Основные выводы для служб ИБ из отчетов по сетевой безопасности

Так сложилось, что практически одновременно в феврале 2017 года были опубликованы два схожих по тематике документа: “Обзор основных способов осуществления DoS/DDoS-атак” от Центра мониторинга и реагирования на компьютерные атаки ГУБиЗИ Банка России (FinCERT) и “Cостояние сетевой безопасности в 2016 году” от компаний Qrator Labs & Wallarm (скачать отчет).

Документы во многом перекликаются как по структуре, так и по содержанию (классификация атак на основе сетевой модели ISO OSI L2-L7), что неудивительно, так как обзор от FinCERT разрабатывался совместно с компаниями Qrator Labs (Россия) и Radware (Израиль).

Ниже привожу свои выдержки по отчётам FinCERT и Qrator Labs & Wallarm об основных тенденциях в области сетевой безопасности.

Состояние сетевой безопасности

• (FinCERT) сегодня ни одна компания не осуществляет бизнес без использования информационно-коммуникационных технологий, в основе которых лежат возможности глобальной сети Интернет

• одна из наиболее заметных тенденций 2016 года – использование устройств так называемого “Интернета вещей” (Internet of Things, IoT).

• (Qrator Labs & Wallarm) от DDoS страдают все отрасли — Интернет сейчас везде

• 2016 стал годом фундаментальных изменений в сфере сетевой безопасности

• конец 2016 года оказался необычным периодом времени, когда DDoS-риски опять оказались на первых полосах всех СМИ. Техническим специалистам вновь нужно обращать пристальное внимание на защиту от DDoS

• атаки на инфраструктуру (к примеру, DNS) стали явью, поскольку технические специалисты и люди вообще боятся того, что страшно, а не того, что опасно.

От себя добавлю, что этот тезис хорошо иллюстрируется таким слайдом:

• 2016 год показал, что хорошо направленная атака на инфраструктуру может нанести огромный косвенный урон всем связанным приложениям и сервисам, и в целом компаниям, зависящим от любых из этих технологий.

Ситуация более серьёзна, чем кажется

• (FinCERT) Что касается готовности к внешним атакам, то лишь малая часть компаний может сообщить хоть о каком-то уровне готовности к ним (особенно, к комплексным, продолжительным атакам)

• атакующий может многократно изменять способ воздействия, пока инженеры службы ИБ смогут идентифицировать изначальную атаку и отфильтровать её. При этом только 5-6% опрошенных (по данным компании Radware) считают, что имеют автоматизированные системы по борьбе с атаками.

• (Qrator Labs & Wallarm) инфраструктура Интернета не получает достаточного финансирования. Текущее снабжение не соответствует современному темпу развития Сети

• взрывной рост мощности кибератак (Mirai поднял планку возможной угрозы атакой в 1 Тбит/с)

• кибермошенники находят всё новые векторы для атак

• ботнеты значительно подешевели

• уязвим каждый тип аппаратного обеспечения

• число жертв или скомпрометированных устройств будет только расти

• “инфраструктура” атакующих тоже быстро меняется. В прошлом ботнеты состояли из компьютеров обычных пользователей. Сейчас мы наблюдаем миллионы устройств, которые никогда не обновляются, с паролями по умолчанию или вообще неизменяемыми

• так как кибератаки, как правило, автоматизированы, защита вручную не способна противостоять таким атакам

• современные кибератаки большая часть компаний не в состоянии выдержать

• целевые атаки на персонал с необходимым уровнем доступа: с паролями и ключами для FTP, SSH, VPN и т. д. обычно выполняется с помощью фишинга

• двухфакторная аутентификация всё ещё считается самым надёжным способом управлять деньгами, но она сильно полагается на смартфон и его экран, которые достаточно уязвимы

• нет уверенности в безопасности программного кода тех приложений, которые используются в компании

• теперь для проактивной защиты и интеграции техник информационной безопасности в процесс создания продукта компаниям нужно держать наготове разработчиков и специалистов безопасности

• повсеместная неосведомлённость компаний о технических недостатках на своём сетевом периметре

• утечки данных и крупные взломы теперь представляют опасность для самого существования компании.

