DDoS-атаку остановит облако
Голливудское клише – грабители проникают в хранилище банка и грузят пачки денег в мешки – давно неактуально. Сердце современного банка – это не хранилище с «кэшем» и золотыми слитками, а информационная система, так что современные преступники своей целью выбирают ИТ-инфраструктуру банка.
Банковский сектор можно назвать лидером по скорости и объему внедрения технологий – то, что еще недавно было конкурентным преимуществом отдельных «технологичных» банков, сегодня стало стандартом. Так произошло с публичными клиентскими сервисами – клиенты банков привыкли, что на сайте или в мобильном приложении можно управлять своими финансами в режиме 24*7 365 дней в году.
DDOS-АТАКА – НАСКОЛЬКО УГРОЗА РЕАЛЬНА?
Банковские веб-сервисы являются очевидной мишенью для злоумышленников. Самый распространенный тип воздействия – DDoS-атака, то есть вывод из строя инфраструктуры или приложений банка с помощью большого объема нелегитимного трафика. Такие атаки преступники используют для нарушения онлайн-транзакций, срыва электронных торгов, отвлечения внимания от внедрения вредоносного кода. Причина популярности DDoS-атак – простота и низкая стоимость их организации.
Аналитическая компания Neustar заявляет, что в прошлом году хотя бы с одной DDoS-атакой столкнулись 84% компаний в мире. По данным исследования компании Nexusguard за 2016 г., Россия лидирует по количеству таких атак. По статистике «Ростелекома», в России наиболее подвержены нападениям коммерческие компании, игровые сервисы и финансовый сектор, причем на долю последнего в 2017 году пришлось 20% DDoS-атак.
Растет не только количество, но и мощность сетевых атак. Хакеры совершенствуют инструментарий DDoS: если раньше вредоносный трафик шел в основном с зараженных персональных компьютеров, то теперь в ботнеты оказываются вовлечены домашние маршрутизаторы и даже IoT-устройства. В феврале этого года уязвимость в ПО Memcached, используемом сотнями тысяч веб-серверов по всему миру, породила рекордную на данный момент атаку в 1,3 Тбит/с.
От атак не застрахованы даже гиганты финансовой отрасли. В прошлом году онлайн-банк крупнейшего розничного банка Великобритании Lloyds Banking Group был выведен из строя преступниками, требовавшими у банка выкуп в биткоинах. Особо критичны DDoS-атаки для «цифровых» банков, сфокусированных на дистанционном обслуживании. Например, немецкий «цифровой» банк Fidor в 2014 году стал объектом нескольких крупных DDoS-атак с целью вымогательства. Когда банк заблокировал нелигитимный трафик, хакеры стали угрожать повысить мощность атаки, если банк не заплатит им выкуп в биткоинах. Когда банк отказался, они увеличили объем атаки до 85 Гбит/с, с чем банк не смог справиться. Онлайн-сервисы были недоступны в течение 8 часов и банку пришлось выполнять запросы клиентов по телефону и в социальных сетях.
КАК ЗАЩИТИТЬСЯ?
Рынок предлагает широкий выбор устройств для защиты от DDoS-атак. Однако собственная система не всегда способна справиться с атакой на сайт. Чтобы построить эффективное решение локально, нужны широкие каналы связи и высокопроизводительное сетевое оборудование, а также квалифицированный персонал. Такое решение никогда себя не окупит — атаки не происходят постоянно, а инфраструктура устаревает.
Еще один популярный вариант – заказ услуги защиты от DDoS-атак в дата-центре – тоже имеет подводные камни. Такая защита бесполезна, если мощность атаки превышает емкость каналов, ведущих в дата-центр. От действительно массированной атаки можно защититься только если фильтровать вредоносный трафик на дальних подступах, например, на периметре сети крупного оператора связи. Чтобы обезопасить себя, крупнейшие компании используют одновременно несколько защитных систем. Это дорого и по силам только "тяжеловесам" бизнеса.
Оптимальным подходом является облачная защита веб-ресурсов по сервисной модели, что позволяет быстро получить высокий уровень безопасности без расходов на инфраструктуру. Такой комплекс защиты от DDoS-атак анализирует входящий на сайт трафик и, обнаружив подозрительную активность, перенаправляет аномальный трафик в систему очистки, не препятствуя доступу легитимных пользователей. В облачный сервис может входить защита от взлома с использованием межсетевых экранов уровня веб-приложений (WAF). (Рис. 1). Такой сервис не требует сложной интеграции, а расходы на апгрейд инфраструктуры и развитие средств защиты берет на себя провайдер. Кроме того, современные облачные сервисы защиты от DDoS-атак можно использовать без раскрытия данных, составляющих банковскую тайну.
Важнейшей частью защиты от DDoS-атак операторского класса является сопровождение квалифицированными инженерами, имеющими практический опыт борьбы с киберугрозами. Мгновенный доступ к их компетенциям может оказаться решающим фактором в предотвращении последствий DDoS-атаки. Можно ожидать, что услуги центров мониторинга ИБ в ближайшем будущем станут логическим продолжением сервисной модели.
BIS-комментарий
Илья Титов, управляющий директор «Модульбанка»:
«У NGENIX мощное решение, которое фильтрует трафик и обеспечивает первый эшелон защиты наших публичных веб-сервисов.
Если строить подобный защитный комплекс самостоятельно, то потребуются широкие каналы связи и высокопроизводительное сетевое оборудование. Потребуются квалифицированные инженеры для настройки фильтрации трафика и дальнейшего обслуживания решения. Это долго, дорого, а с новым сервисом NGENIX — ещё и незачем».
