DDoS-атаки не менее опасны вирусов. Почему важно от них защищаться? - Рамиль Хантимиров - Интервью - 2020-10-20
И.Карпушкин
―
В эпоху пандемии растет интерес к интернет-технологиям, возможностям удаленной работы и дистанционного образования. И в таких условиях одним из важнейших вопросов становится вопрос информационной безопасности, защищенности информационных ресурсов.И сегодня у нас есть возможность поговорить об этом.
Уважаемые слушатели «Эхо Москвы» с вами технокультуролог, Иван Карпушкин, и Маргарита Ставнийчук…
М.Ставнийчук
―
Добрый день!
И.Карпушкин
―
Здравствуйте!И наш собеседник Рамиль Хантимиров, CEO и со-основатель международной компании «StormWall», который специализируется на защите IT-инфраструктуры от DDoS и хакерских атак.
Рамиль, добрый день!
Р.Хантимиров
―
Добрый!
М.Ставнийчук
―
Здравствуйте!Я напомню нашим слушателям, что вы можете смотреть YouTube-трансляцию на канале «Эхо Общество». Подключайтесь, ставьте лайки, комментируйте и задавайте свои вопросы.
И.Карпушкин
―
Давайте поговорим об этих DDoS-атаках. Как человек, который долгое время имел отношение к информационной безопасности, я точно знаю, что для сетевых ресурсов такие атаки не менее опасные, чем различные вирусы. И конечно же, важно знать как от них можно защититься.Рамиль, давайте для начала расскажем нашим слушателям что такое DDoS-атака и как она устроена.
Р.Хантимиров
―
Давайте сначала разберемся что означает аббревиатура DDoS. DDoS – это Distributed Denial of Service. То есть распределенный отказ в обслуживании.Это такая хакерская атака, которая ведет к недоступности того или иного онлайн-сервиса. Это может быть, например, сайт, веб-приложение, онлайн-игра или даже целая сеть.
Распределенная означает, что атака осуществляется с большого количества источников. Это может быть множество зараженных компьютеров или серверов, либо специально собранные для атаки стенды, с которых она запускается.
Давайте рассмотрим типичный пример DDoS-атаки на сайт.
Представьте, что на ваш сайт одновременно в одну секунду заходят 10 тысяч посетителей. Сервер просто не справится с такой нагрузкой и у настоящих пользователей сайт перестанет открываться. Это и есть DDoS-атака.
М.Ставнийчук
―
А кто их запускает и для чего они это делают?
Р.Хантимиров
―
Ну, DDoS-атаку сейчас очень легко купить в интернете. И ее стоимость начинается всего с нескольких долларов. И более того, часто предлагается бесплатный пробный период.Поэтому чисто технически атаку сейчас может запустить любой. Это может быть ваш конкурент, недоброжелатель или просто мошенник, цель которого получить с вас деньги за остановку этой атаки на ваш ресурс.
По нашему опыту из того, что мы чаще всего наблюдаем среди наших клиентов, в первую очередь целью атаки является недобросовестная конкуренция.
Например, на 8 марта от атак традиционно страдают интернет-магазины цветов. Конкуренты пытаются положить друг другу сайты, которые выпадают в поисковой выдаче по запросу «купить цветы», чтобы привлечь к себе больше клиентов, чтобы сайты конкурентов при этом были недоступны.
А теперь представьте сколько подобному интернет-магазину будет стоить 1 день простоя 8 марта. Что говорить о более крупном бизнесе, там убытки оцениваются в миллионы.
М.Ставнийчук
―
Просто сейчас сразу хочется спросить, а как-то это можно регулировать законодательно? Потому что можно ли наказать своих конкурентов?
Р.Хантимиров
―
За организацию DDoS-атаки у нас предусмотрено в стране наказание, это от штрафа до 7 лет лишения свободы. Но проблема здесь заключается в том, что найти того, кто ее организовал и доказать.
И.Карпушкин
―
Да, доказать, наверное, будет достаточно проблематично.
М.Ставнийчук
―
Да.
