- Тип
- Эксклюзив
- Категория
- Бизнес
- Дата публикации
Украина может стать мощным источником DDoS-атак по всему миру — Cisco
Рост числа незащищенных устройств и увеличение пропускной способности сетей позволяет уже в этом году осуществлять DDoS-атаки мощностью 1 Тбит/с ежемесячно. Как бизнесу защититься от атак, на каком уровне стоит защита у украинских госструктур и какую роль Украина может сыграть в их распространении — об этом менеджер подразделения интеграции технологий и лидер направления цифрового опыта "Делойт" в Украине Дмитрий Баценко спросил у эксперта Cisco по информационной безопасности Владимира Илибмана
С каждым годом все больше растет пропускная способность сетей. К тому же с появлением в Украине 3G теперь каждое устройство может выступать как источником, так и целью DDoS-атак. Как это повлияло на характер и объем DDoS-атак за последнее время именно в Украине?
Мощность DDoS-атак растет, это связано в том числе с увеличением количества сетевых устройств, которые участвуют в атаках, и ростом емкости каналов. Средняя скорость подключения в интернет увеличилась в 1,5 раза за последние два года. В Украине есть некоторое отставание скорости мобильного интернета, но средняя скорость проводного интернета остается одной из самых больших в Европе. К тому же стоимость каналов в Украине более низкая. В Германии средний домашний бюргер имеет скорость в 2-8 Мбит/с за 40 евро. В Украине доступен интернет в 100 Мб за 4-5 евро в месяц. Цена в 10 раз ниже, чем в Европе, а скорость при этом выше.
Широкие интернет-каналы и много незащищенных устройств приводит к тому, что взломанные устройства в Украине используются злоумышленниками для организации ботнет-сетей и DDoS-атак по всему миру. Также мы наблюдаем значительное количество DDoS-атак, которые нацелены на организации в Украине. Согласно результатам исследования, которое проводилось в рамках форума Cisco "Технологии кибербезопасности" 8 декабря 2016 года, примерно 37% опрошенных сталкивались с DDoS-атаками на свои организации за последние 18 месяцев. DDoS-атаки находятся на третьем месте после вредоносного кода (вирусов) и спама/фишинга.
В отчете написано, что уровень и мощность DDoS-атак зависит от количества устройств. Неужели в Украине больше устройств, чем в других странах?
Важно не только общее количество устройств, а число уязвимых устройств, которые потенциально могут стать источником атак. Обычно это персональные компьютеры без установленных обновлений безопасности. Как показала статистика распространения червя-шифровальщика WannaCry, в Украине по-прежнему много старых компьютеров еще с Windows XP.
В 2016-ом после возникновения ботнета Mirai появилась новая тенденция использования для атак сломанных устройств интернета вещей (Internet of Things, IoT) — видеопроигрыватели, веб-камеры, видеорегистраторы и прочее. Число таких устройств в Украине значительно. Большое количество бюджетных камер видеонаблюдения, домашних маршрутизаторов имеют стандартные пароли и легко взламываются. Также на руках украинских пользователей находится большое количество устаревших смартфонов, смарт-телевизоров и приставок, для которых уже не выпускаются обновления безопасности. Все эти устройства также имеют уязвимости и потенциально могут быть взломаны и могут быть использованы для организации атак. Из-за всего перечисленного почва для атак киберпреступников (включая DDoS) в нашей стране благодатна.
По оценке "Делойта", в 2017 году каждый месяц можно ожидать в среднем одну атаку мощностью 1 Тбит/с. Какие компании и правительственные структуры могут стать объектом этих атак? Какие нужно иметь ресурсы, чтобы создавать такие атаки и защититься от них?
Действительно, есть долгосрочный прогноз того, что скорость масштабных DDoS-атак возрастает. В 2016 году было две атаки с использованием IoT-ботнета Mirai, которые были близки к 1 Тбит/с. В 2017 году атаки такой мощности еще не наблюдались. Сделать атаку в 1 Тбит/с технически возможно, но стоимость и сложность относительно высока. После публикации исходного кода Mirai технология доступна широкому кругу злоумышленников, но возникает вопрос экономической целесообразности организации атаки такого типа. Ведь для того, чтобы нарушить работоспособность сервиса, обычно хватает намного меньшего объема трафика. Для организации атак необязательно иметь свои ресурсы — в интернете достаточно много сервисов для организации DDoS под заказ с фиксированной стоимостью.
