BIS Journal №1(52)2024

11 марта, 2024

«Атаки с технологией HTTP/2 Rapid Reset проще детектируются…»

В середине октября практически все профильные СМИ написали о новой технологии DDoS-атак под названием HTTP/2 Rapid Reset, которая применяется с августа и благодаря которой бьются все рекорды DDoS. В то же время, по мнению владельца продукта Servicepipe DosGate Даниила Бобрышева, «не так страшен чёрт, как его малюют». И правильно выбранное решение по защите от DDoS-атак вполне способно справиться как с новой угрозой, так и с уже хорошо знакомыми.

 

— Начать наш разговор я бы хотела с нового типа DDoS-атак под названием HTTP/2 Rapid Reset, которая упоминается в последних отчётах мировых технологических лидеров AWS, Cloudflare и Google. Сообщают, что эти атаки бьют рекорды интенсивности. Если ваших клиентов вдруг атакуют с помощью HTTP/2 Rapid Reset, справитесь?

— Наши устройства фильтрации от DDoS-атак работают в первую очередь на сетевом уровне, а не внутри TCP-сессий, разбирая отдельно каждый HTTP-запрос. Для нас это выглядит как разновидность флуда внутри сформированного открытого TCP-соединения, который мы блокируем точно так же успешно, как и любой другой. Атаки HTTP/2 Rapid Reset проще детектируются, так как очень большой объём сетевого трафика  направляется в рамках одной TCP-сессии, а не распределяется на множество. Использование технологии нашей собственной разработки DosGate позволяет превентивно блокировать более 99% сетевых атак на любые корпоративные сервисы. Бизнес‑процессы не останавливаются, а сотрудники даже не замечают, что сервисы находятся под DDoS.

— На своём сайте вы называете DosGate гибкой системой контроля трафика для защиты от DDoS-атак. Это просто слоган из рекламных брошюр и буклетов или же есть принципиальное отличие от других решений на рынке?

— Это не слоган. Пример гибкости — заказчик может заказать у нас коробочное решение, не требующее дополнительных настроек. Есть экспертный и продвинутый режимы управления. В экспертном режиме администратор системы может самостоятельно реализовывать собственные контрмеры прямо из веб-интерфейса без написания программного кода. В продвинутом режиме для защиты сервисов и сетевых сегментов применяются пресеты. Это готовые к применению настроенные политики фильтрации для защиты сервисов или сетевых сегментов, в реальном времени синхронизирующиеся с нашей базой вредоносных сигнатур. Они доступны сразу после установки и защищают сотни разных сервисов и сетевых сегментов. Пресеты постоянно обновляются и эволюционируют.

— И что это даёт?

— Благодаря этой гибкости наши решения используют как крупнейшие заказчики (государственные и частные), так и небольшие игроки без ИБ и ИТ-специалистов в штате, которым хочется отдать управление системой, например, в свой сетевой департамент.

Ещё один пример гибкости — отличная интеграция с решениями заказчика. С теми же системами управления информационной безопасностью и событиями безопасности (SIEM), межсетевыми экранами для веб-приложений (WAF).

Например, почти любой ваш любимый WAF можно установить и запустить прямо рядом с нашим ПО. DosGate будет передавать выбранные пакеты и сессии на уровень WAF, например, определяя их по порту, IP-получателя и протоколу.

— Почему важна совместимость с теми же WAF, например? В чём плюс?

— Плюс в том, что удобно администрировать и поддерживать одну платформу вместо 10 разных. Удобнее для сетевых администраторов, инженеров ИБ. По сути, это комплексное решение: всё в одном месте и работает одинаково хорошо, не конфликтуя, а наоборот, интегрируясь друг в друга и страхуя.

— Одним из преимуществ DosGate вы называете качественную эшелонированную защиту. В то же время в рекламных материалах ваших конкурентов также есть эшелонированная защита как одно из преимуществ. В чём разница?

— В отличие от других игроков рынка мы сами владеем большой распределённой сетью, которую используют наши заказчики при активации эшелонированной защиты. В дополнение к этому наша эшелонированная защита — это не просто «сигнал начать очистку», это также автоматизированный алгоритм передачи политик фильтрации с локального центра очистки клиента на наши облачные платформы. По сути, за счёт эшелонированной защиты мы позволяем клиенту расширить объём пропускной способности его локального центра очистки на наши ёмкости — больше 1200 Гбит/с по России и миру.

Наша эшелонированная защита также не всегда подразумевает ежемесячные платежи и активный канал связи. Заказчик может платить за количество часов, распределённое на год, в рамках которых он может включать наши каналы связи через BGP over GRE или физический стык, при этом делать это только во время больших атак, которые перегружают его локальный центр очистки (в автоматическом режиме). Таким образом, заказчик ещё и экономит бюджеты.