И.Карпушкин
―
О DDoS-атаках известно давно. Они как-то меняются со временем? Увеличивается ли их мощность? Появляются ли новые типы? И можете какие-то тренды основные выделить в этой сфере?
Р.Хантимиров
―
Мощность атак действительно увеличивается с каждым годом. Это можно объяснить и тем, что дешевеет интернет, каналы интернет, дешевеют вычислительные мощности для генерации атак.Если, например, 5 лет назад еще атаку, которая превосходит 100 гигабит в секунду, можно было встретить довольно редко, то сейчас мы практически каждый день наблюдаем подобные мощности.
И также стоит отметить, что появляются новые виды атак. Это связано с тем, что хакеры постоянно находят уязвимости в приложениях и в протоколах. Появляются новые техники усиления атак, так называемые амплификации, что позволяет атакующему, даже имея мало ресурсов, запустить очень мощную атаку, которая усилится в несколько раз, с использованием каких-то уязвимостей в серверах, которые есть в интернете.
Часто мы наблюдаем также, что атакующие пытаются не только заддосить сайт, но и параллельно пытаются его взломать, используя DDoS, как отвлекающий маневр для более серьезной атаки.
И.Карпушкин
―
Я слежу за новостями в сфере информационной безопасности и в последнее время действительно наблюдается всплеск DDoS-атак, причем в различных сферах деятельности.Почему происходит это? Почему именно сейчас? И может быть пандемия как-то повлияла на эту ситуацию? И кто страдает больше всего, какие отрасли?
Р.Хантимиров
―
Ну, вы знаете, пандемия безусловно повлияла. Она заставила нас всех учиться и работать онлайн, а еще заказывать из интернета больше товаров, так как все оффлайн-магазины были закрыты. И изменение этих паттернов поведения к смещению векторов атак.То есть если раньше чаще всего атаковали развлекательные ресурсы, потому что на них проще заработать, то во время пандемии мы увидели всплеск атак на образовательные ресурсы, на ритейл.
Вот недавно мы проводили анализ по нашим клиентам, и мы увидели, что на образовательный сектор атаки увеличились в 5 раз по сравнению с прошлым годом. Потому что у учащихся появился реальный стимул повлиять на ситуацию. Например, сорвать занятие, отложить сдачу тестов.
На ритейл было увеличение от 4 до 10 раз в зависимости от направления работы.
И этот всплеск в первую очередь был связан с недобросовестной конкуренцией. Опять же, появился стимул.
М.Ставнийчук
―
А как понять, что идет DDoS-атака, что это не просто сайт завис? И когда нужно начинать паниковать, и что делать?
Р.Хантимиров
―
Ну, смотрите.Признаки DDoS-атаки самые типичны, это выглядит обычно так.
Сайт долго загружается, потом выдает ошибку, либо сразу выдает сообщение об ошибке, то, что не может подключиться к базе, возник таймаут, или просто работает очень медленно.
То есть суть DDoS-атаки – это вывести ресурс из строя…
М.Ставнийчук
―
А можно ли что-то сделать? Если уже началась DDoS-атака, вы это заметили, то что делать?
Р.Хантимиров
―
Ну, в зависимости от случая сценария могут быть разные.Можно попытаться остановить ее самостоятельно какими-то настройками системы, оптимизацией, но здесь вы будете ограничены ресурсами, которыми обладаете. То есть те ресурсы процессора, памяти, которые есть на вашем сервере, канал, который у вас есть.
Есть ресурсы атакующего хотя бы чуть-чуть превосходит ваши, то вы уже сами ничего не сделаете. И нужно обращаться либо к своему поставщику хостинга, к интернет-провайдеру с вопросом, сможет ли он помочь вам. Либо срочно искать компанию, которая специализируется на защите от DDoS-атак.
И.Карпушкин
―
Получается, там будет блокироваться адрес вот этого атакующего или что? Как это?
Р.Хантимиров
―
Ну, механизмы защиты, они работают по-разному, но в целом да, цель любого механизма защиты это отличить настоящего пользователя от атакующего, от атакующих запросов или от ботов, которые атакуют.
И.Карпушкин
―
Рамиль, вы говорите больше про компании, про какие-то организации, там образовательные учреждения, государственные учреждения. А для обычных людей, пользователей интернета, им стоит вообще бояться DDoS-атак?
Р.Хантимиров
―
Смотрите, знать про них точно стоит, потому что мы все зависимы от онлайн-сервисов так или иначе, особенно в последнее время.С помощью атаки, например, можно отключить человека от интернета. Если атака организована на сеть его провайдера. С введением удаленки это ему не даст возможности работать, не даст возможности заказать продукты из интернета.
Стоит ли переживать обычному человеку? Наверное, смотря кого мы понимаем под обычными людьми. Если у человека нет своего сайта или своего какого-то другого интернет-ресурса, то бояться не стоит. Потому что если атака и случится на сайт, где вы заказываете продукты, то вы все равно сделать ничего не сможете, вы просто не сможете их заказать на этой сайте, вам придется делать это в другом месте.
Если вы являетесь владельцем какого-то онлайн-ресурса, то стоит задумываться о защите заранее. Потому что если случится атака, то убытки можно понести колоссальные.
Вспомните, например, интернет-магазин цветов, про который я говорил.
И.Карпушкин
―
То есть получается, для обычного человека нужно просто дублировать эти сервисы для себя, чтобы в случае если один откажет из-за DDoS-атаки, то он мог быстро переключиться на другой?
Р.Хантимиров
―
Ну, в общем-то, да.
И.Карпушкин
―
Мне кажется, что все уже сталкивались или хотя бы слышали про компьютерные вирусы, да, опасные такие вредоносные программные средства, которые несут много угроз и которые могут полностью уничтожить, похитить или зашифровать вашу информацию. И пик их активности наблюдался несколько лет назад, когда чуть ли не каждую неделею приходила информация о том, что появился очередной глобальный вирус, который вывел из строя информационные системы крупных корпораций.Как вы считаете, DDoS-атака, она так же опасна, как вирусы? И какие негативные последствия могут наступить в результате такой атаки?
Р.Хантимиров
―
Я считаю, что DDoS-атаки это сейчас одна из главных угроз информационной безопасности и она сравнима с той угрозой, которую представляют вирусы.Как нельзя работать за компьютером без антивируса, так и нельзя сейчас размещать свои ресурсы онлайн без защиты от DDoS.
Потому что запустить атаку, как мы с вами уже обсуждали, не стоит ничего, последствия могут быть разные. Это и потеря клиентов, и потеря репутации, и потеря прибыли.
Просто стоит посчитать для себя простой, один день работы, это и есть ваши убытки от атаки. И защититься заранее это обычно дешевле, чем потом бороться с последствиями.
И.Карпушкин
―
Это действительно опасно.А люди воспринимают всерьез эти риски или как всегда, пока не коснулось и неважно?
Р.Хантимиров
―
Вы знаете, у нас такой менталитет действительно, пока гром не грянет, мужик не перекрестится, поэтому обычно, пока человек или компания лично не столкнется с этой проблемой, то никакого серьезного отношения к DDoS-атаке нет.Но если один раз хоть один онлайн-ресурс был атакован, то все уже воспринимается гораздо серьезнее, и защита продумывается заранее, на нее выделяется бюджет. Это то, что мы наблюдаем на российском рынке.
М.Ставнийчук
―
Наверное, это касается таких небольших компаний, которые пренебрегают этим?
Р.Хантимиров
―
В основном, да.Крупные компании, конечно, больше внимания склонны этому уделять.
И.Карпушкин
―
Крупные компании, у них в штате специалисты, наверное, есть такие, или недостаточно штатного специалиста?
Р.Хантимиров
―
Ну, вы знаете, тут мало иметь специалиста, нужно иметь мощности для фильтрации, поэтому в любом случае даже крупные компании, они часто сотрудничают с какими-то поставщиками сервисов защиты от DDoS, потому что у них есть каналы.
