Компании, развивающие свой бизнес в цифровую эпоху, применяют информационные технологии в разных плоскостях: деятельность одних целиком связана с Интернетом; другие лишь реализуют физические товары с помощью виртуальной витрины, напрямую не работая с покупателями, однако жизненно заинтересованы в наиболее выгодной презентации характеристик товара; третьи вообще не ведут бизнес в Сети, но вся внутренняя инфраструктура их организации (ERP, отчетность и т. п.) завязана, например, на облачные сервисы. Как бы то ни было, для всех предприятий критически важны надежное функционирование веб-сервисов и безопасное объединение технологий в рамках цифровой трансформации, обеспечивающие сохранность корпоративных цифровых активов.

Следствием обострения конкуренции в онлайн-пространстве стало широкое распространение атак на цифровой бизнес — как точечных (Denial of Service, DoS ), так и распределенных (Distributed Denial of Service, DDoS ), — направленных на то, чтобы сделать недоступными ресурсы компании путем исчерпания канальной емкости, мощностей сервера и пр. Все это стимулирует компании к поиску все более масштабных средств защиты цифрового бизнеса.

Организации, конечно же, защищают свои ресурсы, например корпоративный веб-сервер, однако часто не учитывают того, что доменное имя было куплено у стороннего регистратора, а его DNS-сервер может быть уязвимым и оказаться объектом атаки злоумышленников. В результате корпоративный ресурс становится не виден в Сети, хотя сам по себе защищен и прекрасно работает. Другой способ нарушить работу компании состоит во вмешательстве в единую систему маршрутизации Интернета путем атаки на промежуточные узлы этой системы. Проникнув в систему маршрутизации, злоумышленник вбрасывает в нее неверную информацию относительно атакуемого узла, из-за чего пользователи не могут зайти на сайт компании, несмотря на то что DNS и узел защищены. Атаки на сетевую инфраструктуру — это почти всегда DoS.

Один из известных примеров внешне легитимных действий — блокировка серверов YouTube в Пакистане, когда неправильная маршрутная информация распространилась по всему миру. В результате трафик YouTube пошел в Пакистан, где его пытались блокировать, из-за чего сервис оказался недоступен в большей части мира. Фактически это было вызвано ошибкой администраторов, однако аналогичные целенаправленные действия злоумышленников, которые специально будут «заботиться» о глобальном характере воздействия, станут уже атакой.

Другой пример подобных действий — блокировка ресурса RuTracker.org, когда ошибка маршрутной политики со стороны сервиса привела к тому, что блокировка на территории России распространилась на треть всех пользователей ресурса в мире: люди из Чехии, Германии, Франции, США, Австралии не могли зайти на этот сайт в течение четырех дней. Скорее всего, фокус атак на цифровой бизнес в ближайшие несколько лет будет смещаться именно в данном направлении: ожидается, что будут активно развиваться технологии масштабного поражения, затрагивающего как можно большее количество узлов. По прогнозам компании Qrator Labs, данная тенденция будет превалировать среди факторов риска для цифрового бизнеса, однако это не означает, что исчезнут вирусы или атаки через уязвимости приложений. Организация DDoS-атак уже стала прибыльным бизнесом: до 2014 года такие атаки чаще имели политическую окраску и практически за каждой масштабной атакой стоял тот или иной инцидент, связанный с конфликтами между государствами, а сегодня мощные атаки стали инструментом экономической борьбы.

Как и у любого бизнеса, главная цель злоумышленников — повышение эффективности своей деятельности (минимизация расходов, ускорение получения результата и т. п.). Если какая-то технология позволяет проще и быстрее достигать цели, то она немедленно завоевывает популярность. В 2016 году появилась новая тенденция: если раньше хакеры пользовались собственными средствами нападения, то сейчас они покупают или берут в аренду мощные инструменты проведения атак. Как следствие, бизнес DDoS начал структурироваться и стал самоподдерживающейся системой, что снизило порог вхождения в него, увеличило число атак на цифровые активы компаний и частоту появления новых угроз.

