Интервью с экспертом: «Эволюция атак DDoS на фоне цифровизации»
Судя по отчетам аналитиков, большинство атак DDoS совершаются по обкатанной технологии – злоумышленники используют бот-сети для массированной отправки запросов с использованием различных сетевых протоколов. Остановилась ли на этом эволюция в области DDoS? Или злоумышленники изобретают новые методы распределенных атак?
Конечно эволюция DDoS не остановилась, и она не остановится в обозримой перспективе. Атаки, направленные на отказ в обслуживании, – это очень динамичная часть общего ландшафта киберугроз. И киберпреступники все время изобретают новые техники подобных атак. В качестве простого примера приведу новый класс атак, который злоумышленники взяли на вооружение во второй половине 2019 года. Это техника Amplification с помощью TCP/IP, так называемая атака SYN/ACK Amplification. Ее особенность в том, что злоумышленник фактически атакует не конечную цель, а разного рода облака, подключенные к Сети по каналам с высокой пропускной способностью. На каждый полученный SYN-пакет (SYN-запрос - запрос на подключение по протоколу TCP) эти облака генерируют от двух до четырех пакетов SYN/ACK, в зависимости от реализации облака. Происходит всего-навсего двух-четырех кратное увеличение трафика. Но из-за того, что облака устроены особенным образом (это связано с топологией сети), атака SYN/ACK Amplification является исключительно болезненной для большинства операторов связи.
Мы (в Qrator Labs) с этим классом атак в теории знакомы уже несколько лет, но на практике увидели их только в 2019 году. Осенью мы наблюдали серию таких атак на европейские дата-центры, часть из которых, к слову, являлись поставщиками услуг защиты от DDoS-атак. И эти атаки были очень успешными для злоумышленников. Некоторые из сервис-провайдеров на несколько суток приостановили оказание своих услуг. Я бы не хотел сейчас вдаваться в технические детали, объясняющие произошедшее. Просто скажу, что такова особенность тех облаков, которые используются для разгона атаки амплификации. Используются при этом облачные инфраструктуры Amazon, Google, Akamai Technologies, и даже облако Cloudflare было задействовано для этих атак. К сожалению, хорошего ответа, как нейтрализовать подобные атаки, у индустрии до сих пор нет, хотя серия инцидентов, в которых использовалась технология SYN/ACK Amplification, началась еще в августе 2019 года.
У данной атаки есть один очень любопытный эффект: настоящая жертва атаки является ее соучастником, и по факту сама становится SYN-флудером. То есть цель, которую выбрали злоумышленники, производит SYN-флуд, допустим, в облако Amazon. Там видят этот SYN-флуд и начинают его блокировать. В итоге цель теряет доступ к своим ресурсам, находящимся в Amazon. А в нынешнем связанном мире это могут быть репозитарии с разными образами Docker (платформы для разработки, доставки и эксплуатации приложений) и прочими полезными вещами. При этом у атакуемого приостанавливается эксплуатация сетей и приложений, потому что прерывается доступ к репозитариям с софтом. Получается такой эффект, который специалисты шутливо назвали «DDoS второго уровня вложенности». Так что, DDoS – это очень динамичная тема.
Посмотрим на четыре основные вектора атак. Они направлены на полосу (канальный уровень), инфраструктуру сети (сетевой уровень), TCP/IP-стек (транспортный уровень) и приложения (прикладной уровень). Мы видим, что за последние пять лет большинство атак было нацелено именно на полосу. Вторыми по популярности у злоумышленников являются атаки на стек TCP/IP. Это распределение довольно устойчивое. Тут всё весьма статично последние годы, но это не значит, что в области DDoS нет подводных камней.
Для примера приведу простой факт: в TCP/IP есть такое понятие, как Sequence number. Это переменная, содержащая порядковый номер пакета. И вот, зная его, в TCP/IP соединении можно подменить данные в трафике или вывести соединение из строя. С миграцией на стогигабитные каналы стек TCP/IP становится небезопасным. Потому что, если стогигабитный канал использует и атакуемый интернет-сервис, и атакующий его злоумышленник, последний может со стопроцентной вероятностью в течение минут подобрать Sequence number и вывести сеть из строя. Это доказывает, что поле угроз DDoS не будет статичным пока Интернет развивается и растет. Поле DDoS меняется вместе с Интернетом, с развитием сетевых технологий и сетевого оборудования.
