АЛЕКСАНДР ЛЯМИН, основатель и генеральный директор Qrator Labs

DDoS-атаки на банки:
нападения и защита

Распределенные атаки на отказ в обслуживании (DDoS, Distributed Denial of Service) впервые появились на страницах мировых СМИ в 1999 году, когда были выведены из строя сервисы крупнейших корпораций, таких как CNN, eBay, Amazon, E-Trade

С тех пор прошло много лет, однако до сих пор DDoS-атаки не утратили своей актуальности: они и сегодня остаются эффективным способом экономического и политического давления.

Более того, DDoS приобретает все более разрушительный характер: из строя выводятся уже целые дата-центры, и все чаще в фокус организаторов DDoS-атак попадают финансовые учреждения.

Финансовые и коммерческие потери из-за DDoS (упущенный доход, отток клиентов, ухудшение репутации) намного превышают операционные убытки.

В среднем доля финансовых и коммерческих убытков в общей величине ущерба, согласно исследованию института Ponemon, оценена в размере 86%.

По данным исследования Qrator Labs «Информационная безопасность в финансовом секторе 2017», почти половина опрошенных банков испытывала по крайней мере одну DDoS-атаку в прошедшем году.

Если раньше злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько различных уровней сетевой инфраструктуры модели OSI).

Давайте рассмотрим основные техники атак на финансовый сектор и расскажем, как защититься от них, чтобы сохранить доступность ресурсов и не потерять лояльность клиентов.

Амплификаторы, ботнеты и пострадавшие банки

Начиная с первой половины 2010-х годов и до сегодняшнего дня одной из самых популярных техник DDoS являются атаки с использованием техники амплификации. Атака типа Amplification (усиление) осуществляется следующим образом: на сервер, содержащий уязвимость, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. Фактические затраты злоумышленника на инфраструктуру, необходимую для организации атаки, в несколько десятков раз меньше, чем требуются компании-жертве, чтобы самостоятельно нейтрализовать такую атаку. Такие инциденты были наиболее распространены в 2014 году и продолжили тенденцию в 2015-м.

Сегодня техника амплификации «помогает» в проведении высокоскоростных DDoS-атак на ресурсы крупнейших финансовых организаций.

С 23 по 27 февраля 2018 года по всей Европе прокатилась волна атак с использованием техники амплификации на основе протокола memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы).

Среди атакованных – платежная система QIWI, специалисты которой подтвердили факт успешно нейтрализованной атаки полосой 480 Гбит/с UDP-трафика от скомпрометированных memcache амплификаторов.

Ботнеты – не менее популярный, а в последнее время «топовый» метод проведения DDoS-атак как в России, так и за рубежом. 19 сентября 2012 года массированные атаки поразили ведущие американские банки – Bank of America, JPMorgan Chase, Wells Fargo, U.S. Bank и PNC Bank.

Это была самая крупная в истории кибератака на финансовые организации, в результате которой ресурсы корпораций были не доступны в течение суток. Злоумышленники генерировали мусорный трафик с помощью ботнетов. Считается, что атака была организована Ираном в ответ на экономические санкции, введенные США и Евросоюзом против иранских финансовых учреждений.

В России сфера DDoS также не отстает. Так, 8 и 9 ноября 2016 года были атакованы веб-сайты как минимум пяти известных финансовых организаций из топ-10, среди них «Сбербанк», «Альфа-Банк», «Открытие», «ВТБ Банк Москвы» и«Росбанк». Атаки были организованы с помощью ботнетов, включающих десятки тысяч территориально распределенных машин интернета вещей. Максимальная полоса атак составила около 2 Гб/с.

Однако это еще не все. Начало 2018 года, а именно 28 января, было ознаменовано самой массированной за последние годы DDoS-атакой на мировой финансовый сектор с помощью нового варианта ботнета Mirai: бот-сети IoTroop. Лежащий в ее основе зловред способен проникать на сетевые и IoT-устройства не только подбором логинов и паролей, но также посредством эксплуатации уязвимостей. От атаки пострадали крупнейшие голландские банки – ING, ABN Amro, Rabobank.

Согласно данным Recorded Future, полоса атак в пиковые моменты достигала до 30 Гбит/с. В нападении приняли участие не менее 13 тысяч зараженных устройств, из которых 80% были роутерами производства MikroTik, остальные – серверы Apache и IIS, роутеры от Ubiquity, Cisco и ZyXEL, веб-камеры, телевизоры и видеорегистраторы. По мнению аналитиков, задачей кибератаки были компрометация финансовых организаций и нарушение работы серверов в сфере обслуживания.

Безопасность превыше… DDoS

Вне зависимости от того, какого типа атака обрушивается на финансовую организацию, для защиты существуют единые рекомендации, которые помогут избежать финансовых и репутационных потерь.

