Андрей Бондаренко, эксперт компании Qrator Labs, поделится опытом защиты от DDoS-атак, расскажет о современных трендах и даст прогнозы о том, какие виды DDoS будут наиболее «популярны» в следующем году.
Алексей Афанасьев, эксперт InfoWatch, расскажет о подходе компании InfoWatch в борьбе с таргетированными атаками, о философии Continuous Security, а также о многомодульном решении InfoWatch Attack Killer, реализованном на технологиях компании Qrator Labs, Wallarm и Appercut и Cezurity.
1. Защита веб-приложений –
вопрос доступности
Афанасьев Алексей
Aleksey.Afanasev@infowatch.com
Бондаренко Андрей
AB@qrator.net
2. Сегодня в эфире
Введение в проблематику
DDoS и защиты от атак
Классификация атак
Экономика атаки
Варианты решений защиты
3. Традиции и проблемы
Безопасность
сложна и может
навредить
бизнесу
Отставание
средств защиты
и нехватка
компетенций
Увеличение
технологических
возможностей атак
с развитием ИТ
Бурное развитие
сложных
корпоративных
систем
Высокий уровень
кастомизации
приложений
Появление
новых и более
сложных угроз, к
которым рынок
не готов
4. Разведка
Отвлечение внимания
Вход в систему
Сокрытие следов
Закрепление в ИТ-
системе и долгосрочное
нахождение в компании
DDoS-атака
• Сканирование веб-инфраструктуры
жертвы на уязвимости;
• Разведка в части внутренней защиты
компании
DDoS-атака
• Уязвимости веб-инфраструктуры,
• Фишинг
• Уязвимости бизнес-приложений
• Вредоносное ПО, не детектируемое
базовыми средствами защиты
• Уязвимости приложений
Типичный сценарий
развития атаки
5. Что такое DDoS-атака?
Тип атак на бизнес приложения или сетевую инфраструктуру
компании с целью отказа в доступе ресурсов/приложений или
затруднения доступа к ним
6. Жертвами DDoS-атак становятся компании,
для которых сайт …
Банки и финансы
Государственный сектор
Страхование
Интернет-магазины
СМИ
основа бизнеса и
репутации
основной канал
взаимодействия с
заказчиками и партнерами
а также компании, бизнес-
процессы которых
построены
преимущественно или
исключительно через
Интернет-коммуникации
7. ЦОДы: панацея от DDoS-атак?
Стильно, модно, молодёжно и вроде бы надёжно…
Сертификации Uptime Institute Tier III/Tier II/Tier I
8. А поможет ли это при…?
Атаках на инфраструктуру
сетевой безопасности?
Малозаметных атаках на
приложения (Application
attack)?
Атаках типа
“переполнение” канала
связи (Volumetric attack)?
Можете ли вы точно сказать
- взламывали ли вас или
нет?
Сможете ли вы понять, кто
вас атаковал и когда была
атака?
9. А у нас уже есть…
Межсетевые экраны
(FW)
обеспечивают
целостность данных или
процедур, которое могут
быть достпуны только
авторизованным сторонам
Intrusion Prevention
Systems (IPS)
обеспечивают
целостность данных,
обеспечивая возможность
изменять информацию
авторизованными
методами
Все FW и IPS являются устройствами с контролем сессий
(stateful), поэтому сами по себе могут быть целью атак
Существующие системы защиты периметра не
нацелены на обеспечение доступности данных
11. Как выбрать решение защиты?
Почему просто не купить
оборудование и не поставить его
на входе в корпоративную сеть?
А вы готовы оперировать себя
самостоятельно, даже если вы
врач-хирург?
Владелец ресурса может попытаться защититься от DDoS
самостоятельно
12. Как выбрать решение защиты?
Защита хостинг/провайдера
Чем услуга очистки трафика в чистом
виде может выгодно отличаться от
решения операторского класса?
Вы готовы доверить ветеринару
лечить вашего ребенка?
