Евтина стока, солени последствия

Своеобразната услуга, наречена DDoS атака, вече е масово достъпна. В интернет има многобройни безплатни ресурси. Има и редица платени инструменти, но цената им е нищожна в сравнение с щетите, които може да причини такава атака – по 40 - 50 долара за едночасова DDoS", коментира Деян Белев, продуктов мениджър в "Нетера".

За пренебрежимо ниските си цени обаче тези инструменти имат скъпоструващи резултати.

Според публикуваното неотдавна проучване Corporate IT Security Risks 2016, проведено от Kaspersky Lab и B2B International, една-единствена DDoS атака може да струва на компания до 1.6 млн. долара. В допитването са участвали различни по размер фирми, които са били засегнати от подобна атака през последните 12 месеца, а въпросите са свързани с това каква сума е била необходима за възстановяване на последствията.

Оказва се, че най-големите разходи за средни и големи фирми - около 20%, са причинени от промени в кредитни и застрахователни оценки, което едва ли е изненадващо, като се има предвид, че много от DDoS атаките често стават публично достояние. За малките фирми най-големите DDoS загуби са свързани с разходите за извънреден труд и плащания на служителите.

DDoS пробивите се приемат като един от петте най-големи фактора, които могат да накарат компаниите да наемат нови служители. Според проучването 37% от организациите, които са станали жертва на подобни атаки, планират да увеличат значително своя IT персонал.

Други големи разходи след такива атаки са възстановяването на репутацията на компанията, подобряването на IT инфраструктурата, купуване на нов софтуер, обучение на служителите и компенсации на клиентите. Числовото проявление на последствията пък изглежда така - около 106 хил. долара за малки бизнеси и до 1.6 млн. долара за големите компании. Един важен извод, направен благодарение на изследването, е, че ако атаките бъдат хванати до 24 часа, могат да струват на компаниите наполовина в сравнение с ден по-късно.

Дисекция на DDoS атаката

Съкращението идва от Distributed Denial of Service и означава едновременна атака от голям брой системи, която на практика е непроследима. Най-честият тип DDoS - в над две три от случаите, е препълване на капацитета за трафични данни. В 18% се атакува на ниво протокол, а в още 18% се нападат слабости в приложенията.

"Напоследък се забелязва засилване на периодичността и повтаряемостта на тези атаки. Нараства и обемът, като в последните години говорим за стотици гигабити. Нужни са специални средства и услуги. Подобен капацитет на атаката предполага спирането й близо до мястото на възникването", коментира Белев. По думите му сложността на пробивите също се повишава, като все по-често се използва комбинация от няколко вида атаки. Третият тренд засяга продължителността. "Атака над час вече има сериозни последствия", казва Белев. И допълва, че все повече нападения продължават над ден - над 37%, макар най-голям да остава делът на тези, продължаващи 1 до 6 часа.

Атаките са реални – целта им най-често са IT услуги и облачни структури - общо около 45%, 23% са насочени към финансовия сектор, 14% към публичния сектор и още толкова към медии", цитира Белев статистиките.

Два примера от българския бизнес

Повече от ясно е, че най-засегнати и често атакувани са компаниите, чийто бизнес е базиран или неразривно свързан с някаква IT инфраструктура и присъствие в интернет пространството. Тъкмо затова доставчиците на хостинг услуги и медиите са сред най-показателните примери как една много кратка DDoS атака може да има дългосрочни последици.

"Обикновено медиите стават мишена на атаки по време на важни събития", казва Александър Варов от "Нетинфо", най-голямата дигитална медийна група в България. Освен медийни платформи като видеоканала vbox и новинарски сайтове компанията поддържа и други услуги - мейлите в .abv например. Поради широкото си портфолио групата генерира и огромни обеми данни, има голяма структура, разпръсната между различни доставчици, което от своя страна я прави уязвима.

"Ние сме вече в "програматик" среда, което за бизнеса ни означава, че всяка минута, в която сайтовете ни не са налични или съдържанието не е достъпно, губим пари", обяснява Варов и допълва, че за разлика отпреди години приходите от реклама не се генерират само на база импресии и всеки час отсъствие "от ефира" е загуба. Друг пример, който Варов дава, е с променения модел на vbox, 10% от чийто трафик е международен. За разлика от преди, когато отрязването на международния интернет трафик е било опция за спиране на DDoS атаките, обикновено идващи тъкмо оттам, сега това действие трудно може да се оправдае пред рекламодателите. "Затова за нас използването на постоянна защита от DDoS атаки е критично важно", обобщава Варов.

Вторият пример от бизнес средата в България е хостинг компанията "Суперхостинг.Бг", чиито сървъри са приютили около 60% от сайтовете в страната. Основните услуги на компанията са хостинг, предоставяне на сървъри (физически и виртуални) и софтуер като услуга (SaaS). Основната група клиенти на компанията са по-малки фирми или клиенти, които плащат малки суми за месечния си хостинг, като срещу това очакват завършена услуга. "През последните две години се търсят все повече услуги, гарантиращи сигурност", коментира Методи Дреновски, съосновател на "Суперхостинг.Бг". За да осигури търсената от клиентите безопасност, компанията разчита на две системи - една срещу DDoS и една вътрешно разработена за защита на по-високо ниво. Един от проблемите, които Дреновски очертава, е, че за бизнеса на "Суперхостинг.Бг" е необходима еднаква защита на всички клиенти, тъй като една DDoS атака би засегнала еднакво както клиенти без всякакви системи за сигурност, така и ползващи платени или дори външни решения. Последното поради естеството на хостинг услугата. Затова на групата се налага да използва широкоспектърно цялостно решение, обхващащо цялата инфраструктура.

Какви решения има

С навлизането на облачните технологии и услуги възможностите пред бизнеса, включително за такива ситуации, станаха значително повече. Във всеки случай значително по-лесно е да се осигури резервен капацитет при нужда чрез използването на cloud услуги, предлагани "по заявка". Така, ако главният ви хостинг сървър е под атака, лесно ще можете да прехвърлите временно услугите си върху друг. Разходите със сигурност ще бъдат минимални в сравнение със загубите, които бизнесът би понесъл в случай на спиране на работата онлайн.

Една от местните компании, развиващи се в областта на киберсигурността, е "Нетера", която от около две години и половина специализира в областта на защитата от DDoS нападения и вече има три продукта на пазара.

Първото решение е защита тъкмо от облачен тип – с тази услуга DDoS атаката се спира близо до мястото на нейното възникване – обикновено в хъбове, където минава международният трафик, като в Маями, Вашингтон, Амстердам, Лондон, Хонконг, Букурещ. Предназначението на тази защита е за много големи по обем атаки - до 1 терабит в секунда.

Другото решение е чрез използване на хардуерно устройство тип защитна стена в мрежата на "Нетера", което също обхваща голям спектър от атаки. Tретият вариант е хибридно решение – комбинация от облачно и защитна стена.

Нужна ли е постоянна защита

Един от въпросите, които потенциалните клиенти на услуги за защита от такъв тип нападения си задават, е дали е необходимо постоянно поддържане на система за сигурност, или е достатъчно при необходимост да се реагира и постфактум да бъдат взети съответните мерки. Ако се пренебрегне схващането, че превенцията е по-ефективна от реакцията, няма еднозначен отговор. Изборът на решение зависи пряко от бизнеса. Трябва обаче да се има предвид, че ако се ползва само при нужда, има вероятност атаката да бъде хваната късно и вече да е нанесла трайни щети. И все пак има аргументи в полза на решения "по заявка". Ако това решение, което използвате, по някакъв начин води до забавяне на действията в сайта или предоставяната услуга като цяло, когато скоростта е от първостепенно значение, вероятно за бизнеса ви не е подходяща постоянно активна система за сигурност.

Интересен въпрос при постоянно действащите системи за сигурност е цената им. Обичайното правило гласи: ценообразуването става на база полезен трафик, т.е данните, които минават през платформата, която се защитава, а не на база брой и продължителност на атаките. И пак: изборът зависи от вида бизнес.