В современных реалиях, когда арсенал злоумышленников и техники атак постоянно развиваются и сложные DDoS-атаки могут исчерпать всю емкость интернет-канала «жертвы», на стороне атакуемого проблему не решить: эффективная защита может быть обеспечена только при привлечении внешнего решения – операторского класса или облачного.

Это касается и небольших банков, и крупных финансовых корпораций.

Банки, рассчитывающие на свои силы в защите и устанавливающие специализированные устройства (CPE, Customer Premises Equipment) в стойку с оборудованием в своем центре обработки, рискуют стать легкой жертвой злоумышленников.

Канальных емкостей компаний, даже самых крупных, для противодействия текущим вызовам DDoS-атак уже не хватает: нападения устраиваются с помощью огромных ботнетов, которые очень быстро забивают канал жертвы мусорным трафиком.

Поэтому с точки зрения эффективности решения на стороне банка окончательно устарели.

Да и операторские решения не всегда являются панацеей: сети провайдеров не рассчитаны на экстремальные нагрузки и зачастую не могут нейтрализовать высокоскоростные атаки (если в 2010 году скорость атак была порядка 100 Гбит/с, в2013-м – 300 Гбит/с, то в 2018 году скорость достигла 1,7 Тбит/с).

Сложная атака может перекрыть всю имеющуюся канальную емкость оператора, что выведет из строя большинство его клиентов.

С 2016 года произошел переход в защите от чистых операторских решений к специализированным геораспределенным сервисам, поскольку распределенной угрозе можно эффективно противодействовать, только имея распределенную сеть.

Если свой выбор банк остановил на облачном решении, то его обязательно рекомендуется проверить на наличие следующих характеристик:

• Распределенность – должно быть несколько географически разнесенных узлов, чтобы вывод из строя любого из них не оказывал влияния на сервис
• Полная автоматизация процесса фильтрации и постоянная фильтрация трафика 24/7. «Ручное» вмешательство порождает ошибки и не всегда приводит к нужному результату. Поэтому необходимо проводить глубокий анализ трафика и поведения пользователей в автоматическом режиме.

Взломы и дыры

Помимо защиты от DDoS-атак, финансовым организациям следует позаботиться и о защите от взлома.

Часто, запуская DDoS-атаку в качестве отвлекающего фактора, злоумышленники используют уязвимости приложений, чтобы получить несанкционированный доступ к данным, включая персональную информацию о клиентах, их счетах и прочие важные данные. Поэтому необходимо не только своевременно обнаружить и блокировать атаки на приложение, но и устранить возможность эксплуатации уязвимостей.

Эффективные системы защиты от взлома должны содержать следующие компоненты:

• проактивный фильтр, блокирующий большую часть атак на веб-приложение,
• систему обнаружения уязвимостей и система Virtual Patching (виртуальные патчи), защищающую приложения сайта от неисправленных уязвимостей, обнаруживая и блокируя попытки атак и вторжений в режиме on-line.

Не теряют своей актуальности и уязвимости у вендоров сетевого оборудования, которые часто являются одним из элементов атак на отказ в обслуживании. Используя «дыры» в маршрутизаторах, коммутаторах и других коммутационных устройствах, злоумышленники могут удаленно выполнять вредоносный код, проводить DDoS-атаки и перезагружать систему.

Новости об уязвимостях появляются с завидной регулярностью, производители выпускают необходимые патчи, которые по идее должны решить проблемы.

Однако в действительности отнюдь не все администраторы устанавливают обновления вовремя и максимально быстро, что зачастую может привести к фатальным последствиям для любой компании, и в особенности для финансового учреждения.

Что можно и нужно сделать, чтобы сетевое оборудование гарантированно не стало жертвой атаки: рекомендуется убедиться в обновлении всех маршрутизаторов и коммутаторов, а также отслеживать дату конца срока эксплуатации оборудования. Когда обслуживание вендором закончится, система вряд ли получит обновления, закрывающие уязвимости.

Ведение банковского бизнеса в глобальной сети, по сути, ничем не отличается от деятельности платежных систем или онлайн-ретейла: для них актуальны те же угрозы, те же риски и те же правила защиты, неважно продаете ли вы автомобили, кредитуете через интернет или предоставляете онлайн-доступ к услугам банка.

Безусловно, финансовый сектор находится на линии огня – уже не осталось банков, которые хотя бы раз не испытали кибератаку. Уровень конкуренции слишком высок, сегодня вопрос уже не в том, атакуют компанию или нет, а в том, когда это произойдет.

Поэтому крайне важно понимать, что подходы к обеспечению безопасности должны меняться в соответствии с быстрыми переменами ситуации на рынке. Какой бы метод защиты от атак ни выбрала финансовая компания, главное – помнить, что к атакам нужно быть готовым заранее, а построенная ИТ-инфраструктура должна полностью соответствовать объемам бизнеса компании.

Ключевые слова: DDoS-атаки, киберугрозы, защита.

Комментарии могут оставлять только зарегистрированные пользователи