DDoS-атаки как эффективный инструмент для нанесения экономического и репутационного урона бюджетным и коммерческим организациям любых размеров и профилей деятельности с каждым годом становятся всё более частыми и разрушительными. И это неудивительно, так как способы генерации большого количества трафика известны, а стоимость проведения атак не так уж велика. Для того чтобы заспамить и «уронить» канал паразитным трафиком или исчерпать ресурсы операционной системы атакующей стороне потребуется один или два сервера в хостинге, который не реагирует или очень медленно реагирует на жалобы, а обнаружив слабые места Web-приложений, можно подменить атакованный ресурс поддельным.

Как в случае с одним из наших клиентов – крупной бюджетной организацией, сотрудники которой в один из рабочих дней обнаружили что отчёты не отправляются, так как информационная система работает нестабильно, а иногда просто недоступна пользователям. Данная информационная система расположена на вычислительных ресурсах одного из крупных «облачных» провайдеров на которого, собственно, и была нацелена хакерская атака. Специалисты провайдера в рамках работ по противодействию атаке на «первом этапе» полностью заблокировали весь сетевой трафик, в том числе и «легальных пользователей», что привело к невозможности пользователей клиента решать свои рабочие задачи. Вместе с тем был ограничен и доступ технических специалистов, обслуживающих информационную систему.

После того, как специалисты компании КАМИН подключились к решению проблемы, первое что было сделано – добились от провайдера восстановления доступа для технических специалистов. Учитывая тот факт, что «легальные пользователи» клиента находились в рамках одного географического региона, был составлен список диапазонов сетевых адресов от которых могут поступать запросы к информационной системе - «белый список».
После этого была организована фильтрация сетевого трафика на основе данного «белого списка». Любой входящий трафик от источника, не входящего в этот список был запрещён. Так же потребовалось убедить провайдера разрешить сетевой трафик до сетевого адреса информационной системы клиента, что позволило восстановить работоспособность системы с минимальными затратами как по времени, так и по финансам. Провайдер, используя «стрессовую» ситуацию «ненавязчиво» начал предлагать платные дополнительные услуги по фильтрации сетевого трафика, но фактически для клиента в этом уже не было необходимости.

Для снижения вероятности возникновения подобных инцидентов и минимизации возможных последствий мы рекомендуем подходить к организации защиты ресурсов комплексно, заблаговременно и профессионально.
Хорошей практикой можно считать использование облачных решений, в которых реализована автоматическая система обнаружения вторжений (IDS – Intrusion Detection System), однако и она не всегда способна защитить информационную систему, подверженную атаке. Очень важно определить, какая именно защита требуется вашим ресурсам: достаточно ли фильтровать пакеты сетевого (L3 по модели OSI) и транспортного (L4) уровней, нужен ли анализ трафика на уровне приложений (L7), передаваемого по протоколам HTTP / HTTPS или «поверх» них, какие ресурсы можно защитить с раскрытием приватных ключей SSL, а какие нельзя. Эту работу лучше доверить квалифицированным специалистам. Сотрудники нашей компании помогут вам преодолеть возможные трудности при решении такой важной задачи.

Такую работу лучше доверить квалифицированным специалистам. Сотрудники нашей компании помогут вам преодолеть возможные трудности при решении такой важной задачи.