Журнал "Директор по безопасности" Август 2020 | Page 15
ЕСТЬ РЕШЕНИЕ
Гид для
топ-менеджера:
Системы анти-DDoS
АНАСТАСИЯ ГОЛЕВА,
АО «РАСЧЕТНЫЕ РЕШЕНИЯ»
Одной из наиболее «громких» и сложных
для устранения, а также наиболее
влияющих на бизнес-процессы любых
систем и сервисов, имеющих выход
в глобальную сеть, является угроза
реализации DoS и DDoS атак – атака
на отказ в обслуживании, имеющая
целью отказ работоспособности
информационной системы, при котором
санкционированные пользователи
данной системы не смогли бы получить
доступ к ней.
DoS-атака – в переводе с англ.,
Denial of service – одновременное
злонамеренное воздействие на систему
с целью вывода ее из строя.
DDoS-атака – в переводе с англ.,
Distributive denial of service – одновременное
распределенное массовое злонамеренное
воздействие на систему с целью вывода
ее из строя.
По сути, данная атака заключается
в том, что созданная и управляемая
злоумышленником ботсеть
целенаправленно воздействует
на интересующий объект посредством
направления большого количества запросов
определенного типа.
Можно рассмотреть три основных
типа атак распределенного отказа в обслуживании,
имеющих следующие механизмы
реализации: атаки уровня приложений
и атаки уровня инфраструктуры.
В частности, атаками уровня инфраструктуры
являются:
UDP-DDoS атаки и SYN-DDoS атаки –
массовые воздействия, направленные на
максимальное увеличение нагрузки на
пропускную способность сервера приложений,
а также аналогичное воздействие
на пропускную способность сети.
К атакам уровня приложения относятся,
в том числе:
HTTP-DDoS, а также SSL-атаки –
сложные в реализации, зачастую носящие
целенаправленный характер,
атаки, целью которых является увеличение
потока запросов на выбранное
приложение с целью обеспечения
недоступности ресурса для внешних
санкционированных пользователей.
Длительное время недоступности, к
примеру, web-приложения, может повлечь
за собой отток пользователей и,
как следствие, снижение конкурентной
способности самой системы.
Цель воздействия. Главный вопрос
– зачем злоумышленникам оказывать
негативное воздействие с
достижением неработоспособности
рассматриваемой системы? Данные
атаки могут проводиться при поддержке
конкурирующих организаций,
в случае наличия финансовой или
политической выгоды от такого сбоя.
Методы защиты. Наиболее дорогим,
но и, в свою очередь, действенным,
средством защиты от DDoS-атак
является использование систем класса
Anti-DDoS. Также довольно популярной
услугой защиты от DoS является
подключение защиты от DDoS от провайдера.
Однако, существует и ряд архитектурных
вариантов обеспечения
безопасности от атак данного типа,
среди них ограничение доступных
для DDoS-атаки зон до минимально
возможного для функционирования
системы размера, балансировка нагрузки,
использование брандмауэра.
Немаловажным шагом для усиления
защиты является разграничение трафика,
ограничение доступа web-ресурсов
к внутренним элементам
ИТ-инфраструктуры компании. Нельзя
забывать и о ролевой модели доступа,
чтобы появилась возможность исключения
несанкционированного увеличения
доступа к ресурсам.
Невозможно забыть и о применении
межсетевого экрана для web-ресурсов
(Web application firewall, WAF) – средство,
способное, в том числе, определять
попытки внедрения SQL-кода, а
также попытки подделки кроссайтовых
запросов.
Архитектурные решения, такие, как
использование увеличенного объема
вычислительных ресурсов системы, более
производительных устройств обработки
информации, сетевых интерфейсов,
а также конфигурации сети,
также позволят в большей степени
быть уверенными в повышении защиты
от DDoS атак.
HTTP-DDoS, а также
SSL-атаки – сложные
в реализации,
зачастую носящие
целенаправленный
характер, атаки,
целью которых
является увеличение
потока запросов на
выбранное приложение
с целью обеспечения
недоступности
ресурса для внешних
санкционированных
пользователей