И.Карпушкин
―
То есть им нет смысла у себя держать все эти ресурсы дополнительные, они под задачу просто вас привлекают?
Р.Хантимиров
―
Да, нет смысла постоянно держать ресурсы и платить за них. И более того, нужен постоянно опыт в отражении этих угроз, потому что новые угрозы появляются каждый день. И они должны быть специалисты, которые занимаются именно разработками, исследованиями всего этого.
И.Карпушкин
―
Хорошо.Рамиль, расскажите какие решения предлагает ваша компания и для кого они предназначены?
Р.Хантимиров
―
Мы специализируемся на задаче от DDoS-атак и от хакерских атак на сайты. Мы помимо сайтов защищаем серверы, провайдерские сети, онлайн-сервисы любые.И мы предлагаем решения по всему миру.
Наши клиенты это и частные лица с их небольшими сайтами, и крупные компании, которые владеют сетями на несколько миллионов абонентов.
Наша задача ежедневная – это совершенствование сервиса защиты.
Мы занимаемся разработками в своем собственном ситуационном центре, где автоматически происходит регистрация DDoS-атак. Далее идет их изучение и разработка технологий противодействия.
И то, чем мы гордимся, так это нашим клиентским сервисом. Наши специалисты доступны всегда по телефону, через чат, через e-mail 24 на 7, и скорость реакции на запросы, она не превышает 15 минут, по любым запросам. От защиты от какой-то внезапной атаки до помощи в разработке корпоративной стратегии кибербезопасности.
И.Карпушкин
―
А правильно ли я понимаю, что вы не просто реагируете на запрос клиента, а вы исследуете фактически сеть и выявляете DDoS-атаки, о которых даже пока еще никто не знает?
Р.Хантимиров
―
Да, конечно.
И.Карпушкин
―
То есть у вас постоянно работает эта лаборатория, которая каким-то образом собирает эти данные, анализирует и выявляет DDoS-атаки.По каким признакам вы выявляете эти еще пока неопознанные DDoS-атаки?
Р.Хантимиров
―
Ну, смотрите, 99,9%, условно говоря, DDoS-атак, они отражаются в автоматическом режиме, но хакеры, они постоянно пытаются что-то придумать, так, чтобы обойти автоматические системы, и в этих случаях мы регистрируем атаки на основе разных параметров превышения определенных параметров работы протокола по доступности ресурса и так далее.И с этими атаками уже разбираемся вручную, обучаем наши системы автоматически их отражать.
М.Ставнийчук
―
Да, вы в начале программы еще сказали, что количество атак становится все больше, и говорят, что довольно легко вообще запустить эту DDoS-атаку, что ее может запустить даже школьник. Так ли это?
Р.Хантимиров
―
Да, это абсолютная правда. И я бы даже сказал, что большинство атак именно школьниками сейчас и запускаются. Ничего сложного в этом нет, потому что все инструкции, инструменты есть в открытом доступе в интернете. И достаточно обладать довольно небольшими познаниями в области IT, чтобы эти инструментами пользоваться.
М.Ставнийчук
―
То есть такая практика летняя у школьников.
И.Карпушкин
―
Да, хорошо.Если школьник запустил DDoS-атаку, как выяснить кто это сделал? Учителю давайте совет. Как выяснить кто это сделал и что этому школьнику, этому злоумышленнику, который решил откосить от контрольной, грозит по российскому законодательству?
М.Ставнийчук
―
Р.Хантимиров
―
Ну, смотрите, найти атакующего, конечно, можно, и их ищут, и их находят.Но это довольно сложно, потому что чаще всего этот школьник, он атаку будет запускать не со своего компьютера, а с подставных адресов, часто атаки идут со случайных адресов, которые генерируются.
Либо они идут с так называемых ботнетов, то есть зараженных сетей зараженных компьютеров или телефонов, тысяч штук, которым приходит команда централизованно атаковать, и они атакуют со своих уже адресов.
Если атакующий хоть немного заботится о своей анонимности, то он прекрасно знает как замаскироваться, поэтому в таких случаях атакующего только по каким-то косвенным следам можно найти.
