От кражи смартфона до сетевых атак: «Поликом Про» и «Лаборатория Касперского» рассказали о защите корпоративных данных/Интервью со специалистами «Лаборатории Касперского» по теме DDoS

30.05.2013 |

Алексей Голиков.

Доклад, посвященный новым продуктам «Лаборатории Касперского», входящим в пакет Kapsersky Security для бизнеса, представил инженер технической поддержки продуктов «Лаборатории Касперского» компании «Поликом Про» Никита Уманцев.

Kaspersky Endpoint Security 10 для Windows обеспечивает безопасность корпоративных данных. Помимо стандартных для данной линейки функций по защите системы от сетевых и мошеннических атак, вредоносных программ и спам-рассылок, продукт имеет несколько новых возможностей.

Основное нововведение десятой версии – это механизм шифрования данных. Зашифрованы могут быть как отдельные файлы (File Level Encryption), так и жесткие диски и съемные носители (Full Disk Encryption), причем информация на устройствах шифруется вместе с файловой системой.

«Новейшие механизмы шифрования корпоративных данных значительно уменьшают риск их утечки в случае, если ноутбук, либо съемный носитель оказались украдены или утеряны, – пояснил Никита Уманцев. – Кроме того, данные, находящиеся на пользовательском устройстве, можно разделить на личные и корпоративные и, таким образом, определить свою политику защиты для каждого типа данных. Шифровать можно только корпоративные данные, а личные при этом не затрагивать. В случае потери устройства администратор удаляет на нем только ту часть информации, за которую несет ответственность, а пользовательские фотографии или другие файлы останутся на устройстве, и в случае возвращения устройства его владельцу они, соответственно, будут доступны».

Так выглядит интерфейс Kaspersky Endpoint Security 10 для Windows

Помимо всего прочего, в Kaspersky Endpoint Security 10 для Windows добавлена функциональность захвата и установки образов ОС, а также реализована централизованная удаленная установка сторонних приложений, что упростило и расширило возможности для системного администрирования. В новой версии также появилось несколько характеристик для взаимодействия системы с включенными в нее мобильными устройствами. Помимо сервера мобильных устройств Exchange ActiveSync, появилась возможность отправки SMS-сообщений удаленным сотрудникам, реализована централизованная установка приложений и сертификатов на управляемые мобильные устройства.

Окно в интерфейсе Kaspersky Endpoint Security 10 для Windows, через которое пользователь
отслеживает срок действия лицензии и при необходимости продлевает его

Еще одна возможность новой версии Kaspersky Endpoint Security для Windows – это выбор функционала в зависимости от типа приобретенной лицензии. Например, «Стартовый уровень» (Core) обеспечивает основной функционал пакета, защищая от стороннего воздействия файлы, электронную почту, веб-трафик, а также программы для быстрого обмена сообщениями через Интернет.

Второй тип лицензии – это «Стандартная защита» (Select), которая помимо функциональности, входящей в базовую защиту, имеет возможности мониторинга системы, контроля активности программ, контроля запуска программ, веб-контроля и контроля устройств.

Третий вариант, «Расширенная защита» (Advanced), а также уровень Total Security предполагают максимальный уровень защиты, в который входят уже упомянутые выше алгоритмы шифрования данных.

Помимо подробного и развернутого доклада по Kaspersky Endpoint Security 10 Никита Уманцев рассказал о решении Kaspersky Security 8.0 для Linux Mail Server. По словам эксперта, оно является оптимальным для обеспечения безопасности корпоративной электронной почты.

Kaspersky Security 8.0 для Linux Mail Server, созданный для операционной среды Linux, позволяет производить фильтрацию и уменьшать нагрузку на внутренние почтовые серверы Microsoft Exchange, IBM Lotus и т. д., так как обработка кода происходит во внешней части системы.

Kaspersky Security 8.0 для Linux Mail Server может успешно работать с такими почтовыми системами, как Sendmail или Postfix (популярными в среде Linux), а также добавляет ряд новых удобств (к примеру, в новой версии все параметры задаются в самой консоли).

Руководитель проекта Kaspersky DDoS Prevention
«Лаборатории Касперского» Алексей Афанасьев

Третий доклад, из которого слушатели узнали много нового о DDoS-атаках и способах защиты от них, представил руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Афанасьев.

«Для того чтобы понять поведенческую логику действия ботнета, необходимо наблюдать полный цикл его функционирования, – отметил Алексей Афанасьев. – С помощью всех антивирусных наработок «Лаборатории Касперского» собирается статистика, позволяющая формировать методы борьбы с DDoS. Иногда для успешной профилактики DDoS-атак необходимо представлять их возможную связь с бизнес-деятельностью объекта, на которую они могут быть направлены».

В своем докладе г-н Афанасьев открыл данные, собранные «Лабораторией Касперского»
по поводу особенностей DDoS-атак в 2012 году

Алексей Афанасьев сообщил, что DDoS-воздействию часто подвергаются платежные и монетизированные ресурсы, например, онлайн-игры.

«Индустрия, сосредоточенная в Интернете и создающая «деньги из воздуха», всегда оказывается в зоне риска, – заявил г-н Афанасьев. – Практически за каждой DDoS-атакой стоит коммерческая подоплека».

Эксперт сообщил, что в мировом теневом бизнесе есть отдельное сообщество, специализирующееся на DDoS-атаках, которые можно заказывать с возможностью выбора большого количества параметров (времени, продолжительности, интенсивности). Также имеется возможность покупки и продажи инфицированных зараженных сетей компьютеров.

Примеры веб-сервисов, позволяющих «купить DDoS» или просто воспользоваться трайал-версией DDoS-атаки

Часто DDoS-атаки могут играть роль ширмы для сокрытия более серьезных преступлений – например, для снятия больших денежных сумм со счета через украденную банковскую карточку и распределения их среди злоумышленников. В таком случае DDoS-атака, направленная против банковской системы, позволяет преступникам значительно выиграть время, особенно если атака проводится в пятницу или перед длительными праздниками.

Алексей Афанасьев отметил, что одна из самых простых и распространенных защит от DDoS – защита геофильтром – является недостаточно эффективной. Более действенные механизмы подразумевают разделение трафика (то есть отсекание пустых и «мусорных» пакетов данных по протоколу TCP, то есть SYN-флуд). Также некоторые компании до сих пор используют устаревшие методы защиты от DDoS, создавая «черные списки» IP-адресов.

По словам г-на Афанасьева, самым распространенным типом сетевых атак по-прежнему является http-флуд, производящий таргетированную атаку на уровне приложений, но лишь в 10 % случаев речь может идти о сложных атаках, когда злоумышленники пытаются замаскировать действие ботов под действия настоящих пользователей.

Что же касается сервиса Kaspersky DDoS Prevention, то методика защиты, которую он предоставляет, основана на распределении фильтрации трафика, осуществляемой с высокой производительностью в специальных центрах очистки трафика, подключенных к Интернету по высокоскоростным каналам связи и с широким спектром критериев фильтрации. Благодаря этому при помощи сервиса может быть отбита DDoS-атака фактически любой мощности. Кроме того, Kaspersky DDoS Prevention размещает специальный сенсор, собирающий информацию о входящем трафике непосредственно у защищаемого ресурса, что позволяет быстро реагировать на любой «аномальный трафик» и применять меры по перенаправлению такого трафика в центр очистки.

«Kaspersky DDoS Prevention позволяет любому сервису функционировать во время DDoS-атак любой степени сложности, – заключил Алексей Афанасьев. – Наше подразделение «Лаборатории Касперского» внимательно отслеживает все тенденции, касающиеся DDoS, и быстро реагирует на их изменение. К сожалению, работа в данном направлении не становится проще: частота атак, их длительность и особенно мощность возрастают с каждым разом, и нужно готовиться к любому повороту событий и всегда быть на шаг впереди».


На вопросы spbIT.ru обо всем, что нужно знать о современном положении вещей с DDoS-атаками, более чем исчерпывающе ответил специалист компании «Лаборатория Касперского», руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Афанасьев.

 Кто обычно стоит за организацией и проведением DDoS-атак?

 - DDoS-атаки наряду с вирусами и другим вредоносным ПО уже давно стали одним из самых излюбленных инструментов киберпреступников. Мотивы, по которым злоумышленники выбирают именно тот тип атак, разнятся, но в целом их можно объединить в две категории: демонстрация возможностей и создание препятствий для бизнеса. В большей степени превалирует второй тип. По отношению к бизнесу киберпреступниками могут руководить такие мотивы, как конкурентная борьба, вымогательство, месть, выражение недовольства либо прикрытие других злоумышленных действий.

Конечно же, бизнес-ресурсы являются не единственной целью атак. Хакеров часто интересуют также веб-порталы государственных учреждений. По отношению к государству и социальным институтам злоумышленники могут пи помощи DDos-атак осуществлять кибертерроризм, вмешательство во внутренние дела либо нанесение ущерба как предприятиям государственного масштаба, так и экономике станы в целом.

 Какие типы DDoS-атак существуют в настоящее время?

 - Все DDoS-атаки можно условно разделить на два типа. Во-первых, это атаки сетевого уровня, например, атаки на канал связи, который переполняется большим количеством «мусорного» трафика. Во-вторых, это атаки уровня приложения, когда, например, на сервер, где размещен атакуемый ресурс, отправляется большое количество «мусорных» запросов, что перегружает вычислительные мощности сервера и он теряет возможность обрабатывать легитимные запросы.

Помимо того, DDoS-атаки в зависимости от пути атаки делятся на прямые (ботнет атакует непосредственно целевой ресурс), рекурсивные (атака задействует сторонние ресурсы) и косвенные (нагрузка создаётся на ресурсы собственного Интернета, что мешает пользователям получить доступ к запрашиваемому ресурсу).

Также эксперты различают DDoS-атаки по указанию адреса атакуемого объекта (DNS-имя, IP-адрес) и по используемым сетевым протоколам. В большинстве случаев классификация идёт по сетевым протоколам, и в том случае можно выделить несколько основных типов DDoS-атак.

Первый тип атаки – это SYN-Flood. В этом случае на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP. При этом на атакуемом сервере через короткое время исчерпывается количество открытых сокетов и сервер перестаёт отвечать. Чуть более сложная атака заключается в создании полуоткрытых соединений на стороне сервера – то есть в прекращении взаимодействия после второго этапа «рукопожатия». В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию.

Второй тип – это ASK-Flood, когда множество программ-зомби атакует целевую машину пакетами с установленным флагом ACK.

Третий тип – это UDP-Flood, во время которого происходит заполнение канала жертвы большим количеством «больших» UDP-пакетов. UDP более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер, работающий по протоколу TCP, перестаёт отвечать. Также UDP-пакеты используются для атак на DNS-серверы жертв напрямую или с использованием DNS-серверов третьих лиц.

Четвертый тип атак – это ICMP Flood или Ping Flood, представляющий собой затопление атакуемого компьютера пакетами ICMP. По умолчанию система должна ответить на такой пакет, тем самым создаётся большое количество пакетов, которые снижают производительность (то есть пропускную способность) канала.

Также существуют такие типы атак, как HTTP-GET Flood (множество программ-зомби атакуют целевой веб-сервис, посылая GET-запросы), HTTP-POST Flood (разновидность HTTP-GET Flood с использованием инструкции POST для передачи бессмысленной информации веб-серверу для исчерпания его ресурсов), а также HTTP-Connection (открытие атакующим ботнетом огромного количества одновременных соединений с веб-сервером для исчерпания его ресурсов; также возможна отправка большого количества бессмысленных данных в рамках небольшого количества открытых сессий).

 Какие средства и механизмы борьбы с DDoS в настоящее время можно назвать самыми эффективными?

 - К сожалению, классические и типовые средства сетевой защиты не способны полностью противодействовать DDoS-атакам. Так, межсетевые экраны и системы предотвращения вторжений (IDS/IPS) находятся непосредственно перед защищаемым ресурсом и бессильны против переполнения канала связи. Маршрутизация в «чёрные дыры», применяемая провайдерами, заключается в блокировке атакующего трафика. Однако таким образом блокируются и легальные запросы, то есть злоумышленники достигают своей цели – ресурс становится недоступным для всех групп пользователей. Что касается оптимизации настоек ресурса, то она помогает только от маломощных атак, а многократное резервирование ресурсов – это крайне дорогой и далеко не всегда действенный способ решить проблему.

В условиях всё более усложняющихся DDoS-атак единственным эффективным способом противодействия им является специализированное решение или сервис, содержащий набор инструментов и технологий, созданных именно для оперативного распознавания DDoS-атаки и её отражения.

 Расскажите отдельно о средствах устранения DDoS в реальном времени и о средствах, благодаря которым можно применять меры профилактики от DDoS (Kaspersky DDoS Prevention и другие).

 - Увы, мер по профилактике от DDoS-атак не существует. Всё, что можно сделать, – это оперативно увидеть начало атаки и далее срочно включить защиту, еще до возникновения реальных негативных последствий – недоступности ресурса. Сервис Kaspersky DDoS Prevention представляет собой мощную систему распределённой фильтрации трафика, состоящую из географически распределённых высокопроизводительных центров очистки трафика, подключённых к Интернету по высокоскоростным каналам связи. Такое решение позволяет выдержать DDoS-атаку практически любой мощности. Для выявления паразитного трафика во время атаки в системе Kaspersky DDOS Prevention применяется широкий ряд критериев фильтрации трафика. Например, статистический критерий (он основан на анализе отклонения статистических параметров трафика от типовых значений, характерных для данного заказчика), статический критерий (он основан на чёрных и белых списках, в том числе формируемых пользовательскими приложениями через API), поведенческий критерий (он основан на анализе соблюдения или несоблюдения спецификаций прикладных протоколов) или же сигнатурный критерий (он основан на анализе индивидуальных особенностей поведения ботов, сетевых сигнатур и т. п.).

Сервис Kaspersky DDoS Prevention предусматривает размещение специального сенсора непосредственно у защищаемого ресурса для сбора информации о его трафике. Такой подход позволяет анализировать и оперативно выявлять аномалии, помогая своевременно диагностировать начало атаки и правильно распознать её тип. При обнаружении аномального/паразитного трафика весь трафик перенаправляется в центр очистки, где он очищается от паразитной составляющей, и к атакуемому ресурсу отправляются только легальные запросы от реальных пользователей. Таким образом, веб-сервис может функционировать даже при продолжающейся атаке.

 Представителям каких бизнесов в первую очередь необходимо наладить защиту от DDoS? Кто еще, кроме деловой сферы, находится в зоне риска, если речь идет о DDoS?

 - Все компании, использующие Интернет как основную среду ведения своего бизнеса, могут стать целью злоумышленника. Традиционно в топ-списке по количеству жертв DDoS-атак располагается сегмент интернет-торговли (интернет-магазины, доски объявлений о продаже, аукционы и т. п.) – как правило, на эти сайты приходится большая часть всех зарегистрированных атак. Объяснение этому довольно простое: небольшие интернет-магазины не могут позволить себе ни защищённого хостинга, ни тем более своих собственных программно-аппаратных средств защиты. А вопрос недобросовестной конкуренции легко переносится из реального мира в Интернет, оставаясь по сути тем же – криминальным.
Не менее редко атакам подвергаются порталы электронных торговых площадок, сайты банков и другие бизнес-ресурсы. Обогащение с помощью криминальных приёмов в финансовом мире не новость, а DDoS-атаки – хороший и дешёвый инструмент для подобных действий, и он становится всё более популярным у киберпреступников.

Разумеется, в этой статистике не могли не отразиться политические настроения, которые всё чаще стали выражаться не только на площадях и митингах, но и на просторах Интернета. В частности, небезызвестная во всём мире группа Anonymous отличилась и приобрела всеобщую известность благодаря именно таким атакам. Как когда-то главным оружием недовольных был булыжник, так сегодня для Anonymous и протестующих групп таким «инструментом» стал LOIC (программа для осуществления сетевых атак) и социальный DDoS. По сути, социальный DDoS – условное название подвида DDoS-атаки, отличительная особенность которого заключается в том, что атака осуществляется не роботами и ботами, а большой группой интернет-пользователей в знак гражданского протеста. В последнее время такие атаки участились, появились даже средства для их автоматизации, что заставляет рассматривать социальный DDoS не как исключительный случай, а как реальную угрозу.

Опасность DDoS-атак заключается, в частности, и в том, что, будучи направленными только на один из ресурсов, они могут оказать влияние на другие ресурсы и системы, размещённые в тех же сегментах сети, что и атакуемый ресурс. Кроме того, в последнее время всё чаще объектами атак становятся не просто интернет-порталы, но и иные доступные в Интернете сервисы и приложения. В результате атака, направленная, например, на серверы электронной почты, может помешать нормальному функционированию бизнес-процессов всей организации, а при перегрузке каналов связи из-за атаки на интернет-портал может затрудниться связь с дополнительными офисами и филиалами, парализоваться работа сети терминалов и т. п.

 Благодаря каким механизмам производится защита от атак при использовании Kaspersky DDoS Prevention?

 - Принцип работы сервиса сводится к тому, что весь трафик в случае DDoS-атаки перенаправляется с серверов атакуемого веб-ресурса в центры фильтрации Kaspersky DDoS Prevention, которые расположены на магистральных каналах в разных географических локациях. Здесь весь входящий трафик анализируется на предмет выявления аномалии, и на основе этого анализа центр фильтрации отсекает паразитные запросы и отправляет на клиентский сервер только легитимные обращения. А поскольку центров фильтрации несколько и все они находятся в разных местах, шансы злоумышленников пробиться сквозь такую систему защиты или «завалить» её сводятся к нулю.

Принцип работы сервиса Kaspersky DDoS Prevention

Этапу фильтрации трафика и непосредственному отражению атаки предшествует серьёзная аналитическая работа, основанная на различных критериях. Комплексная система фильтрации в сервисе позволяет анализировать типичный для ресурса трафик в течение продолжительного времени, а также выявлять отклонения и паразитные запросы по статистическим и поведенческим признакам. Такая комплексная аналитика в сочетании с распределённой структурой Kaspersky DDoS Prevention и позволяет сервису успешно противостоять как мощным протокольным, так и сложным и комплексным атакам.

 Какое серверное оборудование рекомендуется использовать для того, чтобы повысить защищенность от DDoS-атак?

- В защите от DDoS-атак может помочь только специализированное сетевое оборудование. Однако вложения в оборудование – это всегда большие расходы на закупку, развёртывание, обслуживание, обучение специалистов и т. п. А DDoS-атака может и не случиться. Именно поэтому более рентабельной и доступной является сервисная модель защиты от DDoS. При использовании такого подхода компании не нужны новые дорогие каналы связи, не нужно обучать своих сотрудников работе с новым оборудованием и выделять их время для решения новых задач. Да, такая модель работы пока смущает IT-директоров, но постепенно она становится всё более и более популярной.

 Какие тенденции, связанные с DDoS-атаками, существуют и сохраняются в настоящее время? Что ждет интернет-пользователей и представителей отраслевого бизнеса в будущем?

 - Сегодня, к сожалению, по всем показателям, имеющим отношение к DDoS, мы видим рост: мощность атак, их частота, длительность. В условиях, когда всё больше бизнес-процессов протекают в Интернете, недобросовестная конкуренция начинает переходить и в виртуальное пространство. Возможно, в ближайшем будущем нас ожидают достаточно мощные DDoS-атаки – своего рода кибервойны между бизнес-компаниями.

Мы не ждём снижения активности злоумышленников и уменьшения числа DDoS-атак. До тех пор пока эти преступления остаются по сути безнаказанными, киберпреступники будут использовать DDoS как эффективный инструмент зарабатывания «лёгких денег». Соответственно, IT-специалисты должны быть готовы к такому развитию событий. А это значит, что нужно уже сейчас планировать защиту: рассматривать готовые решения, сервисы. Ведь для многих компаний день или даже нескольких дней простоя интернет-сервисов по причине DDoS-атаки оборачивается большими потерями в бизнесе.

 Хотелось бы также узнать, когда речь заходит о противодействии и защите от DDoS, какие функции «Лаборатория Касперского» возлагает на своих партнеров, в частности, на «Поликом Про»?

 - «Поликом Про» является давним и надёжным партнёром «Лаборатории Касперского». В том случае, если компания выберет защитный сервис Kaspersky DDoS Prevention, «ПоликомПро» может выполнить весь спектр необходимых работ и «бесшовно» для сетевой инфраструктуры и самого бизнеса заказчика интегрировать решение. Идеальным вариантом, конечно, является подключение к сервису заранее, ещё до атаки. Однако экспертный уровень «Поликом Про» позволяет осуществлять внедрение решения на любом этапе – даже в момент атаки.

Автор: Алексей Голиков.

Тематики: Маркетинг, ПО, Безопасность

Ключевые слова: Поликом Про, Kaspersky, информационная безопасность