Ведь оборудование (тут мы говорим о сетевом уровне) тоже использует определенные алгоритмы, у которых могут быть собственные уязвимые точки. Сейчас, просто потому что все остальные методики DDoS настолько эффективны, просты и доступны, у злоумышленников нет большого желания смотреть в сторону оборудования. Но вот, например, пять лет назад на конференции BlackHat мы рассказали, как основной протокол динамической маршрутизации в Интернете BGP (Border Gateway Protocol) может использоваться для атак DDoS или для успешных взломов. Пять лет назад мы это заявили на площадке BlackHat, и тогда индустрия, видимо, была не готова к нашему сообщению. А мы хотели специалистам по безопасности донести простую мысль, что многие из них воспринимают Интернет, как некое нерушимое полотно, на котором они уже выстроили информационную инфраструктуру. Они строят свои стратегии безопасности, исходя из нерушимости Интернета. На самом деле он таковым не является. Это полотно может быть подвержено определенным манипуляциям. И вот сейчас пошла новая волна атак, в том числе DDoS и взломов, с использованием манипуляций с BGP. За последние два года зафиксировано как минимум четыре случая, когда были использованы манипуляции с BGP для воровства денежных средств (биткоинов), а также для вывода из строя каких-то важных целей. То есть мы видим еще один новый вектор атак на сетевую инфраструктуру, который пока мало используется. Однако это временное затишье – злоумышленники ищут эффективные способы эксплуатации BGP.
Теперь о приложениях. Этот уровень самый актуальный с точки зрения атакующих. Здесь их основная техника нападения - ботнеты. Тут ничего не менялось, ботнеты остаются самым эффективным средством для реализации атак на приложения.
Как в будущем будет меняться природа атак DDoS, учитывая тенденцию цифровизации экономики, развитие Интернета вещей, интеграцию открытых сетей с АСУ ТП? Это же почва для появления новых ботнетов.
Я искренне надеюсь, что цифровизация экономики и Интернет вещей не добавят киберпреступникам новых возможностей для реализации атак DDoS. Надеюсь, индустрия Интернета вещей все сделает правильно – изучит опыт соседних индустрий по миграции в публичные сети и облака. Такой опыт есть, например, в интернет-коммерции.
Но риски конечно есть. Для Интернета вещей они очень велики. В нем сейчас все очень хорошо подключено, но плохо защищено. Пользовательские приборы стоят довольно дорого, они оснащены мощными процессорами, памятью. На этой базе действительно можно создавать эффективные ботнеты и задействовать их в процессе атак.
Несколько иная ситуация с АСУ ТП. Там, как правило, оборудование весьма ограничено в доступных ресурсах. Потому что АСУ ТП – это масштабная система с большим количеством устройств, и любые избыточные ресурсы для каждого подключенного элемента АСУ ТП существенно удорожают всю систему. Бизнес не станет тратить деньги напрасно. Все экономят, и это благо для всех, потому что в данном случае минимизируются и расходы на создание АСУ ТП, и риски реализации атак DDoS.