Для борьбы с атаками новой природы старые методы противодействия бесполезны: например, нет смысла бороться с атаками на DNS средствами защиты веб-ресурсов, речь идет об иной рабочей среде, и даже базовый транспортный протокол — это уже не TCP, а UDP. С атаками на сетевую инфраструктуру все намного серьезнее. Эффективные механизмы противодействия им только начинают создаваться. Например, имеются такие средства для определения топологии глобальной сети и выявления аномалий, как: BGPlay — утилита визуализации данных о распространении и удалении маршрутов BGP (Border Gateway Protocol, основной протокол динамической маршрутизации Сети); BGPMON — мониторинг протокола маршрутизации BGP, часто используемого для перехвата или перенаправления трафика через подставные узлы; RouteView — инструмент для получения в реальном времени информации о глобальной системе маршрутизации по нескольким различным магистралям и точкам Интернета. Однако автоматическая отработка этих аномалий — дело будущего, а сегодня главная задача, вытекающая из сложности атак на сетевую инфраструктуру цифрового бизнеса, состоит в обнаружении точек уязвимости этой инфраструктуры. К сожалению, без доступа к информации из других систем атакуемый не может понять, в какой именно точке уязвима его сетевая инфраструктура, — требуются системы, способные получать информацию из разных точек Сети, агрегировать и анализировать ее. Например, система Radar.Qrator, применяющая методы математического моделирования связности сетей на междоменном сетевом уровне (уровень автономных систем), обнаруживает умышленные и неумышленные аномалии маршрутизации, нарушающие или ухудшающие связность сети. Система функционирует как онлайн-сервис, который анализирует отношения действующих в Интернете автономных систем с использованием специальных методов и отражает связи автономных систем, а также формирует прогноз по изменению используемых связей при смене политики маршрутизации. В случае обнаружения нелегальной активности Radar.Qrator позволяет выявить, на каком этапе произошло злонамеренное подключение, через которое вбрасывается неправильная информация, и блокировать ее. В противном случае такая атака может длиться незамеченной несколько недель.

Особого внимания заслуживают атаки на веб-приложения на уровне L7 — протоколов, непосредственно работающих с приложениями (HTTP, HTTPS для браузеров, SMTP, IMAP4 для почтовых систем и пр.) — с использованием классических ботнетов. Это наиболее замаскированные атаки: например, когда идет атака на транспортный протокол TCP, возникает множество ложных соединений, которые начинаются, но не завершаются, и через какое-то время ресурсы атакуемого компьютера иссякают, а сайт компании перестает отвечать на запросы. В данном случае нет сомнений в наличии атаки, поскольку налицо огромное количество открытых соединений. Но для L7 может не быть такого четкого критерия, поскольку речь идет об уровне приложений, а от таких приложений поступают обычные запросы на оказание сервиса, которые могут оказаться и просто мусором. В случае же атаки на уровне L7 происходит вброс запросов, внешне вполне легитимных внешне. Для выполнения таких запросов требуется много памяти, времени процессора, пропускной способности каналов, и может оказаться, что информационный ресурс будет занят только их обработкой, выполняя бесполезную работу. В результате обычные посетители портала или сайта интернет-магазина не получают нужного сервиса, но при этом в журнальном файле запросы от хакеров и от пользователей выглядят совершенно одинаково — только специальный статистический и поведенческий анализ всего объема этих запросов в целом позволяет отличить одно от другого. Вручную такой анализ сделать невозможно: требуется одновременно учитывать сразу несколько факторов. Например, злоумышленники с помощью технологии Full-browser stack (атака с помощью полноценного браузера) эмулируют активность пользовательского компьютера, браузера или Java-скрипта, и когда администратор изучает журнальные файлы, он видит вполне полноценную легальную активность и ему сложно понять: идет ли атака или это наплыв клиентов после недавней рекламной кампании. Чтобы отличить бот от пользователя, требуются системы распознавания, например, на базе технологий машинного обучения. Обученная система распознавания атак типа L7 способна обеспечить противодействие им и постоянно совершенствуется — именно такие «живые» системы могут защитить динамичный цифровой бизнес.

