Почему нужна защита сети
Сетевая инфраструктура — важный компонент бизнеса. Она обеспечивает работникам постоянный доступ к необходимым ресурсам, а также позволяет обмениваться информацией.
Несколько причин, почему важно обеспечить безопасность сетевой инфраструктуры от угроз:
1. Предотвращение нарушения работы бизнес-процессов
Кибератаки способны нарушить работу корпоративной сети, что приводит к серьезным финансовым потерям и даже к потере клиентов.
2. Соответствие требованиям безопасности
На многие компании в отрасли финансовых и банковских технологий, распространяются требования по защите конфиденциальных данных, которые обязательно соблюдать. В таком случае недостаточно ограничиться минимальным набором знаний и защитных инструментов.
3. Защита конфиденциальных данных
Часто под DDoS-атаками злоумышленники маскируют проникновение в сеть. Если все действия хакеров успешно завершатся — чувствительная информация будет скомпрометирована. Например, в руки хакеров попадут личные данные клиентов и сотрудников, бухгалтерская информация, интеллектуальная собственность и т.д.
Чек-лист по защите сети от DDoS-атак
1. Анализируйте инфраструктуру и ее ресурсы
Критически важно понимать, как выглядит нормальное поведение входящего трафика и сервисов в целом. Для этого рекомендуется непрерывно изучать их состояние еще до нападения. Также важно анализировать трафик в разные периоды времени и суток. Это позволит выявить аномальное поведение и на основании полученной информации предпринять планомерные действия по устранению угрозы.
Аномалии трафика могут выражаться во всплесках:
- bps (количество бит в секунду);
- pps (количество пакетов в секунду);
- rps (количество запросов в секунду).
Эти всплески могут привести к сбоям в работе вашего сервиса. Например, обычный TCP-трафик для веб-ресурса, колеблется в районе 5 Mbps в пике. Это показано на графике ниже. Стоит отметить, что показания о «нормальном» состоянии серверов будут зависеть от ваших сервисов, поэтому так важно анализировать трафик. Что будет критическим всплеском для одного веб-ресурса, может оказаться нормальным состоянием для другого.
При этом, когда идет атака на веб-ресурс, график будет выглядеть иначе.
На графике показан всплеск трафика UDP, что является аномалией для обычного трафика, и возможно идет атака. Исходя из полученной информации, при анализе графика вы сможете принять эффективные решения по борьбе с возникшей угрозой. Например, сможете определиться со способом защиты сети и выбрать автоматическую или гранулярную защиту.
Один из самых распространенных инструментов автоматической защиты — RTBH (англ. Remotely-Triggered Black Hole), далее — блэкхол. Он позволяет блокировать нежелательный трафик на стороне провайдера до его попадания в атакуемую систему. Блэкхол обычно используется как средство борьбы с мощными DDoS-атаками.
При гранулярной защите трафик полностью не блокируется. Для начала его анализируют на уровне облачного провайдера защиты или внутри периметра сети, с помощью программы-анализатора. Фильтрация начинается только после выявления вредоносного трафика.
2. Используйте профессиональную защиту от DDoS-атак
Решения, которые предлагают специализированные провайдеры помогут обеспечить высокий уровень отказоустойчивости сети, а также круглосуточный анализ трафика и оперативное реагирование на атаки. При подключении защиты, клиенту необходимо обратить внимание на ряд особенностей:
- каким способом будет подключение к сети провайдера;
- какую схему фильтрации трафика выбрать;
- какой тип маршрутизации подходит.
Способы присоединения к сети
Присоединение к сети провайдера может быть выполнено разными способами. Например, физическим через инфраструктуру клиента к нескольким узлам DDoS-Guard. В случае, если оборудование клиента находится далеко от точки физического стыка, можно подключиться через общедоступную сеть, посредством GRE- и IPIP-туннелирования. Подробное описание способов включения в сеть DDoS-Guard смотрите в нашей базе знаний.