Но АСУ ТП – это часть индустрии ИТ, которая развивается параллельно с развитием облаков, 5G, Интернета. Если бы я отвечал на этот ваш вопрос раньше, то сказал бы, что он некорректен, поскольку АСУ ТП – это закрытые индустриальные сети, и проникнуть в них нельзя; это как бы отдельный полностью замкнутый цикл, не подверженный рискам DDoS. Теперь все изменилось. Экономика говорит нам, что облака дешевле, чем собственная инфраструктура, и экономика неизбежно будет подталкивать АСУ ТП к использованию облаков и Интернета, VPN поверх Интернета. А в тот момент, когда происходит использование общей инфраструктуры (публичных облаков и сетей), возникают риски ИБ. Думаю, что в следующую пятилетку сообщения об успешных атаках на АСУ ТП будут появляться в прессе все чаще и чаще. Цифровизация производств сопряжена с миграцией АСУ ТП в публичные сети и облака, изолированно предоставляющие в аренду один и тот же ИТ-ресурс одновременно множеству клиентов (мультитенант-облака). И только наиболее критичные промышленные системы – объекты атомной энергетики, военные объекты – будут оставаться в замкнутом цикле. Я очень хочу на это надеяться, но вижу, что уже сейчас это не так. В сентябре 2019 года в Индии на АЭС Куданкулам обнаружили ВПО. Это доказывает, что успешные атаки на АСУ ТП критичных объектов возможны.
Но чаще это не DDoS атаки, а целенаправленные атаки, связанные с внедрением ВПО. Насколько велик риск, что на острие атак против АСУ ТП появится именно DDoS?
На мой взгляд, нецелевых атак уже не осталось. Или они совсем скоро перестанут существовать. То есть в следующее десятилетие мы войдем, когда практически каждая атака будет целевой. И многие целевые атаки будут осуществляться с использованием методов DDoS, в том числе на АСУ ТП. Думаю, это случится, как только произойдет некоторое проникновение публичных облаков и сетей в контуры производственных систем, хотя бы даже частных. Например, какая-то часть АСУ ТП станет взаимодействовать с внешними репозитариями софта или данных, скажем, геоданных. И тут сразу возникают риски. Вопрос в том, насколько эффективно эти риски нападающая сторона сможет реализовать.
Клиенты Qrator Labs уже сталкивались с атаками DDoS на свои объекты АСУ ТП?
Клиентов со своими АСУ ТП у нашей компании пока немного. Хотя у нас есть защитные решения для технологических систем, завязанных на финансы, платежные системы, платежные терминалы. Думаю, что здесь как раз профиль наших клиентов будет меняться. АСУ ТП идет в массы. Для этого таким системам нужно быть экономически эффективными. Значит, они пойдут в сторону публичных сетей. Тут возникают риски DDoS. Поэтому мы в Qrator Labs на индустрию АСУ ТП смотрим, как на новое поле для развития нашего бизнеса. Смотрим с большим интересом.
Что подвергнется наибольшему риску при атаках на АСУ ТП? Физические компоненты, реализующие технологические процессы (через управляющие контроллеры), информационные системы, осуществляющие управление техпроцессами, или коммуникационные каналы, обеспечивающие обмен данными и управление в АСУ ТП?
DDoS – это проблема, которая возникает прежде всего в верхней части стека протоколов передачи данных. Чем ниже мы спускаемся по стеку, тем больше ресурсов требуется атакующему для проведения успешной атаки. Есть конечно исключения из любого правила, но в целом порядок таков. Поэтому, если посмотреть на АСУ ТП, у нас там обычно на верхнем уровне стека находится система диспетчерского управления и сбора данных SCADA (Supervisory Control And Data Acquisition). И SCADA, находясь на верхнем уровне, безусловно самая уязвимая для атак DDoS. Соседствующая с ней распределенная система управления DCS (Distributed Control System) – следующая потенциальная цель для атакующих.
Здесь важно понимать, что любые системы управления хороши, когда они масштабны и развернуты не для одного цеха предприятия, а охватывают множество предприятий в стране или даже в регионе мира. В таких масштабах организация выделенной инфраструктуры становится исключительно дорогим удовольствием. Не каждый бизнес имеет для этого необходимые ресурсы. И бизнес, стараясь оптимизировать расходы на создание и обслуживание современных АСУ ТП, будет вынужден связывать их с облаками. Следовательно, риски для АСУ ТП возрастут.
Как организовать эффективное противодействие атакам DDoS на АСУ ТП?