Объектом DDoS-атак могут быть организации любого размера в различных вертикалях рынка. Чаще встречаются атаки, нацеленные на государственные структуры, банки и медиакомпании. Также от DDoS-атак страдают компании, которые предоставляют ИТ-услуги, в частности хостинги. В Украине мы видим достаточно много новостей об атаках на правительственные и государственные структуры. Есть много сообщений об атаках на государственные реестры и веб-сайты правительственных структур. Но здесь необходимо честно сказать, что многие случаи недоступности государственных ресурсов связаны даже не с атаками, а с внутренними сбоями либо с нехваткой ресурсов в период наплыва клиентов сервисов. Зачастую для проблем с предоставлением сервиса не нужны масштабные атаки, как описано выше. Хватает несколько сотен мегабит зловредного трафика либо даже значительного роста обращений легитимных клиентов. Подобные инциденты владельцы ресурсов шаблонно именуют "масштабными DDoS-атаками", чтобы обелить себя и объяснить проблемы с доступом.
Вы сказали о стоимости, о каком порядке цифр идет речь?
В интернете желающие могут найти множество сайтов, которые предлагают услуги DDoS-атак. Их стоимость разнится в десятки раз в зависимости от многих факторов: учитывается тип и мощность атаки, расположение сайта, наличие у сайта либо оператора сайта защиты от DDoS-атак и прочее. Цены начинаются от 5 долларов за час до нескольких тысяч за сутки атаки. Оплата обычно осуществляется в биткоинах. Злоумышленники зачастую предоставляют заказчиками DDoS-атаки удобный интерфейс управление, историю заказов, статистику и даже бонусную систему.
Однозначно можно сказать, что цена атак под заказ падает быстро и появление массового ресурса взломанных IoT-устройств этому будет способствовать.
Эксперт Cisco по информационной безопасности Владимир Илибман
Сколько инвестиций необходимо госорганам, чтобы защититься от атак?
Защита от DDoS-атак не решается на уровне одной организации. В Украине даже средняя по мощности атака способна "положить" практически любой государственный сайт. Ситуацию усугубляют устаревшие системы, перегруженные сервисы и так далее. Специализированные системы защиты от DDoS относительно дороги. В любом случае базовая защита на уровне государственных организаций должна дополняться централизованной защитой на уровне операторов связи и государственных органов, ответственных за киберзащиту таких, как Госпецсвязь. Во всем мире для защиты от масштабных DDoS-атак используются облачные и централизованные центры очистки трафика, которые фактически способны бороться с атаками 100+ Гбит/с и даже 1 Терабит.
Значит, сегодня за $100 можно отключить, к примеру, сайт Минфина на час?
Условно говоря — да. На какое-то время возможно уложить сайт любой госструктуры. У каждого ведомства формального должна быть комплексная защита, но дело в том, что защита развивается намного медленнее, чем интернет и DDoS-атаки. Мало кто из госструктур учитывает текущие риски и может за ними следовать. В Украине защита многих госструктур остается на уровне 2000-х годов.
При разработке новых продуктов Вы учитываете рост количества и качества DDoS-атак? Как Ваша компания проверяет свои продукты на подверженность кибератакам?
Мы работаем по нескольким направлениям. Во-первых, развиваем собственные технологии защиты от DDoS-атак. Во-вторых, работаем с крупнейшими игроками на этом рынке: компаниями Radware и Arbor по созданию совместных решений. Соответственно, данные технологии защиты встраиваются в наши продукты. Для операторов связи и госструктур это позволяет защищаться от DDoS-атак разного масштаба уже внутри сетевой инфраструктуры. В случае масштабной атаки вовлекаются облачные сервисы защиты и специальные центры очистки трафика. Важно то, что в случае атаки инфраструктура остается управляемой.
Касательно защиты наших продуктов от кибератак, то многое зависит от процесса разработки и тестирования. Мы достаточно давно внедрили процесс управления жизненным циклом, по которому происходят внутренняя разработка, производство продуктов, а также внедрение и эксплуатация продуктов Cisco у наших клиентов. Этот процесс включает в себя и обязательное тестирование продуктов на отсутствие уязвимостей. Причем оно проводится как на уровне разработки прототипов, так и при эксплуатации и развитии готового продукта. На стадии разработки продукта делается анализ на отсутствие каких-то серьезных уязвимостей. Если в продукте выявляются ошибки либо уязвимости, он отправляется на доработку. Разумеется, 100-процентной защищенности не существует, но компания Cisco инвестирует значительные ресурсы, чтобы сделать решения по-настоящему безопасными и надежными.
Возможно, на момент разработки защиты появится новая технология, которая позволяет обойти эту защиту?
Однозначно такое может происходить. Злоумышленники постоянно изучают продукты и решения всех вендоров и пытаются найти в них уязвимости. Мы этот процесс видим. Подразделение Cisco Talos также занимается анализом текущих угроз, изучением новых технологий атак и поиском новых уязвимостей. Если находится уязвимость — превентивно выпускается патч или обновляется функциональность безопасности. Если мы видим атаку на наших клиентов, то применяются все способы, чтобы атаку остановить, а источник атаки легально заблокировать. В группе Cisco Talos сейчас работает около 300 человек, и скоро здесь, в Украине, будут работать представители этой группы.
Есть ли у Вас отдельный набор технологий и продуктов для госорганов?
У нас нет отдельных продуктов для госструктур. Если смотреть глобально, то продукты и технологии, которые используются в сфере госструктур и в частных компаниях, практически идентичны. Задача у всех одинаковая — безопасность. Есть только особенности, связанные с криптографией: в разных странах к ней разные требования. Поэтому может быть адаптация продуктов в части криптографии под локальный рынок. В Украине мы одни из первых совместно с партнерами разработали расширение наших маршрутизаторов для поддержки украинской криптографии. То что делается специально для госорганов в Украине — это техническая и криптографическая экспертиза продуктов Cisco согласно украинским нормативным требованиям.
Насколько компании и госорганы в Украине заботятся о защите от DDoS-атак, по сравнению с другими странами?
Ситуация в Украине по сравнению с тем, что было 5 лет назад, стала лучше, в том числе и в госструктурах. Много внимания сейчас уделяется безопасности. В период с 2014 г. по 2016 г. было значительное количество направленных кибератак против объектов критической инфраструктуры, в частности госструктур, энергокомпаний и транспорта. Как следствие, сейчас есть повышенное внимание руководства компаний и профильных структур к кибербезопасности. К сожалению, это внимание достаточно тяжело превращается в конкретные действия. Существенным шагом стало принятие "Стратегии кибербезопасности" Украины. В рамках плана действий по реализации стратегии принимаются меры и по централизованной защите госорганов от атак, включая и конкретно DDoS.
Мы не можем сравнивать себя с другими странами, поскольку имеем разные условия, риски и, главное, финансирование. По инвестициям в безопасность мы находимся в конце списка восточноевропейских стран. Касательно рисков Украина находится в зоне повышенной киберопасности, в том числе из-за геополитики, устаревшей ИТ-инфраструктуры и отсутствия развитой нормативной базы.
Необходимо еще много вкладывать инвестиций в защиту?
Да, много. Не только финансовых инвестиций, но и временных. Необходимо серьезно обучать персонал, создавать команды реагирования на киберинциденты внутри крупных организаций и отраслевые команды безопасности. Это касается не только госсектора, но еще и энергетики, транспортной отрасли, банков и так далее. Должен быть обмен информацией между разными участниками рынка. Если идет атака на энергокомпанию в регионе, то обобщенная информация об атаке должна доноситься остальным участникам рынка, которые потенциально также могут пострадать от данного вида атаки.
Это создание единой системы безопасности?
Да, это создание коллективной системы кибербезопасности, которая выявляет, анализирует и помогает осуществить превентивные действия до того, как атака нанесла фактический урон. Дело в том, что сейчас атаки выявляются постфактум — упал сайт, об этом узнал администратор, пресса, а надо узнавать до того, как произойдет ЧП.
Менеджер подразделения интеграции технологий и лидер направления цифрового опыта "Делойт" в Украине Дмитрий Баценко
Где-то существует министерство кибербезопасности? С кем Вы взаимодействуете в других странах, когда пытаетесь построить какую-то комплексную систему защиты от киберугроз?
До отдельного министерства дело пока еще не дошло. Практически во всех европейских странах существуют профильные агентства, которые занимаются кибербезопасностью либо соответствующие организационные структуры в министерствах. Более того в разных отраслях существуют свои государственные либо общественные центры безопасности, которые помогают реализовать системы ИБ для транспортных, энергокомпаний, финансовых организаций. Во всех европейских странах функционируют государственные и частные команды реагирования на киберинциденты. Соответственно, взаимодействовать приходится с широким спектром государственных, общественных и частных организаций.
