Атаки на инфраструктуру российских компаний. Жизнь под давлением

Привет.

Начиная с марта российская инфраструктура находится под постоянным давлением извне, идет поиск уязвимых мест. Потребность в защите от DDoS-атак выросла на порядки, причем способы защиты в разных компаниях придумываются свои, мысль бурлит. По большому счету, жизнь под давлением стала привычной для большинства компаний, теперь защита от внешнего воздействия усиливается всеми, закладывается в IT-бюджеты. Емкость этого рынка резко выросла, готовых специалистов с гулькин нос, отсюда появление десятков тысяч рабочих мест. Указом президента, подписанным первого мая 2022 года, также регулируется создание подразделений информационной безопасности в государственных компаниях плюс корпорациях с госучастием. Рынок информационной безопасности растет как на дрожжах, а вполне реальное давление, оказываемое на российские ресурсы, делает задачу тем интереснее.

Самым распространенным инструментом для вмешательства в работу той или иной компании, сервиса стал классический DDoS. Выбранная жертва забрасывается пустыми запросами, чтобы забить канал и загрузить оборудование, — часто в таких атаках участвуют как ботнеты, так и люди, которых собирают для осуществления подобных диверсий. Например, в украинских Telegram-каналах ничуть не скрывают, какие цели намечают, и призывают, используя нехитрый инструментарий, атаковать российские ресурсы.

Самым простым способом защиты становится отключение доступа к ресурсам со стороны IP-адресов вне России или оговоренного списка исключений. Острота DDoS-атаки таким нехитрым приемом снижается на порядки, качественно забить информационным шумом чужой канал не получается. Яркими примерами ресурсов, что находятся под таким давлением, может стать сайт «Российских железных дорог» или оператор «МегаФон».

Дешево, надежно и практично можно откинуть злонамеренные компьютеры и пользователей. Этот способ защиты освоило большинство компаний, кто-то его использует, кто-то включает более продвинутый анализ — когда поведение анализируется для каждого соединения, они добавляются в белый или черный списки. Чуть более сложная система, но она тоже надежно защищает сервисы и сайты.

Например, приложение РЖД работает из других стран практически всегда, а вот приложение того же «МегаФона» — частично, не все пункты меню открываются. Хотя оператор видит, что в вашем смартфоне стоит его SIM-карта.

Ограничения носят вынужденный характер, так как в сети появилось множество варваров, которые пытаются сломать работающие сервисы, но сделать в лоб у них это не получается. Отсюда полноценная информационная война, когда в оружие пытаются превратить обычных людей, заставить их «ломать» сервисы. После объявления о частичной мобилизации появился вброс о том, что проверить, призвали вас или нет, можно на сервисе «Госуслуги». Учитывая важность информации, туда одновременно бросились миллионы людей, что в итоге ограничило к нему доступ, несколько часов он не работал. Причем не работал не только для тех, кто хотел посмотреть статус повестки (его там не было вовсе), но и для тех, кто совершал привычные операции — смотрел свои штрафы, заказывал справки и так далее. Манипуляция людьми сработала на ура, внутри России возник своего рода DDoS, когда обычные люди загрузили сервис. Такие пиковые нагрузки невозможно заложить в систему, она рассчитана на обычное использование, когда люди более-менее равномерно подходят к системе. А не пытаются в короткий отрезок времени попасть в нее одновременно. И причина не в ошибках тех, кто проектировал сервис, а в аномальности самой ситуации. Вброс в полной мере удался, на несколько часов сервис перестал работать. И это создает не просто неудобства, убытки можно измерять во вполне реальных деньгах.

Для интернет-магазинов убытки еще более ощутимыми, ведь каждая минута недоступности означает потерянных клиентов, тех, кто не заказал товар. В последние недели идут постоянные атаки на ряд компьютерных магазинов, они координируются на Украине. Недавняя атака на DNS и «Ситилинк» проходила под эгидой того, что в этих магазинах продаются квадрокоптеры и поэтому нужно сделать так, чтобы сайты не работали максимально возможное время. Вектор атаки подбирается умелыми людьми, это не толпа. Изучается защита от DDoS, других возможностей и варьируются инструменты, которые затем выдают всем желающим. Этакий государственный терроризм на чужой территории, когда спонсором атак на гражданскую инфраструктуру выступает непосредственно государство. Оно изучает слабые места защиты и потом проводит атаку, привлекая к ней сторонних людей.