Сеть фильтрации трафика Qrator (см. рисунок) построена на базе технологий машинного обучения, что позволяет ей, заранее не зная о способе атаки, выбранном злоумышленником, ориентироваться не на конкретную схему DDoS-атак, а на процесс и таким образом адаптироваться к изменениям в сетевой инфраструктуре. Однако здесь имеются ограничения: можно выбрать очень «умный» алгоритм, который не успеет обработать все данные по возможным атакам или потребует слишком много ресурсов. Алгоритм должен быть не только умным, но и эффективным и относительно дешевым.

Схема работы узла Qrator фильтрации трафика
Схема работы узла Qrator фильтрации трафика

 

Наиболее прогрессивное решение для противодействия DDoS-атакам — масштабируемые облачные сервисы, изначально ориентированные на отражение большого числа атак и одновременно защищающие сайты различных компаний. При этом атака на ресурс одной компании не влияет на работоспособность сайтов другой, однако у сервиса накапливается информация, позволяющая построить целостную картину происходящего. Именно так работает распределенная сеть Qrator фильтрации трафика на стыках с сетями основных операторов России, Европы, Северной Америки, Центральной и Юго-Восточной Азии. Каждый сервер сети работает в облаке автономно, и выход из строя одного не сказывается на работе других, что позволяет противодействовать атакам на канал, а понимание структуры Интернета дает возможность получать важную информацию о состоянии всей сетевой инфраструктуры и ориентироваться в том, что происходит с системой маршрутизации.

Все запросы потребителей сервиса, поступающие из Интернета, направляются в сеть Qrator и после фильтрации перенаправляются на защищаемый целевой ресурс (сайт интернет-магазина, портал медийного издания, сайт финансового учреждения, площадку бесплатных объявлений и пр.). После этого полученные от сервиса ответы отправляются обратно в Интернет. Такая схема работы позволяет узлам фильтрации «понимать», какой профиль трафика является нормальным для каждого конкретного сайта, и реагировать при отклонении от привычного поведения. Распределение нагрузки и автоматическая отработка атак — это важнейшее свойство сети Qrator, а о факте DDoS-атаки клиент узнает лишь из отчета, не ощутив деградации производительности ресурсов поддержки своего бизнеса.

Ключевым элементом защиты является не только анализ особенностей конкретных сервисов, но и учет всех факторов DoS- и DDoS-атак. Команда аналитиков и разработчиков Qrator Labs изучает типы угроз, классифицирует их и по каждому строит систему противодействия, в том числе и путем переобучения сети. Кроме того, постоянно проводится анализ текущей ситуации для выявления того, в каком направлении смещается вектор атаки и какие меры противодействия будут актуальны в будущем.

***

Сегодня на одного пользователя в среднем приходится несколько устройств, каждое из которых требует достаточно большой полосы пропускания, что усложняет задачу обеспечения безопасности. Наличие огромного количества устройств и использование беспроводных технологий связи открывают перед злоумышленниками широкие перспективы. Например, уже сегодня стали реальностью DDoS-атаки на базе камер видеонаблюдения, имеющих сетевое подключение. Бреши в стандартной прошивке, преднамеренная или случайная ошибка встроенного ПО потенциально позволяют взломать огромное количество устройств. Цифровая трансформация предполагает объединение самостоятельно развивающихся устройств, технологий, систем и процессов, однако для обеспечения безопасности их совместной работы не подходят средства защиты, запрограммированные в расчете на конкретные схемы атак, — информационную безопасность в новых условиях смогут обеспечить лишь адаптируемые «умные» средства противодействия.

Алексей Семеняка (as@qrator.net) — исполнительный директор, Qrator Labs (Москва).