Если на атомную станцию попытались совершить кибератаку, то другие госорганы тоже должны об этом знать, чтобы как минимум быть готовыми к инциденту. Как это скоординировать?
Могу ответить, применив аналогию с пожаром. Когда происходит возгорание — приезжает пожарная команда либо МЧС. Если инцидент масштабен, вовлекаются дополнительные команды, идет информирование населения. В случае кибербезопасности, тоже есть команды реагирования на компьютерные инциденты. Задача этих команд — выявлять атаку и помогать на нее реагировать. Сеть этих команд покрывает весь мир, они между собой взаимодействуют, обмениваются информацией. Во время атаки они поднимают тревогу и начинают привлекать нужные ресурсы в том числе в других странах. Те же DDoS-атаки не имеют государственных границ, и с ними никто не пытается только локально бороться. Практически во всех странах есть национальные команды реагирования, существуют отраслевые команды, во многих больших организациях есть свои команды "пожарной безопасности". В Украине также есть национальная команда реагирований CERT-UA, развиваются центры реагирования в силовых и финансовых вертикалях, также существует один частный центр реагирования. Число таких команд будет увеличиваться.
Совокупный объем атак на клиентов может порой превышать возможности организации, осуществляющей защиту, что приводит к нарушению работы сервисов отдельных клиентов. Как компаниям защищаться? Какие меры стоит компаниям разрабатывать для отражения или смягчения последствий DDoS-атак?
Компаниям необходимо следить за тем, что происходит в их отрасли, в целом в стране и в мире в сфере кибербезопасности. Понимая угрозы, можно принимать обоснованное решение — бороться с этими угрозами самостоятельно либо привлекать услуги сторонних компаний. Все сводится к тому, что многие функции кибербезопасности все больше уходят в аутсорсинг. Это общий тренд, который касается в том числе защиты от DDoS-атак. Фактически модель предполагает гибридную защиту: от базовых атак на стороне клиента и от массированных атак на стороне вендора либо оператора. Следующий тренд — "облако". Оно является, если не более безопасным, то более надежным и прогнозируемым инструментом для предоставления услуг. Правильно спроектированное облако более устойчиво к DDoS-атакам.
В сети все больше подключений интернета вещей. Как их защитить от DDoS-атак? То же касается и камер наблюдения, ведь на них нет возможности установить антивирусную программу.
Маловероятно, что именно эти устройства будут целью DDoS-атаки. Но как мы видим, они могут быть взломаны и использованы для участия в DDoS-атаке либо для проникновения в сеть. Для указанных устройств не существует антивируса, но есть базовые рекомендации, которые позволяют их защитить, — установка последних обновлений от вендоров, использование надежных паролей и безопасных протоколов управления (таких как SSL). По возможности также рекомендуется выделить IoT-устройства в отдельную подсеть с ограниченным выходом в интернет. Универсальной технологией, которая может помочь защитить как компьютеры, так и "умные" устройства является OpenDNS от Cisco ( https://www.opendns.com/home-internet-security/). OpenDNS позволяет с помощью простой настройки выявлять и предотвращать подключение домашних устройств к небезопасным интернет-ресурсам, которые используют злоумышленники для атак. Причем этот сервис бесплатный для домашних пользователей интернет.
Если в рамках государства строится какая-то система видеонаблюдения, то ее лучше выделить в отдельную сеть?
Да, в отдельную сеть. Есть специальная методология, как эту сеть изолировать, защитить каналы и управлять ими. Если мы говорим о домашних системах видеонаблюдения и контроля доступа, то как минимум нужно выделить их в отдельный сегмент сети и поставить отдельное устройство, которое будет шлюзом для доступа к этой системе.
Сегодня все больше людей переходят со смартфонов на обычные кнопочные телефоны. Не отбросит ли нас назад в области технологий такое стремительное распространение киберугроз?
Любые новые технологии несут с собой новые риски. Но если бы человек боялся всего нового, он так бы и остался в пещере, не изобрел бы огонь, двигатель внутреннего сгорания и атомную энергетику. Я верю, что новые технологии дают однозначные преимущества тому, кто ими обладает и умеет их безопасно использовать. Цифровизация становится новым двигателем для бизнеса и экономики при условии соблюдения достаточного уровня кибербезопасности. Это утверждение детально аргументирует новое исследование Cisco "Кибербезопасность как преимущество для роста", которое основывается на опросе более чем 1 000 топ-менеджеров.