Qrator и Wallarm: инфраструктура под прицелом

Компании Qrator (она предоставляет услуги защиты от DDoS-атак) и Wallarm (обеспечивает защиту веб-приложений) обнародовали информацию о числе хакерских атак на их клиентов в 2014 г. Эти компании обеспечивают безопасность серверных компонентов информационных систем клиентов, которые атакуют даже чаще, чем клиентские приложения. В частности, Qrator за год зарегистрировала 9519 атак на клиентов, а Wallarm – аж 750 000. И хотя максимальное число DDoS-атак в день сократилось за год со 151 до 131, среднее количество атак в день увеличилось c 18 до 28.

Впрочем, злоумышленники наиболее активно действовали в зоне ответственности Wallarm. При этом многие атаки на веб-приложения были связаны с «именными» уязвимостями – Heartbleed и Shellshock. Иван Новиков, основатель Wallarm, сообщает, что под основным ударом оказались игровые сайты, рекламные сети, сайты электронной коммерции, платежные системы и банки, сайты СМИ. Кроме того, отмечен рост интереса хакеров к системам NoSQL и «больших данных». В них хранится достаточно много информации, но защищены они не очень хорошо, а потому становятся привлекательными для злоумышленников. Сейчас разрабатываются методы атак на такие системы, и через некоторое время они станут не менее «популярными», чем SQL-инъекции.

Александр Лямин, генеральный директор Qrator, рассказывает, что уязвимым оказалось и сетевое оборудование, которое имеет хорошую связность с Интернетом. «За счёт уязвимости Heartbleed хакеры получили контроль над достаточно мощным оборудованием, – отмечает Лямин, – поэтому возможно, что в 2015 г. мы увидим увеличение мощности DDoS-атак. Вполне вероятно, что они превысят предел 100 млн пакетов в секунду.»

Кроме того, по его словам, в 2014 г. начались DDoS-атаки на инфраструктурное оборудование сети – на маршрутизаторы. Они, как правило, имеют открытые порты ssh, telnet, netconf и протоколов маршрутизации. В результате у злоумышленников появляется возможность обращаться к этим портам напрямую и занимать непродуктивной работой центральные процессоры, выводя устройства из строя. Ресурсов для такой атаки нужно не очень много – маршрутизаторы, как правило, имеют ограниченное количество вычислительных ресурсов. А значит, с помощью атак на инфраструктурные элементы можно выводить из строя, в том числе, крупных провайдеров, забить каналы которых с помощью массовой атаки не получится. В частности, из-за «инфраструктурной» атаки в 2014 г. была несколько часов недоступна сеть Telia-Sonera в Стокгольме.

Защититься от такой атаки достаточно сложно, поскольку это требует согласованных действий операторов. Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности, рекомендует операторам правильно настаивать телекоммуникационное оборудование. Магистральные устройства должны управляться только с внутренних адресов, а доступ извне блокируется на сетевых платах маршрутизаторов достаточно быстро. Граничные маршрутизаторы следует настроить на получение маршрутной информации только от устройств соседнего провайдера, для чего и нужно заключать договоры о взаимной настройке. При заключении договора с провайдером компаниям стоит настраивать соединения так, чтобы маршрутная информация поступала только с адресов провайдера, а управление обеспечивалось изнутри сети. «Защита от атак на инфраструктурные элементы заключается в правильной настройке оборудования, – поясняет Лукацкий. – Все технологии такой защиты в наших устройствах уже есть.»

Впрочем, по мнению Александра Лямина, в 2015 г. хакеры будут атаковать ЦОДы облачных операторов. Сейчас они контролируют высокопроизводительное оборудование, подключённое к Интернету по высокоскоростным каналам, что и позволяет им осуществлять массовые атаки на операторов. «Для того чтобы самостоятельно отражать DDoS-атаки, операторы должны иметь внешнюю связность 300 Гбит/с, – сетует Лямин. – Причём такая избыточность пропускной способности в нормальной ситуации не нужна, а потому дополнительных доходов не принесёт.» Он прогнозирует, что в 2015 г. вполне возможны атаки мощностью до 300 Гбит/с.