— В качестве одного из преимуществ DosGate компания называет наличие системы компонентов для массового управления профилями защиты. Можете пояснить, в чём это преимущество заключается?

— Представим себе крупную компанию, например системно значимый банк с множеством профилей защиты. И возникает необходимость внести изменения только в часть профилей (например, в 50 из 100). В большинстве решений изменения придётся либо вносить вручную, либо писать отдельный скрипт — моментально распространить изменения не получится. Система компонентов в DosGate позволяет строить профили защиты, отталкиваясь не  от контрмер или правил, а от компонента, который можно создать и распространить сразу на ряд выбранных профилей. Таким образом, при обновлении системы всё происходит кратно быстрее. К примеру, в той же организации с 400 профилями защиты ранее обновление могло занимать несколько часов монотонной работы в стиле «вкладка открыть — вкладка закрыть» или обновления применялись сразу на все 400 профилей защиты, а не на выбранные. В DosGate можно обновить конфигурацию, а затем опубликовать изменения в выбранные профили, например в 350 из 400. Ну то есть экономия времени от нескольких часов до буквально пары минут.

— В DosGate сетевой фильтр работает одновременно с сетевыми пакетами и сессиями. Что это даёт?

— Это позволяет эффективно защищать не только конечные устройства и сервисы, но и промежуточные узлы, уязвимые к сессионным атакам (например, те же межсетевые экраны или WAF). В конечном итоге это даёт более высокий уровень защиты. Сессионный фильтр DosGate не требует исходящего трафика, не терминирует на себе TCP-соединения, но при этом умеет разрывать эти соединения как с оборудованием, установленным после него, так и с изначальным установщиком этой сессии.

— На рынке есть решения, в которых база вредоносных сигнатур формируется в автоматическом режиме. У вас тоже этот процесс автоматизирован?

— Мы сознательно отказались от автоматизации при создании вредоносных сигнатур, поскольку излишняя автоматизация очень часто приводит к высокой частоте ложных срабатываний, а также низкой точности фильтрации при многовекторных атаках. Это в итоге приводит к тому, что инженер идёт и в любом случае модернизирует сформированные автоматически сигнатуры. В DosGate есть собственная база вредоносных сигнатур, когда вместе с IP и TLS-отпечатками распространяются пресеты для защиты сетей и сервисов без обучения, генерации сигнатур и др. Защита работает с первого часа после её установки. Пресеты поддерживаются нашей командой и обновляются каждый час, мы в том числе используем автоматизацию, но только как «помощник инженера», а не «его глаза и руки».

— Есть какие-то новые продукты на основе DosGate, которые вы выпустили на рынок за последнее время?

— Если можно назвать продуктом возможность установки DosGate на конечные устройства, тогда да. В отличие от других решений, если у вас, например, большая облачная инфраструктура или вы просто не можете позволить себе установку чего-то на уровне периметра вашей сетевой инфраструктуры, теперь вы можете приобрести DosGate и установить его как ПО на уже существующий промежуточный или конечный узел.

Например, если у вас развёрнута виртуальная машина в облаке с WAF, то вы можете прямо на эту же виртуальную машину установить DosGate для защиты от L3–L7 DDoS-атак.

Или, например, у вас 50 разных виртуальных машин, где живут разные конечные сервисы: от VPN до RDP, вы можете на каждую из них установить DosGate и управлять всей этой системой из единого веб-интерфейса, таким образом организуя защиту не на уровне периметра, а непосредственно на конечных устройствах.

Это самый простой и бюджетный на рынке вариант on-prem-защиты от DDoS-атак на L3–L7. Легко устанавливается на веб-сервер или виртуальную машину перед WAF, NGFW или Load Balancer. Не является промежуточным узлом и не требует перекраивания текущей сетевой инфраструктуры.

— Понимаю, что сложно прогнозировать действия хакеров, но если попытаться заглянуть в будущее — что нас ждёт? Стоит ли ожидать появления новых технологий, роста мощностей атак? Или, возможно, наоборот, ожидается спад?

— Первая DDoS-атака была зафиксирована в 90-х годах, а первая DoS-атака — в 70-х. С тех пор объёмы атак и сложность их детектирования только росли. Такая тенденция будет сохраняться и в будущем, будут появляться новые многовекторные атаки уровня приложений, DoS-уязвимости в программно-аппаратных комплексах, новые амплификаторы и формироваться ещё более большие ботнеты. Неизбежно год за годом DDoS-атаки будут бить рекорды.

 

Реклама. ООО «СЕРВИСПАЙП», ИНН:7708257951, erid:LdtCKY75e

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных