На сегодняшний день Аринтег (зарегистрированная торговая марка ООО «ARinteg») является одним из ведущих игроков на российском рынке информационной безопасности. Имеет статуc Kaspersky Platinum Partner.

Но все эти усилия могут оказаться бесполезными перед угрозой, от которой просто невозможно застраховаться — перед DDoS-атаками.

DDoS-атака (англ. Distributed Denial of Service — «распределённая атака типа «отказ в обслуживании») — атака на вычислительную систему, выполняемая одновременно с большого числа компьютеров, с целью довести атакуемую систему до отказа, т.е. цель атаки — создание таких условий, при которых легитимные пользователи системы или совсем не могут получить доступ к предоставляемым системой ресурсам (сервисам), или этот доступ для них затруднён.

Все DDoS атаки можно разделить на два типа:

• канал связи атакуемой сети переполняется большим количеством «мусорного» трафика;
• на сервер, где размещен атакуемый ресурс, отправляется большое количество «мусорных» запросов, что перегружает вычислительные мощности сервера и он теряет возможность обрабатывать легитимные запросы.

Опасность DDoS-атак заключается и в том, что, будучи направлены только на один из ресурсов, они могут оказать влияние на другие ресурсы и системы, размещенные в тех же сегментах сети, что и атакуемый ресурс. Кроме того, в последнее время все чаще объектами атак становятся не просто интернет-порталы, но и иные доступные в интернете сервисы и приложения. В результате атака, направленная, например, на серверы электронной почты, может помешать нормальному функционированию бизнес-процессов всей организации, а при перегрузке каналов связи из-за атаки на интернетпортал может затруднить связь с дополнительными офисами и филиалами, парализовать работу сети терминалов и т.п.

В зависимости от сферы бизнеса, в которой работает та или иная компания, простой сервисов в результате DDoS-атаки может повлечь за собой:

• падение продаж
• убытки от простоя демонстрации рекламы и т.п.
• недовольство клиентов и контрагентов
• срыв бизнес-процессов
• сокрытие других, осуществляемых параллельно атак
• прямой ущерб от воздействия на системы электронных торгов и т.п.

К сожалению, в силу ряда причин организация DDoS-атак становится все доступнее. Минимальная стоимость 1 дня атаки составляет 3–5 тысяч рублей. Это способствует тому, что DDoS становится распространенным оружием конкурентной борьбы. По статистике «Лаборатории Касперского», мишенью DDoS-атак становятся компании, занимающиеся самым разным бизнесом.

Распространенные средства защиты, увы, не способны в полной мере противодействовать DDoS-атакам:

• межсетевые экраны и системы IDS/IPS: находятся непосредственно перед защищаемым ресурсом и бессильны против переполнения канала связи;
• маршрутизация в «черные дыры», применяемая провайдерами, заключается в блокировке атакующего трафика. Однако таким образом блокируются и легальные запросы, то есть злоумышленники достигают своей цели — ресурс становится недоступным для пользователей;оптимизация настроек ресурса помогает только от маломощных атак;
• многократное резервирование ресурсов — крайне дорогой, а значит, недоступный для большинства организаций способ.

Последнее время вопросам защиты от DDoS-атак уделяется внимание в отраслевых стандартах и сборниках лучших практик в области обеспечения информационной безопасности:

Kaspersky DDoS Protection

Сервис Kaspersky DDoS Protection представляет собой мощную систему распределенной фильтрации трафика, состоящую из географически распределенных высокопроизводительных центров очистки трафика, подключенных к интернету по высокоскоростным каналам связи. Такое решение позволяет выдержать DDoS-атаку практически любой мощности.

Для выявления паразитного трафика во время атаки в системе Kaspersky DDoS Protection, среди прочих, применяется следующий ряд критериев фильтрации трафика:

• статистический: основан на анализе отклонения статистических параметров трафика от средних значений;
  
• статический: основан на черных и белых списках, в том числе формируемых пользовательскими приложениями через API;
  
• поведенческий: основан на анализе соблюдения или несоблюдения спецификаций прикладных протоколов;
  
• сигнатурный: основан на анализе индивидуальных особенностей поведения ботов и т.п.

Система включает в себя набор программных компонентов, необходимые технические средства, а также персонал, который обслуживает систему, осуществляет взаимодействие с клиентами и занимается анализом, способствующим качественному управлению системой.

Быстрое и точное распознавание атак

Сенсор «Лаборатории Касперского», установленный в облаке KDP либо на площадке заказчика, собирает данные о трафике, строит профили типичного поведения пользователей и различные модели трафика. После этого решение постоянно следит за поведением трафика в режиме реального времени. Любая аномалия, которая может указывать на возможную атаку, немедленно распознается. Одновременно с этим эксперты постоянно отслеживают ситуацию с DDoS-угрозами, чтобы вовремя предотвратить возможные запланированные атаки. Постоянный экспертный мониторинг позволяет оперативно реагировать на опасные изменения в характеристиках происходящей атаки.

Варианты противодействия DDoS-атакам

В зависимости от ваших целей, ресурсов и сетевой инфраструктуры, есть три версии решения, которые вы можете выбрать:

• KDP Connect – перенаправление трафика изменением DNS-записи в режиме Always On, доставка очищенного трафика осуществляется через прокси-сервер, GRE-туннели или через выделенную линию.
• KDP Connect + – перенаправление трафика средствами протокола BGP в режиме Always On, доставка очищенного трафика осуществляется через GRE-туннели или выделенную линию.
• KDP Control – перенаправление трафика средствами протокола BGP в режиме On Demand, доставка очищенного трафика осуществляется через GRE-туннели или выделенную линию.

