Банки страны под «ковром». Почему для защиты от DDoS-атак важна гибкость подхода к фильтрации трафика

19 декабря, 2024

Банки страны под «ковром». Почему для защиты от DDoS-атак важна гибкость подхода к фильтрации трафика

В 2024 году кредитные организации всего мира стали целью №1 по ковровым DDoS-атакам. Российские банки — не исключение. Летом 2024 года из-за «ковра» наблюдалась недоступность сервисов у ведущих игроков финансовой отрасли. Почему именно крупные банки наиболее уязвимы перед такими атаками, а также почему гибкие правила фильтрации трафика наиболее эффективны для защиты от «ковра» рассказал BIS Journal директор по продуктам Servicepipe Михаил Хлебунов.

 

УГРОЗА ДЛЯ БАНКОВ ВСЕГО МИРА

Мощные DDoS-атаки уже давно являются общемировой проблемой. Так, в третьем квартале 2024 года, по данным Cloudflare (работает на глобальном уровне), количество DDoS-атак по сравнению с апрелем-июнем увеличилось на 49%, а по сравнению с аналогичным периодом прошлого года — на 55%. Всего американской компанией в июле-сентябре было зафиксировано 6 млн таких инцидентов, а с начала года — 14,5 млн. То есть в среднем каждый час в мире происходило приблизительно по 2200 DDoS-атак. При этом, согласно статистике Vercara (бывшая Neustar Security Services, также международный поставщик решений), более половины из таких инцидентов представляют собой так называемые «ковровые атаки». Например, в первом полугодии доля «ковровых атак» достигла 75% от общего числа DDoS-нападений. ««Ковровые атаки» — не новый метод атак, но взрывное увеличение их частотности — это новый тренд», — отмечала компания. На глобальном уровне чаще всего жертвами злоумышленников становятся банковский сектор и другие финансовые организации, указывает Cloudflare. На втором месте следуют IT- и сервисные компании, на третьем — телекоммуникационные предприятия и операторы связи.

Российский финансовый сектор также является целью №1 для ковровых атак. С начала 2024 года Servicepipe зафиксировал десятикратный кратный рост «ковровых» DDoS-атак. Согласно нашим данным, мощность таких нападений на российские банки во втором квартале выросла на четверть по сравнению с показателями первых трёх месяцев этого года. Особенность отечественного «ковра» — такие атаки проводят политически мотивированные хакеры.

В частности, в конце июля крупнейшим российским банком была зафиксирована одна из мощнейших в истории DDoS-атак. «Её длительность превысила 13 часов… одновременно использовалась как инфраструктура IT-армии Украины, так и несколько сторонних бот-сетей», —рассказывал «РИА Новостям» заместитель председателя правления Сбербанка Станислав Кузнецов (он назвал её сильнейшим нападением в истории группы).

Кроме того, как сообщали СМИ, в этом году жертвами нападений уже стали Росбанк, Газпромбанк, Россельхозбанк, Райффайзенбанк и другие. Для осознания масштабов угрозы, можно перечислить лишь несколько кредитных организаций, которые признали DDoS-атаки, произошедшие в ноябре-декабре: банк «Санкт-Петербург», «Кредит Урал банк», Генбанк, Локо-банк и т. д.

Интересны злоумышленникам не только банки, но и другая критически важная финансовая инфраструктура. В июне в результате DDoS-атаки на Национальную систему платёжных карт (НСПК) — оператора карт «Мир» — произошли сбои в работе приложений сразу нескольких банков и компаний, писало Frank Media. Поданным того же издания, «ковровая бомбардировка» ресурсов Московской биржи летом на время вывели из строя сайт торговой площадки и ее финансового маркетплейса «Финуслуги». Наконец, в июле относительно успешной атаке подвергся даже Банк России. Сам ЦБ признавал, что отечественный финансовый сектор длительное время находится в условиях повышенных атак, периодически их интенсивность возрастает (цитата по «Коммерсантъ»).

 

БАНК — ИДЕАЛЬНАЯ ЖЕРТВА

Причин, по которой хактивисты используют против финансовых организаций тактику ковровых атак три. Первая — злоумышленникам нужен общественный резонанс. А недоступность сервисов крупной финансовой организации не может остаться незамеченной. Вторая — ущерб российской экономике. Как отмечает Банк России в основных направлениях развития финансовых технологий до 2027 года кибератаки, в частности, несут риски для операционной деятельности финорганизаций и причинения им потенциального ущерба.

Третий фактор в специфике бизнеса кредитных организаций — в результате «ковровых» DDoS-атак вредоносный трафик идет по всем или по большей части IP-адресов ее цели, а чем крупнее организация, подвергшаяся такому нападению, тем больше у неё должно быть этих IP-адресов. Сама же специфика банковского бизнеса такова, что IP-адресов у банков много. Согласно нашей статистике, обычно «ковровая» DDoS-атака на российскую цель политически мотивированных злоумышленников длится приблизительно сутки, при этом атаковано может более чем на 1000 IP-адресов, а затем хактивисты переключаются на другой объект. При этом зачастую нагрузка на один IP-адрес может быть совсем небольшой, на уровне мусорного трафика. А теперь представьте, что такая небольшая, казалось бы, нагрузка ложится на тысячи сервисов крупной финансовой организации, на десятки тысяч её IP-адресов. В случае если защитник попытается перенаправить весь поступающий вредоносный трафик по несуществующему маршруту (для этого используется механизм BGP Blackhole), как он мог бы вполне без проблем для работоспособности сделать при атаке лишь на несколько целей, то это, скорее всего, приведет к недоступности всех сервисов, чего собственно и добиваются злоумышленники. Таким образом, чем крупнее IT-инфраструктура компании, тем больший ущерб может нанести ковровая атака и тем сложнее от нее защититься. 

Кроме того, нередко защитники от DDoS-атак не оценивают вредоносный трафик в совокупности, а лишь нагрузку на каждый IP-адрес в отдельности. Этот подход оправдан при классической DDoS, но «при ковре» есть шанс распознать атаку лишь в момент деградации или даже полной недоступности сервисов защищаемой организации. 

При этом необязательно «ковровая атака» будет осуществлена напрямую на банк. Она вполне может идти через сервис-провайдеров, мы уже видели такие примеры в 2024 году. Если такой провайдер доставляет трафик по каналу, где есть защита от DDoS-атак, то он будет обрабатываться различными сетевыми устройствами, но у каждого из них есть свой лимит мощности. И как раз цель такого нападения будет в том, чтобы этого лимита не хватило, чтобы эти устройства начали сбоить и, как результат, «легла» сама цель атаки. В таком случае могут оказаться затронутыми и другие клиенты атакованного сервис-провайдера.

 

БАНКИ ВСТАЮТ ПОД ЗАЩИТУ

Участники финансового рынка, уже столкнувшиеся с «ковром», пересмотрели подход к обеспечению защищенности сервисов. Многие банки также готовы работать на опережение. За последнее время Servicepipe со стороны финансового сектора зафиксировал трехкратный рост спроса на услугу по аудит устойчивости IT-систем к непрогнозируемым нагрузкам, то есть, собственно, на способность противостоять DDoS-атакам. Наших заказчиков — а это, прежде всего, крупные и средние банки — интересовала способность используемых ими решений выдержать «ковровые атаки», похожие на те, которые случились летом этого года. Испытания проходят в специализированной Лаборатории, которая была запущена в пилотном режиме в 2024 году , и полном режиме будет работать в 2025 году. 

Кроме того, летние атаки на финансовый сектор стали причиной возросшего спроса на решения по защите от DDoS-атак. Например, в июле он вырос втрое в сравнении с количеством обращений в компанию в среднем в месяц в первом полугодии 2024 года. При этом 65% банков, интересовавшихся решениями Servicepipe, говорили о необходимости новой защиты именно в связи с ковровыми атакам, еще 20% пришли за защитой «под атакой» или сразу же после атаки.

Тот факт, что опасающиеся ковровых атак кредитные организации приходят именно в Servicepipe, неслучаен. Дело в том, что для эффективной защиты от «ковра» требуется высокая гибкость настройки правил фильтрации. После ухода из России глобальных вендоров решений по защите от DDoS-атак наша компания фактически осталась единственным игроком на отечественном рынке, в решениях которой вместо стандартных системы контрмер реализована гибкая настройка правил фильтрации.

Именно гибкие сетевые инструкции, лежащие в основе механизма XDP (eXpress Data Path), позволяют решениям Servicepipe оперативно отражать ковровые атаки. В них нет статичных правил, которые, как показали события лета 2024 года, явно не поспевают за все более изобретательными методами хактивистов. В решениях Servicepipe реализована возможность динамически модифицировать фильтры  и пороговые значения. Такой подход не только повышает устойчивость к атакам, но и обеспечивает удивительную гибкость: протоколы фильтрации адаптируются почти мгновенно, отбрасывая вредоносный трафик с минимальными задержками.

Что это означает для клиентов компании? Для многих из них летний «ковёр» не привел даже к деградации, не то что недоступности сервисов.  Они выстояли, хотя нагрузка порой была очень серьезной. Также могу сказать, что среди столкнувшихся с летним «ковёр» кредитных организаций немало тех, кто уже встал под защиту Servicepipe или пилотирует решение.

Если же переходить от технологии непосредственно к продуктам — мы предлагаем рынку систему интеллектуального анализа трафика FlowCollector и адаптивную систему очистки трафика DosGate.

Flow Collector позволяет детектировать «ковровые атаки», что само по себе является непростой задачей. В систему входят отдельные умные счетчики, которые анализируют каждый IP-адрес, каждый сетевой префикс, а также суммарно все сетевые префиксы данной сети. Благодаря детальному подсчету трафика можно не просто обнаружить аномалии, но и сегментировать конкретные блоки сети.

DosGate построен на основе сетевых инструкций. При фильтрации «ковровых атак» эти инструкции дают возможность отталкиваться не от позитивной, а только от негативной модели. То есть, с помощью DosGate можно очень детально описать паттерны только вредоносного трафика для его блокировки или фильтрации. Кроме того, сетевые инструкции хранятся в гибких пакетах правил с уже готовыми паттернами самых распространённых ковровых атак. Интегрированное решение Flow Collector с DosGate позволяет обнаружить и отфильтровать «ковровые» DDoS-атаки любой сложности, а значит обеспечить непрерывную доступность сетевых сервисов.

Подводя итог — глобальная статистика лидеров рынка по защите от DDoS-атак, и данные Servicepipe — всё говорит о том, что «ковровые» атаки продолжатся. Злоумышленники могут временно сместить сферу своих интересов в сторону другой отрасли, но так или иначе – атаки на банки вернутся. И уже от самих кредитных организаций зависит — смогут ли их решения противостоять «ковру», или у них будет шанс мелькнуть в новостях СМИ в качестве еще одной кредитной организации, «лежавшей» несколько часов под атакой.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

23.01.2025
Сокращение издержек или самосаботаж? Трамп избавляется от ИБ-консультантов
23.01.2025
АРПП: Хакеры обращают российских айтишников в «кротов»
23.01.2025
В ИТ-секторе рассказали о впечатлениях от отечественного инфраструктурного ПО
23.01.2025
Микроблогеров не берут в специальный реестр Роскомнадзора
23.01.2025
Хакеры отравляют и перекрашивают чужие мобильные приложения
22.01.2025
Немкин: Количество сбоев в работе Google в России будет расти
22.01.2025
Трамп снимает тормоза с нейросетей
22.01.2025
Малварь в дорогой упаковке. Чего вы можете не знать о своём новом смартфоне
22.01.2025
Скамеры заходят с младших карт
22.01.2025
РКН обновляет сачок для посторонних голосов. Что известно о проекте ЕСМ РЧС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных