Происки конкурентов, месть обиженных клиентов, попытки шантажа, реализация отвлекающего манёвра в ходе взлома ИТ-систем банка — за очередной DDoS-атакой могут стоять самые разные мотивы злоумышленников. Особенность таких атак в том, что они делают ИТ-сервисы банка недоступными для клиентов — в нашу эпоху цифровизации это серьёзный риск, который чреват для банка не только репутационными потерями, но и оттоком клиентов и их вкладов, а также излишне пристальным вниманием со стороны регулятора. Свою точку зрения на проблемы, связанные с DDoS-атаками, и способы минимизации рисков от них высказал Рамиль Хантимиров, CEO и сооснователь компании StormWall.
В январе 2020 года мощнейшей в своей истории DDoS-атаке подвергся Сбербанк. По словам зампреда правления банка Станислава Кузнецова, она в 30 раз превосходила самую мощную DDoS-атаку, которая наблюдалась в течение всех предыдущих лет. Атака была выполнена с помощью автономных устройств Интернета вещей, отметил Кузнецов.
В июне 2021 года он заявил о стремительном росте количества DDoS-атак в первом квартале. Кузнецов связывает это с увеличением числа самых разных устройств, подключённых к интернету. Подавляющее большинство из них никак не защищено от несанкционированного воздействия извне. Захватив управление устройствами в свои руки, злоумышленники могут «достаточно легко организовать DDoS-атаку», причём настолько сильную, что она на какое-то время приостановит работу даже очень крупной организации, создаст кризисную ситуацию, прервёт предоставление сервисов и сможет «вызвать недовольство либо панику клиентов», уверен Кузнецов.
Банки становятся мишенями для DDoS-атак
Первые распределённые атаки, нацеленные на отказ интернет-ресурсов в обслуживании (Distributed Denial of Service, DDoS), были зафиксированы приблизительно в 1999 году. Тогда волна DDoS-атак накрыла огромное число сайтов, включая ресурсы крупнейших корпораций — CNN, eBay, Amazon и E-Trade.
Сегодня DDoS-атаки становятся всё более мощными и разрушительными. По нашему мнению, в результате развития сетей 5G уже в скором будущем мощность DDoS-атак увеличится, и хакеры смогут осуществлять атаки мощностью более 1 Гбит/с.
Наши опасения разделяют и в Сбербанке. «Использование технологии 5G фактически ставит новый уровень рисков в проведении DDOS-атак», — отметил Станислав Кузнецов.
Всё чаще целями злоумышленников становятся организации финансового сектора, которые в результате DDoS-атак терпят существенные потери — финансовые, коммерческие (в том числе из-за оттока клиентов), репутационные, регуляторные. Согласно прогнозу компании Boston Consulting Group, вероятность DDoS-атак на организации финансового сектора в 300 раз выше, чем на компании других секторов и отраслей промышленности.
По данным ФинЦЕРТ, в 2019–2020 годах целями DOS- и DDoS-атак на российские банки чаще всего становились системы ДБО и сервисы онлайн-банкинга, а также различные платёжные сервисы. В результате DDoS-атак наблюдалось прерывание функционирования этих сервисов, что, по мнению экспертов Банка России, говорит о целенаправленном характере таких атак.
Почему злоумышленники нацеливаются на банки
Средний ущерб от одной DDoS-атаки на банки в США составляет около 1,8 млн долл. Неудивительно, что столь ощутимые потери от атак на финансовые учреждения «вдохновляют на подвиги» немалое количество злоумышленников.
Некоторые из них организуют DDoS-атаки ради получения банального выкупа. Другие используют DDoS-атаки в качестве отвлекающего манёвра в ходе проведения ещё более опасных атак: пока специалисты по информационной безопасности концентрируются на отражении и устранении последствий DDoS-атаки, хакеры пытаются получить доступ к наиболее важным системам банка, чтобы, например, похитить персональные данные клиентов или осуществить мошеннические операции. Украденная информация позволяет хакерам получить доступ к счетам клиентов или провести иные незаконные транзакции.
Поскольку себестоимость организации мощных DDoS-атак невелика, их «заказчиками» могут стать не только закоренелые киберпреступники, но и, например, недовольные клиенты, жаждущие «возмездия», или нечестные конкуренты, желающие подпортить репутацию «соседям» по финансовому рынку.
В любом случае успешная атака может существенно усложнить банку жизнь, вызвав волну разочарования и отток клиентов — часть из них наверняка предпочтёт не связываться с организацией, которая не способна надёжно хранить их средства. Кроме того, к банкам, «пропускающим удар» DDoS, как правило, возникают серьёзные вопросы у регуляторов финансового рынка — и тогда угроза санкций с их стороны становится вполне реальной.
Типичные методы злоумышленников: DDoS-атаки с усилением («амплификацией») и ботнеты
Начиная с 2010 года, атаки с усилением («амплификацией») остаются одними из наиболее часто используемых видов DDoS-атак. Они используют уязвимости серверов DNS и других служб интернета. Путём ряда манипуляций эти уязвимости позволяют увеличить длину запроса в десятки раз, предоставляя злоумышленнику возможность создать очень мощный поток ложных запросов к серверу-жертве. Если атака будет проводиться с использованием нескольких тысяч уязвимых адресов, то отразить такую атаку окажется крайне сложно. В результате сервер-жертва будет не способен обрабатывать легальные запросы.
Несмотря на «солидный возраст», DDoS-атаки с амплификацией по-прежнему распространены. Например, в 2018 году ураган таких атак, использующих особенности протокола Memcache, накрыл множество европейских компаний.
Ещё одна популярная технология для организации DDoS-атак — ботнеты. Она базируется на создании сети заражённых устройств, состоящей не только из ПК и серверов, но и (причём всё чаще) различных гаджетов и устройств Интернета вещей.
Ботнеты позволяют организовывать очень мощные DDoS-атаки, в том числе одни из самых разрушительных в истории. Самые известные атаки были выполнены с использованием ботнета Mirai. Среди их жертв оказались некоторые ведущие банки Нидерландов, включая ING, ABN Amro и Rabobank.
Защита от DDoS-атак
Хорошая новость состоит в том, что самые общие рекомендации по организации защиты от DDoS-атак достаточно универсальны и не зависят от типов таких атак. Но есть и плохая новость: у злоумышленников появляются всё новые инструменты и технологии для проведения атак, существенно повышающие их эффективность.
К сожалению, стационарные решения, рассчитанные на операторов связи и хостинг-провайдеров, не смогут полностью обезопасить банк от DDoS-атак. Злоумышленникам не составит больших усилий создать экстремальную нагрузку на каналы связи, которыми пользуется финансовое учреждение, и «отрезать» его от клиентов.
Наилучшую на сегодняшний день защиту от DDoS-атак обеспечивают специализированные сервисы Anti-DDoS. Такие сервисы обеспечивают фильтрацию широкого круга атак, предоставляя клиентам очищенный от фальшивых запросов трафик. Что важно, сервисы Anti-DDoS быстро подключаются, обладают невысокой стоимостью приобретения и дальнейшего владения, при этом отличаются высокой пропускной способностью, что очень важно в условиях непрерывного нарастания мощности DDoS-атак.
После того, как решение Anti-DDoS выбрано и подключено, оно должно быть гармонично встроено в процессы обеспечения информационной безопасности, в противном случае оно не будет эффективно работать. Ещё одно необходимое условие эффективности защиты — тесное взаимодействие с провайдером сервиса Anti-DDoS, поскольку без регулярного обмена информацией со специалистами банка ему будет практически невозможно обезопасить финансовую организацию от DDoS-атак.
Очень важно также не останавливаться на достигнутом. Хакеры непрерывно совершенствуют свой арсенал средств и методов нападения. Кроме того, непрерывно модифицируются информационные системы финансовых учреждений, и если ещё вчера они были вполне надёжно защищены, то это вовсе не означает, что уже завтра в них не могут появиться уязвимости, которые снизят информационную безопасность банка. Необходимо постоянно отслеживать изменения в его ИТ-ландшафте и проверять эффективность системы информационной безопасности, включая защиту от DDoS-атак.
Начать дискуссию