14. На базе технологий
Qrator Labs
Qrator Labs -
новый лидер на рынке защиты от DDoS
• Лучший в своем классе
• Более 10 лет на рынке защиты от
DDoS
• Инновационные и уникальные
технологии
• Клиенты: крупнейшие компании
различных отраслей
19. Амплификаторы
UDP
SRC: target IP
DST: DNS IP
Payload: TXT?
DNS IP
TXT:
AAAAAAA[2048]
UDP
SRC: DNS IP
DST: traget IP
Payload:
TXAAAAAAA[2048]
1 пакет
over9000
пакетов
Способ реализации
21. Амплификаторы
• всего обнаружено за 3.5 месяца: 4 153
• из них с влиянием для
внутрироссийского трафика: 608
Инциденты с маршрутизацией
22. Атаки на TCP
Тысячи, десятки тысяч ботов
Чуть более интеллектуальная атака
Может заваливать и канал тоже
Особенности атак
Виды
SYN-floodACK-flood Connection flood и т.п.
23. Атаки уровня приложения
Таргетированная атака на медленную часть веб-
приложения
Рост популярности в последнее время
Сопровождается атаками первых двух типов
25. Экономика атаки
AMP:
сервер за
~$50/месяц +
список
амплификаторов
Bots:
~ $100 —$1000
Индивидуальный
подход:
>$1000
Атака стоит меньше,
чем конкуренция
Убытки стоят дороже,
чем защита
26. Самостоятельная защита
Дополнительные
расходы на
канальную емкость
Дополнительные
расходы на
квалифицированный
персонал
Непрофильная
деятельность
Полный контроль
вместе с полной
ответственностью
за результат и в
случае успешной
DDoS-атаки на
плечах клиента
Может сработать
на простых
случаях
27. Вендорские решения
Дополнительные
расходы на
канальную емкость
Дополнительные
расходы на
квалифицированный
персонал
Цена решения +
амортизация +
ежегодная поддержка
Всегда можно
показать заказчику
из бизнес-
подразделения
28. SaaS
сервис работает as is
легко заявить то,
чего нет
сервис - основной
бизнес
поставщика
CapEX = 0
легко заменить
29. InfoWatch Attack Killer
AntiDDoS
Архитектура системы
Ключевые возможности и
преимущества
Интеграция с другими компонентами
АК
Qrator: цифры
Как проверить, что защита
существует и работает
30. InfoWatch Attack Killer
AntiDDoS
Система представляет собой распределенную сеть
фильтрующих узлов на магистралях крупнейших Интернет-
провайдеров России, США, Европы и Азии, благодаря чему
DDoS-атаки блокируются на начальном этапе
InfoWatch Attack Killer
AntiDDoS -
- модуль
обнаружения
гарантированного
предотвращения
масштабных и
комплексных
DDoS-атак
32. Основные
характеристики сети
фильтрации Распределенная сеть узлов фильтрации
• Около 1000 Гбит/с пассивной полосы пропускания -
детерминированная обработка IP-пакетов без установления
TCP-соединения;
• Более 200 Гбит/с активной полосы пропускания - каждое
входящее TCP-соединение обрабатывается и анализируется;
• <5% ложных срабатываний в процессе отражения DDoS-
атаки;
• Время обучения сети от момента подключения нового клиента
- менее 2 часов:
• в 33% случаев - до 4 минут;
• в 60% случаев - от 5 минут до 1 часа.
• Добавленное время задержки при проксировании трафика –
от 0 до 100 мс.
