Хакеры ведут «ковровые» DDoS-атаки на поставщиков интернет-услуг, и это бьет по их клиентам. Компаниям надо оценить качество защиты, предоставляемой провайдером, и иметь «план Б» — способы быстро восстановить работу. О них расскажет Валентин Бостанов, руководитель направления хостинга Рег.ру.
Сегодня многие компании переходят на использование облачных технологий для хранения данных и предоставления услуг клиентам. Это позволяет сократить затраты на инфраструктуру и повысить гибкость своих решений. Однако вместе с этим возникают и риски — хакеры ведут DDoS-атаки не на отдельные компании, а непосредственно на облачных провайдеров.
Так, с сентября 2023 года хактивисты (политически мотивированные хакеры) усиленно атаковали российских провайдеров, нацеливаясь даже на небольшие региональные организации. В мае 2024 года число кибератак выросло вдвое по сравнению с аналогичным периодом 2023 года. Сменилась и тактика злоумышленников — вместо выборочных кибератак они проводят «ковровые», целясь на все сервисы провайдеров сразу. Максимальная мощность таких атак составляет 830 Гбит/с, что приводит к серьезной перегрузке сетевого оборудования.
По данным аналитиков, эффективность атак на энергетический сектор, финансовую сферу и ритейл — а это самые популярные у хакеров направления, — составила 21%. В то же время эффективность атак на провайдеров оказалась в два раза выше — 42%.
Почему хакеры атакуют провайдеров
Для злоумышленников не имеет значения размер цели, их главная задача — нанести максимальный урон. Поэтому крупным хакерским группировкам целесообразнее атаковать не отдельные компании, а провайдеров, которые хранят данные большого количества клиентов. Массивы данных могут содержать конфиденциальную информацию о десятках и сотнях компаний. Даже если хакеры не сумеют получить к ним доступ, успешная DDoS-атака может остановить работу сайтов и приложений, что приведет компании к финансовым и репутационным потерям.
Поэтому бизнесу стоит тщательно выбирать поставщика услуг, оценивать надежность провайдера и сосредоточить внимание на разработке стратегии, которая поможет снизить репутационные и финансовые риски при возможных атаках на провайдера. Надежные провайдеры имеют больше возможностей для защиты от DDoS и способны выдерживать более мощные атаки в течение длительного времени.
Как оценить степень ИБ, которую предоставляет провайдер
Вот несколько вопросов, которые стоит задать провайдеру, чтобы убедиться в его надежности.
Предусмотрены ли в дата-центре резервные каналы связи?
Резервирование каналов связи обеспечивает непрерывность работы даже в случае сбоев основного канала. Провайдер должен иметь несколько независимых маршрутов передачи данных, чтобы избежать простоев. Если в сети провайдера произойдет авария, резервный канал должен автоматически включиться и поддерживать работу сервиса.
Предоставляет ли провайдер защиту от DDoS-атак на уровне L3/L4?
L3/L4 уровни защиты представляют собой сетевой и транспортный уровни модели OSI. Защиту от DDoS-атак на этих уровнях надежные провайдеры предоставляют бесплатно, поэтому ее наличие следует рассматривать как обязательное условие при выборе хостера. Эти меры гарантируют стабильность работы сети и защиту от злоумышленников.
Защита на более высоких уровнях, например, на уровне конкретных приложений (L7), приобретается компаниями отдельно, поэтому не лишним будет убедиться, что провайдер предоставляет и такую услугу.
Предоставляет ли провайдер доступ в дата-центр в случае критической ситуации?
Этот вопрос актуален для тех компаний, которые арендуют физические серверы в центрах обработки данных провайдера. В таком случае важно убедиться, что в случае экстренной ситуации возможен физический доступ к оборудованию. План аварийного восстановления (BIA) должен предусматривать возможность быстрого реагирования для восстановительных работ, требующих физического присутствия, для сохранения или переноса данных на новые носители в случае длительных или необратимых сбоев в ЦОД (например, если ЦОД поврежден в результате землетрясения или пожара).
Кроме того, у компании должна быть возможность физического доступа при использовании USB-токенов — специальных ключей, которые обеспечивают двухфакторную аутентификацию пользователя и/приложения.
Дублирует ли провайдер критические узлы инфраструктуры в разных дата-центрах?
Распределенная сеть ЦОД позволяет улучшить производительность и обеспечить более высокую отказоустойчивость. В случае выхода из строя одного ЦОД остальные центры продолжат работать, обеспечивая бесперебойную доступность сервисов. .
Что учитывает SLA?
Service Level Agreement, или SLA, — документ или набор документов, где провайдеры обозначают сроки, в которые должны устранять возникающие инциденты, и свою ответственность. Он определяет обязательства провайдера по предоставлению определенных уровней качества и доступности услуг. Например, в SLA провайдеры обозначают сроки, в которые должны устранять возникающие инциденты, и ответственность сторон. Важно изучить все условия SLA, включая время реакции на инциденты, доступность сервисов, время простоя и процедуры разрешения споров.
Что можно предусмотреть бизнесу уже сейчас для защиты от хакеров
Полностью защититься от DDoS-атак невозможно, особенно если хакеры атакуют не вас напрямую, а провайдера, у которого размещены ваши данные. И всё же некоторые меры следует предпринять уже сейчас, чтобы снизить репутационные и финансовые риски. Вот они:
- Используйте DNS-серверы, которые предлагает провайдер. Если вы размещаете на одной услуге и веб-сервер для работы сайта, и DNS-сервер для работы домена — во время атаки оба ресурса окажутся недоступны (вы не сможете сменить IP-адрес сайта, чтобы переключить работу на другого провайдера). Поэтому целесообразнее использовать распределенные отказоустойчивые DNS провайдера. Даже если веб-интерфейс недоступен из-за DDoS — можно обратиться в техподдержку и попросить сменить IP-адрес вручную.
- Храните резервные копии сайтов и приложений, независимо от того, какую отказоустойчивость обеспечивает провайдер. В каждой компании должен быть разработан план с действиями, которые следует предпринять в случае атаки на провайдера. Так, например, стоит держать резервные копии на локальном сервере и при необходимости, если прогноз провайдера негативный, можно развернуть инфраструктуру на новом IP-адресе или даже у другого провайдера.
- Компании, которым важна связь с клиентами, могут подготовить второй лендинг на случай атаки. Например, если ваш основной сайт окажется недоступен, можно запустить готовый лендинг с чат-ботом для связи с клиентами. Так вы сможете снизить финансовые издержки. Для запуска резервного сайта необязательно разрабатывать дизайн и писать код с нуля — достаточно будет одностраничного лендинга, собранного в конструкторе.
- Используйте несколько каналов для связи с клиентами. Например, помимо сайта можно принимать обращения в соцсетях или мессенджерах.
Атаки на хостинг-провайдеров и облачные платформы — серьезная угроза, которая может повлиять на бизнес. Поэтому важно, чтобы предоставляемые услуги имели высокий уровень безопасности. Чтобы обезопасить себя от финансовых и репутационных рисков, а также от потери важных данных, следует обращаться к надежным провайдерам и иметь план действий при возникновении инцидентов.