В состав системы Kaspersky DDoS Preventoin входят следующие компоненты:

• сенсор;
  
• центр очистки трафика;
  
• подсистема управления;
  
• портал.
  

Сенсор

Назначение сенсора — собирать информацию о трафике, направленном на ресурс клиента, и предоставлять ее системе Kaspersky DDoS Protection для анализа и своевременного выявления аномалий. На основании данных, полученных от сенсора, в системе Kaspersky DDoS Protection строятся статистические профили трафика, которые позволяют своевременно выявлять отклонение параметров трафика ресурса и создавать критерии для статистических методов фильтрации.

Центр очистки трафика

Назначение центра очистки — очистка перенаправленного трафика от паразитной составляющей.

Центр очистки представляет собой программный компонент системы, развернутый на нескольких серверах, выполняющих роль:

• фильтрующего маршрутизатора, фильтрующего маршрутизатора, принимающего решение по пропуску того или иного трафика на основании профиля фильтрации, переданного с подсистемы управления;
• прокси-сервера, обеспечивающего перенаправление очищенного трафика на ресурс клиента

Один центр очистки может обслуживать несколько сетевых ресурсов одного или нескольких клиентов.

Подсистема управления

Подсистема управления обеспечивает координацию работы всех компонентов системы и равномерное распределение нагрузки на компоненты системы.

Портал

Портал представляет собой WEB-портал, при помощи которого Клиент системы Kaspersky DDoS Protection может контролировать параметры работы системы, анализировать параметры трафика ресурса и возникающие аномалии.

Интерфейс системы Kaspersky DDoS Protection

Конкурентные преимущества Kaspersky DDoS Protection

• Система защиты Kaspersky DDoS Protection — это эффективная распределенная система фильтрации трафика готовая принять на себя мощь практически любых DDoS-атак.
  
• Надежность работы сервиса обеспечивается за счет территориального распределения компонентов системы, что исключает их одновременный выход из строя вследствие различных причин. Система Kaspersky DDoS Protection не зависит от какоголибо конкретного провайдера, что также повышает ее надежность и отказоустойчивость.
  
• Система Kaspersky DDoS Protection в режиме 24х7 поддерживается командой профессионалов, которые уже 5 лет занимаются вопросами защиты от DDoS-атак, изучают методы и способы, применяемые злоумышленниками для нападения на интернет-ресурсы.
  
• На компонентах системы Kaspersky DDoS Protection применяется комплекс статистических, сигнатурных, поведенческих и иных методов очистки трафика, что позволяет защищать ресурсы и от сложных интеллектуальных атак, которые уже преодолели другие средства защиты, в том числе от атак типа low rate.
  
• В систему Kaspersky DDoS Protection включена функция детектирования атак при помощи сенсоров, размещенных непосредственно около защищаемого ресурса, что позволяет незамедлительно реагировать на любые отклонения трафика.
  
• Работа системы Kaspersky DDoS Protection основана на индивидуальном подходе к защите каждого ресурса или сетевого сервиса. Для каждого защищаемого объекта в системе создаются индивидуальные профили фильтрации трафика.
  
• Система Kaspersky DDoS Protection разработана ведущей антивирусной компанией, аналитики которой постоянно изучают самые последние версии вредоносного ПО. В структуру «Лаборатории Касперского» входит специальное подразделение, которое занимается исключительно изучением зомби-сетей и борьбой с ними, поэтому мы обладаем самой свежей информацией о тех методах, которые используют злоумышленники, и можем эффективно противостоять им.
  
• Сервисом Kaspersky DDoS Protection можно воспользоваться заранее, подключившись к нему для предотвращения возможных атак, а также после того, как атака уже началась.
  
• По желанию клиента специалисты «Лаборатории Касперского» после отражения атаки на ресурс могут подготовить для заказчика полный пакет документов для передачи в правоохранительные органы.
  
• Система Kaspersky DDoS Protection — гибкое решение, ее работа основана не только на фиксированном наборе параметров, но и на наборе правил, которые могут вручную добавляться аналитиками системы прямо в ходе отражения атаки.
  
• Обновление функционала Kaspersky DDoS Protection может происходить непосредственно в ходе отражения атаки.
  
• Многоуровневая смешанная фильтрация с использованием поведенческого и статистического анализа позволяет отражать атаки, которые проходят через многие другие системы защиты.
  
• В ходе мероприятий по защите администраторы системы Kaspersky DDoS Protection дают клиенту рекомендации по администрированию защищаемых веб-сайтов и прочих ресурсов.
  
• Сама атака может быть настолько мощной, что вполне способна перегрузить канал, ведущий к конкретному (небольшому) провайдеру услуг. Центры очистки Kaspersky DDoS Protection подключены к интернету через нескольких провайдеров по высокоскоростным каналам связи, что серьезно затрудняет возможность их перегрузки.
  
• Провайдер, использующий в своей сети средства защиты от DDoS, может защитить только своих клиентов. Система Kaspersky DDoS Protection может защитить ресурс, расположенный в любом месте сети.
  
• Система Kaspersky DDoS Protection используется многими компаниями для защиты своих сетевых инфраструктур, что позволяет специалистам «Лаборатории Касперского» постоянно изучать новые механизмы и особенности работы бот-сетей.