АСУ ТП, как индустрия, имеет сейчас уникальную возможность учесть опыт других индустрий. Нужно просто посмотреть, как они пришли в публичные сети, с какими проблемами столкнулись при этом в сфере безопасности. И сделать для себя выводы, в том числе в области защиты от атак DDoS. Также будет полезно внимательно проанализировать подходы к дизайну сетевых протоколов для АСУ ТП, предусмотреть меры противодействия DDoS-атакам при переходе АСУ ТП в облака. То есть сделать определенные выводы до того, как войти в эту бурную реку, посмотреть на предыдущих пловцов, в том числе не очень удачливых.
О противодействии. Есть несколько основных рекомендаций на этот счет. Во-первых, используйте в решениях АСУ ТП криптографию, аутентификацию и авторизацию, обязательно встроенные. Во-вторых, своевременно обновляйте встроенное программное обеспечение устройств (прошивки). Здесь очень важна ответственная позиция вендоров, поставляющих такие устройства на рынок. Если бы они своевременно устраняли уязвимости в своих продуктах и предлагали пользователям обновления прошивок, не было бы такого массового заражения ВПО устройств Интернета вещей, не было бы катастрофической истории с Mirai. И третье: оптимизируйте дизайн сетевых протоколов, чтобы минимизировать риск атаки на канальном уровне.
Ваша компания обслуживает не только российских, но и зарубежных клиентов. Есть ли разница в типах атак DDoS, которым подвержены российские и зарубежные компании? В чем она?
Глобализация затронула не только экономику, но криминал в сфере ИТ. И если раньше, например, 10 лет назад DDoS-атаки на российские компании обладали некоторой уникальностью, то сейчас, я бы сказал, какой-то специфики здесь не наблюдается. Все атаки DDoS более-менее похожи по миру.
Как защищены российские и зарубежные клиенты от атак DDoS? Есть ли разница в уровне защиты от атак DDoS между ними?
Начнем с восприятия самой проблемы. В последние два года мы плотно работаем с нашими европейскими партнерами. И Европа по каким-то причинам сталкивается с DDoS-атаками реже, чем российский бизнес. Кроме того, в Европе привыкли, что на государство можно положиться, и там всегда ожидают определенной помощи от силовых структур. У европейцев меньше опыта столкновения с проблемой DDoS и больше надежд на помощь государства. Поэтому подготовленность (в среднем) европейских компаний к проблематике DDoS ниже, чем в России. Это то, что видим мы.
Тут есть один важный момент. Допустим, у вас в компании есть стратегия по противодействию DDoS-атакам, написанная на основе каких-то аналитических данных. Возможно вы даже раз в полгода пересматриваете свою стратегию защиты, глядя на то, как поменялся ландшафт угроз. Это очень правильно, потому что, если вы пересматриваете стратегию раз в год, то через пару лет уж точно проиграете атакующим. Но, если стратегия актуальна, а у вас нет живой практики применения и эксплуатации средств защиты, готовность к отражению нападений падает, чувство опасности притупляется. Это очень наглядно продемонстрировал осенний всплеск успешных атак на европейские дата-центры. Например, одной из жертв атаки стала компания Serverius в Нидерландах – очень крупный дата-центр, который сам является поставщиком услуг защиты от DDoS. Он достаточно серьезно пострадал. У них были и системы, и процессы, и возможности для реагирования. Они были готовы к DDoS-атакам, но не были готовы к новым DDoS-атакам. Они, как генералы, которые готовились к прошлой войне. Это в Европе.
У нас в целом восприятие проблемы DDoS и готовность бизнеса к ее решению я бы назвал удовлетворительными. А российский финансовый сектор просто очень хорошо подготовлен к соответствующим рискам. Если помните, одно время российские банки сильно страдали от атак DDoS. Сейчас ситуация совершенно иная – сведений об успешных атаках в прессу практически не попадает. Это не значит, что самих атак нет. Точно могу сказать, что в банковском секторе их количество растет. Просто банковская индустрия воспринимает эту угрозу серьезно и научилась противодействовать DDoS-атакам. И тут определенно есть заслуга регуляторов, включая Банк России, которые разработали необходимые методики и рекомендации по безопасности. Это образец того, как государство может работать эффективно и приносить индустрии хорошие результаты.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