Начало новой эры в DDoS

• (Qrator Labs & Wallarm) Случаи атак на Брайана Кребса, на американский DNS-провайдер Dyn, французский хостер OVH ознаменовали продолжающуюся эволюцию инструментов, техник и сетей для атаки.

Провайдеры и операторы сети вынуждены решать свои собственные проблемы, а не клиента

• (Qrator Labs & Wallarm) В мире хостинг-провайдеров клиент ограничен жёсткими соглашениями об используемых решениях защиты от DDoS. Как мы можем видеть, в этом мире провайдер не собирается защищать клиента любой ценой. После того, как мощность атаки дойдёт до определённой границы, и начнут страдать другие клиенты, провайдер сольёт весь трафик до атакуемого сервиса в blackhole community. Или вообще избавится от сервиса, как это произошло в 2016 году с компанией Akamai, предоставляющей услуги хостинга блогу Брайана Кребса “pro bono”. Akamai не смогла выдержать рекордную атаку в 620 Гбит/с ботнетом Mirai на блог Кребса и расторгла договор на оказание хостинг-услуг с блогером.

Что делать? Выбор решения по комплексной защите

• (FinCERT) Выбор решения по комплексной защите от DoS/DDoS-атак и атак на уязвимости web-приложений должен быть основан на следующих принципах:

1.     Необходимо оценить допустимое время потери работоспособности ваших услуг;

2.     Ключевым аспектом защиты является обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов независимо от того, осуществляется атака или нет;

3.     Выбирая систему защиты, следует ориентироваться на те, которые предлагают защиту от всех классов существующих атак;

4.     Система отражения должна срабатывать в автоматическом режиме за секунды, не требуя участия администратора. Система должна использоваться в режиме отражения атаки.

5.     Для отражения атак нулевого дня система должна содержать поведенческий анализ вплоть до 7-го уровня ISO/OSI;

6.     Система должна работать на канальном уровне модели ISO/OSI и не иметь видимых из-вне IP-адресов (либо максимально минимизировать их наличие);

7.     Выбирая средства борьбы с DDoS-атаками, имеет смысл рассматривать тех поставщиков , которые могут дополнительно (опционально) предложить облачный сервис очистки трафика.

8.     Необходимо обеспечить отражение атак внутри зашифрованного трафика (например, SSL).

9.     Система противодействия DDoS-атакам должна обладать модулем, который позволит обеспечить борьбу со сканированием (либо иметь в составе систему класса IPS).

10.  Крайне важным является наличие единой системы управления всеми входящими в состав решения компонентами.

11.  Наличие у поставщика решения службы поддержки, доступной 24/7/365.

• (Qrator Labs & Wallarm) всё больше компаний начинают задумываться о безопасности собственных сетей и приложений

• что делать в случае взлома? Иметь ответ становится жизненно важно (ещё почитать по теме “что делать?” можно здесь)

• для компаний важен проактивный мониторинг. Это относится не только к операторам связи, но и к любому сервису, чья постоянная доступность критически важна

• компаниям теперь необходимо “бежать быстрее”, но не жертвовать безопасностью

• в будущем эффективно противостоять кибератакам смогут только физически распределённые облачные сервис-провайдеры

• в защите корпоративных ресурсов компаниям поможет сотрудничество с провайдерами услуг типа анти-DDoS.

Вообще, хочу заметить, что оба обсуждаемых отчета по сетевой безопасности понравились своим содержанием, оформлением, а отчет от компаний Qrator Labs & Wallarm ещё и тем, что написан “живым” языком, не перегружен статистическими выкладками и, несмотря на объём (48 страниц), легко читается.