DDoS як прикриття

Завантажте детальне порівняння «Просунутий захист кінцевих станцій» від експертів «Інфосистеми Джет», щоб вибрати відповідне рішення для захисту вашого бізнесу від кіберзагроз.

DDoS

Сьогодні існує безліч рішень щодо захисту від DDoS-атак для бізнесу будь-якого розміру та галузі. Фахівці з інформаційної безпеки багатьох компаній готові план реагування на випадок інциденту, пов'язаного з DDoS. Можна подумати, що загроза є максимально нейтралізованою. Але якщо сама DDoS-атака — це лише вершина айсберга, а за нею ховається інший злочин, який може бути помічений не відразу?

Що таке DDoS?

DDoS-атака є спробою зробити веб-сайт або IT-інфраструктуру компанії недоступними для використання. Зловмисники реалізують свої підступні плани шляхом зниження швидкості відгуку чи обробки запиту, виведенням із ладу додатків, серверів чи частини мережної інфраструктури. Атака здійснюється відправкою великої кількості запитів із заражених комп'ютерів (ботів), які отримують команди від зловмисника через командні сервери чи іншим способом. Існує безліч видів DDoS-атак, націлених на різні частини інфраструктури чи веб-додатки:

  • атака пакетами великого обсягу, що призводить до повного виснаження смуги пропускання каналу зв'язку;
  • атака величезною кількістю пакетів, що виводить з ладу обладнання, що маршрутизує;
  • атака із встановленням безлічі з'єднань, що змушує сервер відхиляти запити легітимних користувачів;
  • атаки на конкретні вразливості логіки роботи програми, що дозволяють вивести його з ладу.

Дві сторони DDoS-атаки

У закордонних ЗМІ, як правило, згадуються лише потужні DDoS-атаки, а в Україні повідомлення обмежуються атаками, націленимина держструктури та банківський сектор. Може скластися враження, що DDoS-атаки досить рідкісні та руйнівні. Проте подібні випадки трапляються щодня, просто багато компаній не афішують факт атаки, особливо якщо вона була відбита. У разі успішного блокування та якщо DDoS-атака не завдала шкоди жертві, ІБ-фахівці далеко не завжди проводять повноцінне, багатостороннє розслідування для виявлення всіх вузьких місць у системі безпеки компанії.

У цій статті буде висвітлено іншу сторону проблеми DDoS-атак — використання їх для приховання дій зловмисників, спрямованих на здійснення складних цільових атак.

DDoS-атака сама по собі може призвести до багатьох негативних наслідків для компанії, основним з яких є недоступність основних сервісів для клієнтів, що веде до фінансових та репутаційних втрат. Якщо надійного рішення щодо запобігання DDoS-атакам у компанії немає, відділ інформаційної безпеки компанії-жертви змушений кинути всі сили на захист від атаки та мінімізацію збитків, тим самим послаблюючи інші рубежі оборони. На це і розраховують зловмисники, використовуючи DDoS-атаки для відволікання уваги від проникнення всередину організації або виведення вже отриманої інформації. Більше того, навіть якщо основною метою атакуючих є здирство або виведення з ладу IT-інфраструктури, DDoS-атака як така не завжди здатна досягти потрібного ефекту. Тому DDoS часто є своєрідною димовою завісою, яка використовується для прикриття складних цільових атак, у тому числі на веб-додаток.

Ще один побічний ефект DDoS-атаки, затребуваний зловмисниками, полягає в генерації великої кількості подій, наприклад, з мережевих пристроїв, систем виявлення вторгнень, міжмережевих екранів, операційних систем, веб-серверів та додатків. Фіксований або обмежений розмір лог-файлу може дозволити потужній атаці скоротити період часу зберігання подій у журналі до кількох днів, а дорогі SIEM-системи є не у всіх. Цього цілком вистачить для знищення слідів проникнення та дій зловмисників усередині інфраструктури компанії, що дуже ускладнить виявлення та розслідування інциденту.

Згідно зі звітом аналітиків Neustar - DDoS Attacks and Impact Report за 2014 рік, - 49% випадків DDoS-атак використовувалися для прихованої установки шкідливих програм у системи компаній, а 55% закінчувалися крадіжкою даних.

Дослідження Лабораторії Касперського Global IT Security Risks за 2016 рік підтверджує актуальність цієї проблеми. 56% опитаних представників бізнесу висловили впевненість, що здійснені на їх компанії DDoS-атаки використовувалися як прикриття інших видів кіберзлочинів. Близько 26% респондентів зізналися, що наступна за DDoS цільова атака призвела до витоку даних.

Деякі джерела називають DDoS-атаки малої потужності не димовою завісою, а димовим сигналом. Тим самим наголошуючи на необхідності не концентруватися виключно на боротьбі з атакою відмови в обслуговуванні, а готуватися захищати критичні системи компанії.

Приклади відволікаючих маневрів

За останні 6 років відбулася низка гучних інцидентів із зломом IT-інфраструктури компаній під прикриттям DDoS-атаки:

"Операція Sony"

Через успішно проведений відволікаючий маневр фахівці з безпеки компанії Sony довгий час не були в курсі цього витоку. За підсумками цього інциденту компанія заявила, що здійснила різні заходи для посилення безпеки, зокрема додала автоматичні системи моніторингу безпеки IT-інфраструктури.

Злом Ascent Builders та DDoS-атака на Bank of the West

Атака на Bitcoin Internet Payment System

Злом компанії TalkTalk

Проактивний захист

Проаналізувавши кейси успішного запобігання інцидентам злому під прикриттям DDoS-атаки, ми зібрали кілька простих, але дієвих рекомендацій:

  1. Майте відпрацьований план реагування на DDoS, щоб не розпорошувати увагу і не витрачати час на координацію дій у разі атаки.
  2. Максимально автоматизуйте відображення DDoS-атак (підключіть хмарний сервіс захисту в режимі always-on, а не on-demand), щоб відділ інформаційної безпеки міг спокійно зосередитися на обороні інфраструктури та веб-застосунків від інших, більш складних атак.
  3. Якщо ви використовуєте захист від третьої сторони — провайдера, хостера, зовнішнього сервісу тощо — вони повинні бути включені в план реагування на DDoS-атаки, а також повинні проходити регулярне тестування.
  4. Залучайте фахівців з досвідом на ринку з організації симуляцій атак та проведення тестів навантаження. Пам'ятайте, що вони мають знаходитись у правовому полі.
  5. Регулярно проводьте аудит безпеки IT-інфраструктури та веб-програми для виявлення вузьких місць, наявність яких збільшує ризики DDoS-атак.
  6. Для захисту від крадіжки або маніпуляції даними рекомендується періодично проводити аудит вихідного коду веб-програми та оперативно усувати знайдені вразливості.
  7. Після кожного відпрацювання реагування на DDoS удосконалюйте свій план реагування.

З розвитком засобів захисту від DDoS відбувається розвиток методів атак. Зловмисники не стоять на місці, і сьогодні провести потужну DDoS-атаку не складає труднощів, а головне — з року в рік це стає дешевшим. Вартістьваріюється від 5 доларів до кількох сотень за годину, залежно від типу атаки та рівня захищеності мети.

За останні кілька років DDoS із самостійного методу атаки перетворився на допоміжний. Тепер його метою є не стільки порушення роботи IT-інфраструктури, скільки відволікання співробітників компанії від важливіших подій безпеки та замітання слідів злому. Це неминуче призведе до необхідності збільшення рівня автоматизації роботи систем попередження та запобігання атакам, щоб дати можливість фахівцям з ІБ максимально ефективно виконувати свої обов'язки.