Схемы фильтрации трафика
- Симметричная. Работа такой схемы фильтрации строится на необходимости маршрутизации как входящего, так и исходящего трафика через сеть провайдера защиты. Анализ исходящего трафика позволяет системе очистки распознать больше данных, вследствие чего будут приняты максимально точные решения.
- Ассиметричная. При данной схеме фильтрации, провайдер не видит трафик клиента. Стоит отметить, что при выборе этого способа, в некоторых случаях DDoS-атак из-за недостатка данных по исходящему трафику, системе потребуется больше времени для отражения атаки. Также, при выборе асимметрии, от клиента потребуется глубокое знание принципов маршрутизации и функционирования сетевого оборудования. Данный вид доставки трафика подойдет для тех, кто имеет штат опытных сетевых инженеров. В обратном случае, лучше отдать предпочтение симметричной схеме.
При подключении защиты сети от DDoS-Guard, на выбор доступна как симметричная, так и асимметричная схемы доставки трафика. Одно из главных преимуществ защиты сети DDoS-Guard — это отсутствие дополнительных платежей за отфильтрованный вредоносный трафик. Пользователям услуги доступна детальная статистика об атаках в личном кабинете и настройка оповещений в Telegram, Email или Webhook.
Клиенту также доступно несколько способов маршрутизации трафика. С помощью PI-адресов, когда диапазон адресов клиента делегируется провайдеру. А также используя динамическую маршрутизацию (BGP) и статическую. Подробное описание способов маршрутизации смотрите в нашей базе знаний.
3. Регулярно обновляйте программное обеспечение
Многие DDoS-атаки используют уязвимости в программном обеспечении. Поэтому важно регулярно обновлять его на серверах, чтобы уменьшить риски от DDoS-атак.
4. Анализируйте метаданные живого трафика (flow)
Это один из наиболее эффективных инструментов мониторинга безопасности сети и ресурсов. Ранее в статьях мы неоднократно упоминали о важности изучения пакетов, когда предметом анализа служит заголовок и тело данных каждого пакета. При анализе flow сбор информации строится на метаданных о сетевом трафике: откуда, куда и сколько. На все эти вопросы можно получить ответ с помощью анализа flow. Он покажет наполнение трафика в сокращенном виде. Например, src/dst — IP-адреса и протокол.
При помощи комплекса программ анализа flow можно:
- изучить профиль утилизации каналов, что в дальнейшем позволит оптимизировать сеть;
- выявить распространение DDoS-атаки.
5. Создайте команду по обеспечению безопасности
Так вы сможете быть уверены, что трафик постоянно анализируется. Вам не придется контролировать все этапы защиты сети в одиночку, что даст возможность сосредоточиться на развитии проекта и решении вопросов, которые касаются, к примеру, бизнес-процессов. В случае обнаружения вредоносной активности — команда оперативно реализует стратегию по устранению DDoS-атак и ее последствий. После этого составит подробный отчет.
6. Создайте план реагирования на угрозы
Если у вас нет возможности создать специализированную команду, подготовьте план реагирования, который смогут реализовать штатные сотрудники. Опишите в нем все возможные DDoS-атаки, которые могут идти на сеть и способы борьбы с ними, а также минимизации последствий. Проведите тест-драйв с сотрудниками и отработайте план реагирования, чтобы в случае реальной атаки, действия были эффективными и быстрыми.
DDoS-атаки являются серьезной угрозой для безопасности сети и могут привести к серьезным последствиям, включая финансовые потери и выход из строя веб-ресурсов. Чтобы сетевая инфраструктура была устойчивой к DDoS-атакам, необходимо следить за трафиком и оперативно реагировать на угрозы. Для этого нужно настроить системы анализа трафика, которые помогут выявить аномалии в работе сети и принять соответствующие меры.
Важно помнить, что защита сети от DDoS-атак является многоуровневым процессом и требует постоянного анализа и обновления мер защиты. Только профессиональный провайдер может обеспечить надежную безопасность сети и защитить ее от большинства угроз.
