комбинировать защиту от DDoS вместе с сервисом Web Application Firewall, что позволяет противодействовать как DDoS-атакам на уровне приложений, так и взлому веб-ресурсов путем SQL-инъекций (уязвимости веб-безопасности, позволяющие злоумышленнику вмешиваться в запросы, которые приложение делает к своей базе данных), брутфорса (взлом учетных записей путем подбора паролей к ним) и других возможных методов, которые применяют хакеры. «У нас участились запросы на предоставление комбинированного решения «WAF + Защита от DDoS» почти в 3 раза по сравнению с прошлым годом», – говорит Осипов.

Осознанный подход к DDoS

Сложность DDoS-атак будет только нарастать, уверены эксперты. «Как только защищающаяся сторона находит решение для нейтрализации атак, злоумышленники вырабатывают новые способы нападения», – указывает Лямин.

Поэтому компании планируют увеличивать свои траты на защиту от хакеров. Так, согласно исследованию аналитической компании Mordor Intelligence, к 2027 г. объем глобального рынка защиты от DDoS-атак превысит $5 млрд, каждый год увеличиваясь на 18,21% 

«Необходимость защиты от подобных атак бизнес осознал задолго до 2022 г., – рассуждает советник генерального директора Positive Technologies Артем Сычев. – Прошлый год показал, что такие механизмы защиты должны быть практически у всех компаний, будь то собственные системы или аутсорсинговые решения от провайдера, а в идеале – оба варианта». Осипов также отмечает, что бизнес стал тщательнее заботиться о своей безопасности и указывать требования к информационной защите канала связи сразу в тендерной документации.

Кроме того, скоро защита от DDoS-атак должна выйти на новый уровень. Так, Роскомнадзор в октябре 2022 г. объявил, что создает национальную систему противодействия DDoS-атакам. «Ее основная цель – в организации взаимодействия между телекомпровайдерами, чтобы распространившаяся атака на одного провайдера не смогла повредить другим и за счет обмена знаниями можно было остановить распространение атаки, снизить ее результативность и тем самым повысить уровень защищенности», – пояснил Сычев.