33. InfoWatch Attack Killer by Qrator
Географически распределенная AS
Отказоустойчивость до 99,9%
34. InfoWatch Attack Killer by Qrator
QRATOR FILTERING
NODE
CLIENT HTTPS
SERVER
CLIENT
APPLICATION
QRATOR FILTERING
NODE
CLIENT HTTPS
SERVER
CLIENT
APPLICATION
API
ACCESS LOG
Работа как обратный HTTP-proxy
35. InfoWatch Attack Killer
by Qrator
Балансировка
SSL с раскрытием
сертификатов и без
Заглушки
QRATOR FILTERING
NODE
36. Qrator: цифры
>150 Гб - максимальный размер
отраженной атаки
>450 000 ботов full browser stack
>100 атак в одни сутки
37. Хакерская группа DD4BC
…платежные системы,
биржи обмена
криптовалюты и игровые
сайты
Злоумышленники
шантажировали
DDoS-атаками…
…Qrator успешно
нейтрализовал
последовавшие атаки
скоростью 50-60 Гбит/с
Объектами атаки часто становятся ресурсы, для которых ущерб от
остановки работы может измеряться миллионами долларов
38. Прямая речь
«Те, с кем мы имели дело, не просто мошенники в
узком смысле этого слова, потому что ресурсами
они располагают. И утверждать, что они не
обладают заявленными возможностями для
организации атаки со скоростью 400-500 Гбит/с,
мы с уверенностью не можем. Развернуть такую
атаку в адрес одной определённой сети — задача
крайне нетривиальная. Исходя из здравого смысла,
конечно, можно предположить, что вымогатели
завышают свои способности в 3-4 раза»
43. InfoWatch Attack Killer
AntiDDoS
Непрерывная безопасность постоянно меняющихся
объектов защиты, нивелирующая человеческий фактор
Выпуск обновлений
Выпуск кода в
«продакшн»
Комплексная защита веб-инфраструктуры
44. Почему Attack Killer ?
Управление всеми модулями через единый веб-интерфейс
Не требует специализированных знаний для интерпретации отчётов
Чтобы получать информацию о попытках атак только из отчетов
45. Почему Attack Killer ?
Включил – и работает!
Защита начнется сразу после включения
Каждый из модулей автоматически
адаптируется к защищаемому объекту и
его изменениям
Внедрение комплекса займет от
нескольких минут до нескольких
часов
46. Помогает выполнять
требования
регуляторов
Приказ ФСТЭК России
№21 и №17, ФЗ-
№152, PCI DSS, СТО
БР ИББС, НДВ4, SDL
Почему Attack KIller?
Единственное в мире решение,
объединившее лучшие технологии
Решение-конструктор
Позволяет использовать каждый модуль по отдельности, в
любых сочетаниях, а также быстро расширить используемый
комплекс до полного комплекта
50. Radar.Qrator.net
Решение для DNS:
дополнительный устойчивый DNS
Решение для VoIP:
работа с семантикой протокола.
Для других сервисов:
rate limit, белые списки, геофильтрация
Фильтрация UDP (DNS/VPN/VoIP)
52. Спасибо за внимание!
Обсудим это?
Афанасьев Алексей
Aleksey.Afanasev@infowatch.com
Бондаренко Андрей
AB@qrator.net
Hinweis der Redaktion
Современная высокопроизводительная сетевая инфраструктура
Превосходное серверное оборудование
Бесперебойное электропитание
Автоматическая система пожаротушения
Высоклассные и отказоустойчивые системы охлаждения
Получение сертификаций Uptime Institute Tier III/Tier II/Tier I
Система представляет собой распределенную сеть фильтрующих узлов на магистралях крупнейших Интернет-провайдеров России, США, Европы и Азии, благодаря чему DDoS-атаки блокируются на начальном этапе
комплексное решение InfoWatch Attack Killer, который состоит из 4 модулей
InfoWatch Attack Killer Targeted Attack Detector (TAD) - модуль обнаружения вредоносного программного обеспечения на рабочих станциях и серверах посредством статического и динамического анализа аномалий.
InfoWatch Attack Killer Custom Code Scanner (CCS) – для поиска уязвимостей приложений на основе анализа исходного кода;
InfoWatch Attack Killer WAF – для защиты веб-приложений от хакерских атак и обнаружения уязвимостей;
InfoWatch Attack Killer AntiDDoS – для защиты от DDoS-атак;