Ветры яростных DDoS-атак: почему не ослабевают нападения на российские компании
«Высокая и очень высокая»
Суммарное количество атак (L3, L4, L7) за II квартал 2024 года оказалось на 43% выше, чем в I квартале, сообщили Forbes в DDoS-Guard (L3 — сетевой уровень, атаки на оборудование, L4 — транспортный уровень, атаки на каналы связи, L7 — прикладной уровень, атаки на веб-приложения, то, с чем взаимодействуют пользователи). По сравнению со II кварталом 2023 года прирост составил 63%, свидетельствуют данные DDoS-Guard. «Банально говорить о том, что общее количество атак постоянно растет, однако это факт, с которым приходится работать, — констатируют в компании. — По популярности атаки на веб-приложения традиционно превосходят остальные в три-четыре раза».
Эксперты DDoS-Guard также проанализировали открытые данные закупок, чтобы определить, сколько компании потратили на защиту от DDoS-атак. По их оценке, в 2023 году было заключено 114 контрактов на 454 млн рублей, это вдвое больше, чем годом ранее. «Казалось бы, осведомленность об угрозе растет, бюджеты выделяются. Но при этом, согласно данным опроса, проводившегося во время эфира AM Live в марте 2024 года, почти 20% владельцев компаний до сих пор вообще не озаботились защитой от DDoS. Интересно, что в то же время 65% опрошенных оценили вероятность атаки персонально на их компанию как высокую и очень высокую, — указывают в компании. — В нашей практике есть случаи, когда крупные веб-ресурсы приходили под защиту либо во время какой-нибудь эпичной атаки, о которой написали в СМИ, либо уже после нее, когда пережили или каким-то образом сами отбились, поняли на реальном опыте, какие трудности может создать DDoS, и решили подключить полноценный сервис».
Ситуации, когда компании приходят под защиту под атакой, действительно встречаются все чаще, согласен директор по развитию Servicepipe Данила Чежин. Наиболее популярная, по его словам, схема: компания имеет защиту от DDoS, долгое время живет без атак и мусорного трафика, отключает защиту «за ненадобностью», в ближайшие два-три дня сталкивается с атакой и, как следствие, недоступностью своих сервисов, после чего в срочном порядке под атакой становится под защиту. «Причина — злоумышленникам важен результат в виде недоступности сервисов жертвы при минимуме усилий. И потому они просто мониторят уровень защищенности разных компаний, выбирая наиболее простую цель, — говорит Чежин. — Кроме того, зная возможности по отражению атак разных защитников от DDoS, хакеры могут рассчитывать свои силы, и потому даже смена поставщика услуг по защите от DDoS (например, на менее опытного и более дешевого) может стать причиной атаки на сервисы компании».
В DDoS-Guard приводят разбивку бюджетов на защиту от DDoS-атак по отраслям. В 2022 году половина затрат (49%) приходилась на IT-компании, далее шли университеты (13%) и только на третьем месте — государственные компании. «В 2023-м картина была уже совсем другая: доля IT-компаний среди заказчиков снизилась до 31%, в то же время резко выросли (до 29%) закупки защиты энергетической сферы, на третье место в рейтинге вышли МФЦ (сразу 22%).
Еще один тренд, который подмечают аналитики: в 2023 году снизился интерес к облачным решениям защиты от DDoS. Заказчики предпочли заплатить на 15% больше поставщикам за подключение в режиме On-Premise (с возможностью установки оборудования или ПО провайдера в защищенный периметр заказчика), указывают в DDoS-Guard.
«Пережитки прошлого»
Последствия DDoS-атак заметно недооценивают, рассуждает руководитель отдела сетевых технологий Angara Security Денис Бандалетов. Многие специалисты заказчиков, по его словам, утверждают, что это «пережитки прошлого». «Однако, по нашим наблюдениям и консолидированным данным партнеров, с 2021 года мощность DDoS-атак выросла примерно в пять раз, а продолжительность — втрое», — делится данными Бандалетов.