Перебои в работе того же сайта «Ситилинка» связаны с внешними атаками, причем паттерн таких атак всегда меняется. От простых запросов, что заваливают канал или провайдера, атакующие могут перейти к эмуляции живых людей, чтобы отбить атаку было максимально сложно.

До недавнего времени считалось, что атакующие тратят меньшие ресурсы, чем те, кто защищается. Стоимость DDoS на фоне потенциальных убытков атакуемого была минимальной. Как ни странно, массовое распространение атак на ресурсы привело к повышению их стоимости, что сделало экономику не такой однозначной. С другой стороны, конкуренция среди тех, кто защищает ресурсы, появление массового рынка привели к удельному снижению как себестоимости, так и предлагаемых цен для компаний. Парадоксально, но факт — стоимость атак выросла, стоимость защиты за счет ее массового применения сократилась.

Считайте меня оптимистом, но мне кажется, что уровень как специалистов, так и компаний растет только под давлением. Когда все хорошо, нет причин быстро развиваться. Так и тут — мы получаем новый опыт, подчас уникальный, учимся жить под давлением, которое не исчезает. Жизнь заставляет работать на опережение.

Давным-давно в банках, которые заботятся о безопасности своих клиентов, появилась не просто идентификация по номеру телефона, также проверялся номер SIM-карты, при ее изменении нужно было повторно привязать свой номер к счету, заодно проверялось, на каком устройстве вы все это делаете. Простая, не очень замысловатая проверка, которая гарантировала безопасность вашего счета, делала его взлом крайне кропотливым делом. Можно было считать, что большинство банков внедрят такие проверки, сделают их доступными по умолчанию. В нескольких банках, услугами которых я пользуюсь, все было именно так.

С 1 октября 2022 года ЦБ РФ на уровне закона сделал такую защиту необходимой, меня удивил плач Ярославны со стороны некоторых банков, которые посчитали эти меры ненужными, драконовскими. То есть реально существовали банки, где такие простые шаги не были предприняты в прошлом. Представляете? И ведь это по умолчанию компании, которые должны быть на острие прогресса, защищать своих пользователей и их деньги всеми возможными способами. Будь такой способ защиты (читай — дополнительных проверок) сложным и дорогим, я бы это понял. Но в общей канве мер безопасности в банках это не так сложно и дорого. Значит, те, кто не использовал эти простые и действенные методы, просто ленились, сейчас же их заставляет регулятор. И это тоже приятная новость, так как по умолчанию безопасность всех систем вырастет, станет заметно лучше.

Мы не можем забыть о человеческом факторе, о том, что информационной безопасностью в компаниях занимаются люди с разной подготовкой, жизненным опытом. Говорить об однородности опыта людей в разных компаниях невозможно. Но угрозы, возникающие и реализуемые на практике, приводят к тому, что информационные системы взламывают, а их в итоге волей-неволей приходится защищать. Нарабатывается тот самый опыт. Помните пословицу, что за одного битого двух небитых дают? Так и тут. Опыт благодаря постоянным атакам извне появляется очень интересный. И его невозможно получить в теоретических занятиях. Благодаря непрекращающемуся внешнему давлению возникло понимание важности информационной безопасности, на ней теперь стараются не экономить и перестали подходить к этому вопросу как к гипотетическому. Впервые во многих организациях за этим стали следить руководители, ведь это их точка уязвимости, Ахиллесова пята.

Но главное, что нужно зазубрить каждому из нас, — именно мы сами по себе являемся точкой уязвимости, наши действия открывают ворота для злоумышленников. Нужно соблюдать цифровую гигиену, не совершать опрометчивых поступков, от которых потом будет безумно грустно, но ничего исправить будет нельзя. Думайте о том, что вы делаете и как, а главное, зачем. Спешка нужна только при ловле блох, в реальном мире никогда не стоит спешить, особенно когда речь идет о защите вашей информации.

Меня часто спрашивают, когда закончатся атаки на российскую инфраструктуру. Лучше всего исходить из простого предположения, что такие атаки будут всегда, они не остановятся, а их масштаб будет то нарастать, то уменьшаться. И жизнь в таких условиях не так тяжела, как кажется на первый взгляд. Да, расходы немногим выше, но выигрыш от этого несоизмерим. Системы российских компаний проходят проверку боем. Потери на этом пути неизбежны, вопрос в том, что нужно исправлять все недочеты и закрывать прорехи от атакующих. И, по большому счету, это получается сделать.

[email protected]
наверх