Наказание, оно, безусловно, предусмотрено. Как я уже говорил, по нашему законодательству это может быть от штрафа до лишения свободы сроком до 7 лет.
И.Карпушкин
―
А как же доказывать это злонамеренное воздействие? Вообще есть прецеденты того, что кто-то ответил за DDoS-атаку у нас в стране?
Р.Хантимиров
―
Да, такие прецеденты есть. Но на самом деле это редкость. И такие расследования, они финансируются обычно компаниями, которые в них заинтересованы, и они довольно долгие, довольно сложные.
И.Карпушкин
―
То есть это частное расследование, материалы которых передаются потом в правоохранительные органы, да?
Р.Хантимиров
―
Если мы говорим о серьезных атаках, то да.
М.Ставнийчук
―
Мне кажется, у нас в целом нет какой-то культуры кибербезопасности и с этим связано, и законодательство тоже так же выстроено.
Р.Хантимиров
―
Безусловно, законодательство, оно всегда отстает от реального рынка IT, поэтому да.
И.Карпушкин
―
А как вы считаете, что важнее в этом вопросе, именно культура кибербезопасности, понимание того, что будет в случае несоблюдения простейших правил такой вот кибергигиены, да, или наличие большого количества технических средств, которые позволяют защититься от всего?
Р.Хантимиров
―
Ну, вы знаете, тут одно вытекает из другого. Нужно быть осведомленным о том, что такое DDoS-атаки, как и другие угрозы. И предпринимать какие-то шаги, чтобы быть к ним готовым.Даже если DDoS-защита сейчас не настроена, не подключена, не проверена, нужно понимать какой срок это займет, какой бюджет на это стоит выделить и так далее, чтобы не столкнуться с тем, что клиенты просто не могут получить услугу.
И.Карпушкин
―
Рамиль, получается, что пользователи сами могут стать частью этой DDoS-экосистемы, просто скачав какой-то вирус, заразив свое устройство, компьютер, можно стать частью атакующей стороны, даже без ведома самого пользователя. Как от этого защититься?
Р.Хантимиров
―
Да, это именно так, именно по такому принципу строятся ботнеты. То есть если раньше это были в основном компьютеры, зараженные вирусами, то сейчас очень много ботнетов, на андройд-устройствах, то есть мобильные телефоны, планшеты зараженные.Естественно, нужно соблюдать какую-то элементарную цифровую гигиену, а это держать софт в актуальных версиях, то есть устанавливать вовремя обновление, иметь антивирус с актуальными вирусными базами и в принципе не загружать, не запускать из непроверенных источников файлы.
Это те меры, которые позволят защититься от вирусов.
И.Карпушкин
―
Хорошо.У нас остается полминутки.
Скажите, как вы считаете, будет ли расти количество DDoS-атак и какие прогнозы есть на этот счет?
Р.Хантимиров
―
Судя по нашему семилетнему опыту, каждый год количество атак, оно постоянно росло. И за последние 25 лет с тех пор, как DDoS-атаки начали вообще фиксироваться специалистами, их количество и мощности, они тоже росли каждый год.Из чего можно сделать вывод, что рост будет происходить и дальше.
Учитывая то, что во-первых, мы все больше переходим в онлайн, во-вторых, у нас дешевеет интернет, внедряется 5G, когда с каждого мобильного можно будет запустить атаку, которую практически любой сервер в интернете можно положить. То этот рост будет становится все больше, атаки будут все более изощрёнными.
М.Ставнийчук
―
Большое спасибо, Рамиль!Я напомню нашим слушателям, что у нас был в гостях Рамиль Хантимиров, CEO и со-основатель «StormWall», международной компании.
И мы говорили про DDoS-атаки и как от них лучше защититься.
С вами был Иван Карпушкин.
И.Карпушкин
―
И Маргарита Ставнийчук.
М.Ставнийчук
―
Берегите себя и свои информационные ресурсы.До свидания!
И.Карпушкин
―
Пока!