Вектор атак кардинально изменился
Онлайн-площадка AM Live провела конференцию "Защита веб-приложений в условиях санкционного давления". Данное мероприятие прошло в экстренном режиме. Его модератор руководитель дирекции информационной безопасности ПАО "Росгосстрах банк" Иван Шубин, открывая дискуссию, обратил внимание, что ситуация кардинально изменилась. Еще месяц назад угрозы, с одной стороны, и, с другой - бюджеты и выбор инструментов были кардинально другими. И именно сегмент веб-приложений оказался одним из наиболее проблемных.
По оценке руководителя проекта Kaspersky DDoS Protection "Лаборатории Касперского" Николая Чураева, главным изменением стал значительный рост интенсивности атак. Сейчас обычна ситуация, когда DDoS длится несколько суток, что раньше было большой редкостью. Также существенно выросло количество атак, направленных на людей. В целом все это ведет к серьезному росту нагрузок на инфраструктуру защиты.
Руководитель направлений Anti-DDoS и WAF "Ростелеком-Солар" Егор Валов назвал одной из главных целей атак инфраструктуру госучреждений и банков. При этом интенсивность атак, вопреки ожиданиям ряда экспертов, не спадает и даже не сохраняется на некоем стабильном уровне, а продолжает рост. Особенно сильно данная тенденция проявляется в Северо-Западном регионе. Также новой тенденцией в ходе атак стал дефейс сайтов с помощью подмены информации на взломанном CDN.
Руководитель по развитию коммерческого SOC ПАО "МегаФон" Владимир Зуев обратил внимание и на то обстоятельство, что атакам DDoS подвергаются и те, кто не просто никогда с ними раньше не сталкивался, но и не предполагал, что может стать целью для них. При этом атаки отражаются и на тех, кто так или иначе связан с атакуемыми, прежде всего на их сервис-провайдерах.
Руководитель направления инфраструктурной безопасности "Инфосистемы Джет" Александр Лопатин подчеркнул, что возросла не только интенсивность, но и сложность атак, отразить которые своими силами с помощью стандартных средств поддержания сетевой безопасности уже невозможно. При этом рост атак сопровождался и ростом легитимного трафика из-за наплыва посетителей на веб-ресурсы розничных сетей, СМИ и ряда госучреждений. В итоге целый ряд интеграторов, в том числе и "Инфосистемы Джет", сформировали своего рода пожарные команды, которые в экстренном режиме помогают своим заказчикам справляться с атаками и их последствиями. Причем среди компаний, которые столкнулись с такими проявлениями, немало тех, у кого раньше DDoS отсутствовал в матрице возможных рисков или приоритет его был одним из наиболее низких. При этом покупка нового оборудования была осложнена.
Руководитель направления защиты от DDoS уровня L7 DDoS-GUARD Дмитрий Никонов назвал причиной столь разительных изменений политическую мотивацию атак, тогда как раньше доминировала коммерческая или личная. Поэтому, наряду с госучреждениями и банками, целью атак являются также СМИ. И в целом вектор DDoS-атак кардинально изменился. Уже в феврале количество атак по сравнению с январем выросло в пять раз, и тенденции к уменьшению не видно.
Иван Шубин также назвал одним из наиболее неприятных результатов новой реальности уход зарубежных вендоров, причем некоторые из них прекратили техническую поддержку своих продуктов, включая плановые обновления. Этим сразу же начали пользоваться злоумышленники, пытаясь проникнуть в инфраструктуру компаний, которые применяли инструментарий от таких вендоров.
По мнению Николая Чураева, такие случаи не являются редкими и не остается другого выхода, кроме перехода на отечественные решения. Александр Лопатин обратил внимание, что есть обходные пути установки обновлений сигнатур, когда WAF перестал обновляться автоматически. Если же и такая возможность перестает работать, то такой инструмент теряет как минимум часть своей функциональности. Хотя со многими устройствами и сервисами, в частности межсетевыми экранами нового поколения (NGFW), особенно облачными, все намного более драматично. Многие, хотя и не все, поставщики облачных WAF просто отключили всех российских пользователей. По оценке Егора Валова, ряд зарубежных поставщиков, которые применяли для контроля лицензий облачные ресурсы, также закрыли их для российских пользователей, в результате их оборудование или сервисы перестали выполнять свои функции.
По оценке Александра Лопатина, с которой согласились и остальные участники, вендорам, которые ушли, что называется, громко хлопнув дверью, вернуться обратно будет очень сложно. На то, чтобы вернуть доверие, могут потребоваться годы. Но тем, кто продолжал поддерживать заказчиков, не придется прилагать к этому больших усилий. К тому же их заказчики не торопятся менять продукты, по крайней мере WAF, тем более что речь идет о серьезных инвестициях. Однако Николай Чураев отметил, что очень многое будет зависеть от позиции российских регуляторов и в целом от политического фактора, на который раньше редко обращали внимание.