Последние два года, прошедшие в условиях пандемии, привели к кардинальным изменениям в том, как мы живем, работаем и проводим свободное время. Рост удаленной работы прогнозировался давно, но пандемия воплотила эти прогнозы в реальность гораздо быстрее, чем ожидалось, и во многих случаях прежде, чем сети были действительно к этому готовы.
По мере того, как мы учимся жить с последствиями пандемии COVID-19, а так называемая «новая норма» становится просто «нормой», я полагаю, что в 2022 году поставщикам услуг потребуется уделять больше внимания сетевой безопасности для борьбы с растущим числом векторов атак, которыми могут воспользоваться злоумышленники, чтобы попытаться подорвать работу и/или похитить данные организаций во всех секторах экономики практически в каждой стране.
Одним из наиболее характерных методов, используемых для подрыва деятельности компаний, являются распределенные атаки типа «отказ в обслуживании» (DDoS-атаки), и их число непрерывно растет.
Во время DDoS-атаки киберпреступники перегружают сервер организации трафиком, чтобы нарушить нормальную обработку запросов, тем самым лишая пользователей доступа к подключенным онлайн-сервисам и сайтам. Подобные атаки не только мешают законным пользователям взаимодействовать с организацией, но и потенциально могут нарушить работу всей ИТ-инфраструктуры компании.
Число DDoS-атак растет, и необходимо им противостоять
В первой половине 2021 года было зарегистрировано огромное количество DDoS-атак — 5,4 миллиона. Это на 600 000 атак больше, чем за тот же период 2020 года, т.е. плюс 50 000 атак в месяц. 85% этих атак длились менее десяти минут — чтобы усложнить процесс их обнаружения. Все, кроме нескольких из них, имели скорость ниже 10 Гбит/с, поэтому были предельно целенаправленными, и практически каждая третья повторялась в течение семи дней.
К основным тенденциям, которые можно отметить применительно к DDoS-атакам, относятся:
Объем трафика. Киберпреступники всё чаще фальсифицируют исходные адреса жертвы DDoS-атаки и отправляют запросы на хост-сервер (рефлектор), который генерирует ответ, в несколько раз превышающий размер сообщения запроса, что приводит к большому объему трафика в рамках атаки. Злоумышленники, как правило, используют такие протоколы с высоким коэффициентом усиления между запросами и ответами, как DNS (система доменных имён), CLDAP (упрощённый протокол доступа к каталогам без подключения) и SNMP (простой протокол сетевого управления), а также используют несколько рефлекторов одновременно, тем самым затрудняя точное определение того, какая атака наносит наибольший ущерб.
Использование сервисов для заказа DDoS-атак. Эти сервисы позволяют киберпреступникам легко инициировать множественные атаки, особенно в сочетании с методами с большим объемом трафика.
Небольшой размер пакетов. Все чаще в DDoS-атаках используются пакеты небольшого размера, что позволяет избежать обнаружения: во время некоторых атак средний размер пакета составлял менее 100 байт.
Адаптивность. DDoS-атаки преобразуются в многоэтапные или последующие повторные атаки — например, начинаясь с помощью «грубой силы» путём перегрузки трафиком, атака затем трансформируется в объемную за счет отражения запросов с помощью ботнетов, генерирующих запросы по протоколу UDP из сфальсифицированных реальных источников, а далее превращается в целенаправленную попытку перегрузить трафиком определенные API сервисов IP-телефонии.
Координация. В Бразилии более 50 местных операторов мобильной связи подверглись атакам в течение 1-3 минут, причем основная часть атак началась одновременно, что явно указывает на скоординированную работу хакеров.
Пограничные контроллеры сессий могут быть мощным инструментом защиты
Любой компонент ИТ-инфраструктуры организации может стать объектом DDoS-атаки, в том числе серверы и сервисы IP-телефонии (VoIP). Одним из важных инструментов, который можно использовать для противодействия DDoS-атакам на серверы VoIP, является пограничный контроллер сессий. Пограничные контроллеры сессий (SBC) уже долгое время считаются основой системы безопасности сетей IP-телефонии благодаря их способности обнаруживать подозрительную или аномальную сетевую активность и принимать меры в режиме реального времени, позволяя свести к минимуму подверженность сетей постороннему воздействию.
Функция пограничного контроллера сессий заключается в специализированном управлении протоколом инициирования сеансов связи (SIP) и протоколом реального времени (RTP), которые используются для обмена данными сервисов IP-телефонии, видеозвонков или обмена мгновенными сообщениями. Он применяется для управления каждым сеансом связи или соединением между сетями и для обеспечения безопасности и качества услуг передачи данных (QoS) в рамках сеанса связи, а также обеспечивает дополнительные функции для оказания услуг межсетевого взаимодействия. Пограничные контроллеры сессий обеспечивают повышенную защиту от DDoS-атак и других угроз безопасности.
Как защититься от DDos-атак?
Какие же меры должны предпринять поставщики услуг, столкнувшись с растущей угрозой, которую представляют DDoS-атаки для их сетей, заказчиков и репутации?
Мы приведем четыре ключевые рекомендации по борьбе с потенциальными DDoS-атаками в 2022 году для поставщиков услуг:
1. Повысьте уровень безопасности межсетевых соединений. Работайте с одноранговыми узлами IP-сетей для повышения защиты путем переноса межсетевых IP-соединений с протокола UDP на протокол TCP для SIP-телефонии (атаки на основе UDP составили
44% всех атак в первой половине 2021 года.) Кроме того, внедрите шифрование межсетевых IP-соединений с использованием протокола TLS для передачи сигналов и протокола SRTP для передачи мультимедиа. Например, в сервисах Microsoft Teams Direct Routing и Operator Connect подобное шифрование является обязательным.
2. Обращайте внимание на оповещения/сигналы тревоги при сканировании портов. Для осуществления DDoS-атак необходима брешь в системе защиты, а сканирование является ключевым методом поиска открытых портов, поэтому система обнаружения вторжений должна активно отслеживать их состояние, чтобы предупреждать о существенных изменениях объема трафика или аномальных источниках сканирования портов.
3. Проверьте и оптимизируйте решения для отражения DDoS-атак. Крайне важно провести анализ и проверку существующих в настоящее время процедур и методов защиты от DDoS-атак и определить, следует ли их изменить, и если это необходимо, какие изменения нужно внедрить для оптимизации защиты и минимизации негативных последствий.
4. Проверьте и оптимизируйте пограничные контроллеры сессий при необходимости. Поставщики решений для предотвращения негативных последствий DDoS-атак обычно включают функцию межсетевого экрана для веб-приложений (WAF) для обеспечения безопасности 7-го уровня, но сервисы IP-телефонии не являются традиционными веб-приложениями, и для обеспечения этой функции им требуются пограничные контроллеры сессий. Следовательно, важно также проверить функциональные возможности существующих пограничных контроллеров сессий и убедиться, что их конфигурации обновлены. К примеру, как давно обновлялись списки управления доступом, и указаны ли в них адреса аномальных источников сканирования портов?
В наши дни выявление и отражение DDoS-атак стало неотъемлемой частью бизнес-стратегии каждого поставщика услуг. В то время как киберпреступники будут пытаться и дальше оставаться на шаг впереди новейших средств обнаружения, поставщики услуг могут предпринять действенные меры в 2022 и последующие годы, чтобы защитить не только свою репутацию и бренд, но и свои сети, интеллектуальную собственность, своих сотрудников и их каналы взаимодействия с заказчиками и деловыми партнерами.