Россия стала одной из самых кибератакуемых стран. В прошлом году она оказалась на четвертом месте в мире по количеству DDoS-атак, направленных на коммерческие структуры и государственные предприятия, — об этом сообщили в компании StormWall, которая занимается разработкой решений по защите бизнеса от кибератак. Подробности о механизмах таких угроз и путях борьбы с ними — в материале «Известий».
Рекордные атакиКак рассказали «Известиям» в компании StormWall, в прошлом году атаки на Россию занимали 8,4% от общего количества киберпокушений на все страны мира. Такие высокие показатели специалисты зафиксировали впервые. Еще большее количество инцидентов пришлось на Китай и Индию — но они традиционно являются самыми атакуемыми.
По данным «Лаборатории Касперского», в 2022 году количество атак в России выросло на 60–70% по сравнению с 2021-м. Основной причиной стало появление политически мотивированных хактивистов — пользователей, которые не обладают особыми техническими навыками, но стремятся нанести организациям любой возможный ущерб.
Как правило, они получают от инициаторов атаки специализированное ПО и инструкции, а затем начинают массово атаковать цель. Чаще всего хактивисты выбирают критически важные отрасли России, чтобы навредить экономике страны.
— Хактивисты использовали как стандартные доступные инструменты, так и хакерские утилиты, специально разработанные для проведения DDoS-атак. Кроме того, ряд покушений был организован злоумышленниками с целью вымогательства, а также конкурентами, — отметили в StormWall.
Что такое DDoS-атакиКак объясняет «Известиям» CEO и сооснователь StormWall Рамиль Хантимиров, DDoS-атака — это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры компании и клиентских сервисов. Преступники искусственно создают рост запросов к онлайн-ресурсу, чтобы увеличить на него нагрузку и вывести из строя.
Дело в том, что веб-серверы имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки, существуют ограничения пропускной способности канала, который соединяет сервер с интернетом.
— Когда количество запросов превышает производительность какого-либо элемента инфраструктуры, веб-ресурс может прекратить работать вовсе, происходит «отказ в обслуживании». Проще говоря, пользователь просто не сможет открыть веб-страницу, — объясняет эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
По словам Рамиля Хантимирова, каждая успешная DDoS-атака может закончиться тем, что сайт потеряет работоспособность, клиенты уйдут к конкурентам, а прибыль снизится. Если сайт предоставляет важные услуги, то возможна утрата доверия пользователей и потеря репутации.
При этом со временем атаки становятся всё более мощными и сложными: с ними уже невозможно бороться без внешней помощи и использования профессиональных решений.
— Если говорить про Россию, то в прошлом году многие компании подключили защиту, которая была эффективной против DDoS-атак. У некоторых ранее была подключена базовая защита и они никогда не сталкивались с DDoS-атаками, а теперь столкнулись, — отмечает Хантимиров.
Что атаковалиПроанализировав показатели ударов по различным индустриям, эксперты выяснили, что большинство DDoS-атак в прошлом году было направлено на финансовую отрасль (28% от общего числа), телекоммуникационную сферу (18%), госсектор (14%) и ритейл (12%).
Кроме того, злоумышленники организовали много DDoS-атак на развлекательную сферу (10%), сферу страхования (7%), СМИ (5%), образовательный сектор (3%), логистическую отрасль (2%) и остальные (1%).
— Из-за высокой активности политически мотивированных хактивистов количество DDoS-атак на различные отрасли увеличилось в несколько раз, — рассказали в StormWall. — Наши специалисты выявили, что число атак на финансовый сектор выросло в 18 раз, на телеком-сферу — в 12 раз, на госсектор — в 25 раз, на СМИ — в 30 раз, на ритейл — в восемь раз, на развлекательную и логистическую отрасли — в четыре раза.
Массовые киберпокушения на сферу страхования, брокерские компании, СМИ и магазины военного обмундирования в России были зафиксированы впервые. Их организовали хактивисты, пытавшиеся искать новые цели, объясняют эксперты компании.
По словам Виктора Чебышева из «Лаборатории Касперского», характер DDoS менялся на протяжении всего года: если весной они были простыми, то в дальнейшем становились всё более сложными и продолжительными. Согласно данным Kaspersky DDoS Protection, одна из атак началась в мае и продолжалась почти 29 дней.
Пиковыми месяцами стали март, апрель, май, июнь, август и сентябрь. В марте на многие финансовые организации, нефтегазовые и энергетические компании обрушился ураган атак хактивистов, и именно в марте началось массовое подключение российских организаций к профессиональным облачным сервисам Anti-DDoS, что позволило снизить число громких DDoS-инцидентов в течение года.
Механизмы защитыНесмотря на то что в конце 2022 года число DDoS-ударов значительно снизилось, эксперты StormWall считают, что в 2023-м возможен значительный рост атак на ключевые отрасли.
Специалисты ожидают увеличения числа киберинцидентов до 300% на нефтегазовый сектор и энергетическую отрасль в феврале и марте 2023 года в связи с огромным влиянием этих индустрий на текущую политическую ситуацию в мире.
Кроме того, не исключен рост атак и на другие отрасти, причем эксперты уверены, что они будут всё чаще использоваться для маскировки других целевых атак с целью нарушения работоспособности систем и кражи персональных данных для их продажи или использования политически мотивированными хактивистами.
Как объясняют собеседники «Известий», у российских компаний есть ряд методов борьбы с такими посягательствами: настройка файрволла, управление глобальной маршрутизацией (BGP Flowspec), а также аппаратно-программные комплексы фильтрации.
— Каждый из методов помогает от определенных угроз, однако эффективны они только в связке, а таковая требует и расходов, и компетентных операторов в штате. При этом время и соотношение мощности к затратам всегда играет на руку атакующим, — рассказал основатель Qrator Labs Александр Лямин.
Кроме того, масштабная атака может нарушить работу дата-центра, хостинга или оператора связи «выше по течению» — тогда любые из этих методов окажутся бесполезны. Поэтому, чтобы всерьез обезопасить компанию от DDoS-атак, необходимо оборудование, алгоритмы и инфраструктура для их быстрого обнаружения, запас канальной емкости и серверных мощностей для фильтрации паразитного трафика.
— Такие возможности предлагают крупные операторы связи и облачные сервисы. «Облака» обычно содержат собственные центры очистки DDoS-трафика как в РФ, так и за рубежом: для борьбы с по-настоящему крупными атаками требуется присутствие по всему миру, — заключил Александр Лямин.