При этом нельзя сказать, что снизился интерес к облачным решениям, возражает коллегам руководитель отдела аналитики угроз информбезопасности ГК «Гарда» Алексей Семенычев: «Скорее речь идет о росте интереса к on-premise-системам, спрос на которые растет в крупных компаниях, перестраивающих свою гибридную инфраструктуру в рамках импортозамещения».
«Мы видим рост общего количества DDoS-атак во II квартале 2024 года в сравнении с первым кварталом 2024 года на 47%, — говорит директор по развитию Servicepipe Данила Чежин. — При этом количество атак на разные сектора экономики увеличивалось неравномерно. Наиболее часто атаковали интернет- и облачных провайдеров — на конец II квартала 2024 года можно смело говорить о росте количества подобных атак в 2,3 раза». С января в Servicepipe также фиксируют тренд на «ковровые атаки» на финансовый сектор, который существенно усилился во II квартале 2024 года. По словам Чежина, число атак на уровне L3–4, направленных на исчерпание сетевых ресурсов IT-инфраструктуры атакуемых компаний, в июне также выросло на 50%.
Если говорить о заказчиках услуг по защите от интернет-атак в разрезе секторов экономики, то, кроме традиционных e-commerce-компаний, кредитных организаций, интернет- и облачных провайдеров, «мы видим рост спроса со стороны тех сегментов рынка, кто ранее мало интересовался защитой от интернет-атак», продолжает Чежин: «Например, в финансовой сфере это коллекторские агентства, операторы ЦФА. Кроме того, в 2024 году мы видим высокий интерес со стороны образовательных онлайн-платформ, растет интерес к защите сервисов со стороны промышленных компаний».
«В целом мы наблюдаем схожие тренды в динамике DDoS-атак», — говорит руководитель центра сервисов кибербезопасности компании МТС RED Андрей Дугин. Так, по подсчетам аналитиков МТС RED, прирост этого вида атак во II квартале 2024 года по сравнению с I кварталом составил 56%, а по сравнению со II кварталом 2023 года — почти 80%. Чаще всего — в 33% случаев — во II квартале DDoS-атакам подвергались веб-ресурсы IT- и телеком-компаний. На втором месте — финансовый сектор, на него пришелся 21% DDoS-атак. Замыкает тройку промышленность — 13%. «Заметным трендом этого года стало изменение подходов в организации DDoS-атак, — замечает Дугин. — Наряду с продолжающимся ростом их количества и мощности злоумышленники стремятся действовать более целенаправленно, например, выводить из строя оборудование, от функционирования которого зависит большая часть ресурсов организации».
В последнее время атакующие выбирают своими целями предприятия из критически значимых отраслей, а также организуют массированные атаки на провайдеров телеком-услуг и облачных инфраструктур, говорит гендиректор Security Vision Руслан Рахметов. «Атака на сервис-провайдеров позволяет нанести ущерб сразу множеству их компаний-клиентов, а также может быть более эффективной из-за сложности, распределенности и разнородности инфраструктур провайдеров. При этом атакующие используют ботнеты из зараженных устройств, включая IoT/IIoT-устройства, а также арендованные или взломанные облачные инсталляции», — утверждает эксперт. Он добавляет, что DDoS-атаки зачастую проводятся для прикрытия других кибератак, чтобы отвлечь внимание и усложнить взаимодействие ИБ-подразделений между собой.
Проблема DDoS-атак известна и решается в том числе на государственном уровне. Так, подведомственный Роскомнадзору Главный радиочастотный центр (ГРЧЦ) создал Национальную систему противодействия DDoS-атакам (НСПА), которая выполняет непрерывный мониторинг и анализ интернет-трафика и блокирует вредоносные соединения. К системе НСПА уже подключились несколько сотен организаций, включая государственные учреждения, финансовые и транспортные компании, СМИ, операторов связи.