Embed Size (px)
Citation preview
Защита веб-приложений – вопрос доступности
Афанасьев Алексей[email protected]
Бондаренко Андрей[email protected]
Сегодня в эфире
Введение в проблематику DDoS и защиты от атак
Классификация атакЭкономика атакиВарианты решений защиты
Традиции и проблемы
Безопасность сложна и может
навредить бизнесу
Отставание средств защиты
и нехватка компетенций
Увеличение технологических
возможностей атак с развитием ИТ
Бурное развитие сложных
корпоративных систем
Высокий уровень кастомизации приложений
Появление новых и более
сложных угроз, к которым рынок
не готов
Разведка
Отвлечение внимания
Вход в систему
Сокрытие следов
Закрепление в ИТ-системе и долгосрочное нахождение в компании
DDoS-атака
• Сканирование веб-инфраструктуры жертвы на уязвимости;
• Разведка в части внутренней защиты компании
DDoS-атака
• Уязвимости веб-инфраструктуры, • Фишинг• Уязвимости бизнес-приложений
• Вредоносное ПО, не детектируемое базовыми средствами защиты
• Уязвимости приложений
Типичный сценарий развития атаки
Что такое DDoS-атака?
Тип атак на бизнес приложения или сетевую инфраструктуру компании с целью отказа в доступе ресурсов/приложений или затруднения доступа к ним
Жертвами DDoS-атак становятся компании, для которых сайт …
Банки и финансы
Государственный сектор
Страхование
Интернет-магазины
СМИ
основа бизнеса и репутации
основной канал взаимодействия с
заказчиками и партнерами
а также компании, бизнес-процессы которых
построены преимущественно или исключительно через
Интернет-коммуникации
ЦОДы: панацея от DDoS-атак?
Стильно, модно, молодёжно и вроде бы надёжно…
Сертификации Uptime Institute Tier III/Tier II/Tier I
А поможет ли это при…?
Атаках на инфраструктуру сетевой безопасности?
Малозаметных атаках на приложения (Application attack)?
Атаках типа “переполнение” канала связи (Volumetric attack)?
Можете ли вы точно сказать - взламывали ли вас или
нет?
Сможете ли вы понять, кто вас атаковал и когда была
атака?
А у нас уже есть…
Межсетевые экраны (FW)
обеспечивают целостность данных или процедур, которое могут быть достпуны только
авторизованным сторонам
Intrusion Prevention Systems (IPS)
обеспечивают целостность данных,
обеспечивая возможность изменять информацию
авторизованными методами
Все FW и IPS являются устройствами с контролем сессий (stateful), поэтому сами по себе могут быть целью атак
Существующие системы защиты периметра не нацелены на обеспечение доступности данных
Во всех компаниях используются
традиционные, базовые средства
защиты
Однако….
Базовая защита бессильна
Как выбрать решение защиты?
Почему просто не купить оборудование и не поставить его на входе в корпоративную сеть?
А вы готовы оперировать себя самостоятельно, даже если вы врач-хирург?
Владелец ресурса может попытаться защититься от DDoS самостоятельно
Как выбрать решение защиты?Защита хостинг/провайдера
Чем услуга очистки трафика в чистом виде может выгодно отличаться от решения операторского класса?
Вы готовы доверить ветеринару лечить вашего ребенка?
Единственное в мире решение комплексной
защиты от большинства
видов таргетированных
атак
На базе технологий Qrator Labs
Qrator Labs - новый лидер на рынке защиты от DDoS
• Лучший в своем классе• Более 10 лет на рынке защиты от
DDoS• Инновационные и уникальные
технологии• Клиенты: крупнейшие компании
различных отраслей
Классификация DDoS-атак
Классификация очень важна, она отвечает на
вопрос: “какую задачу решаем?”
(D)DoS: отказ сервиса из-за злонамеренного
исчерпания ресурсов
Защита от атак из списка
плохо
Обеспечение устойчивости сервиса
хорошо
Классификация DDoS-атак
Классификация DDoS-атак
КаналИнфраструктура
TCPУровень приложения (7lvl)
ISP 1
ISP 2
ISP n
ISP
Серверы приложений
Load Balancer
IPSFirewall
Атаки на TCP стек
Атаки на «переполнение»
канала связи
Атаки на уровне приложений
Амплификаторы
Сотни тысяч ботов
Обычно пакеты массово генерированы
Дешевая и простая атака
Особенности атак с помощью амплификаторов
Амплификаторы
UDPSRC: target IPDST: DNS IP
Payload: TXT?
DNS IP
TXT: AAAAAAA[2048]
UDPSRC: DNS IPDST: traget IP
Payload: TXAAAAAAA[2048]
1 пакет over9000 пакетов
Способ реализации
Амплификаторы: статистика
Амплификаторы, в разбивке по типам
ChargenAmp 70 319 4 616
NtpAmp 307 744 6 931
SnmpAmp 4 411 780 77 635
DnsAmp 7 064 242 299 512
SsdpAmp 18 108 954 803 077
Мир Россия
Амплификаторы
• всего обнаружено за 3.5 месяца: 4 153
• из них с влиянием для внутрироссийского трафика: 608
Инциденты с маршрутизацией
Атаки на TCP
Тысячи, десятки тысяч ботовЧуть более интеллектуальная атакаМожет заваливать и канал тоже
Особенности атак
Виды
SYN-floodACK-flood Connection flood и т.п.
Атаки уровня приложения
Таргетированная атака на медленную часть веб-приложения
Рост популярности в последнее время
Сопровождается атаками первых двух типов
Атаки уровня приложений
Тяжелее всего фильтровать на вторые бессонные сутки
Экономика атаки
AMP: сервер за
~$50/месяц + список
амплификаторов
Bots:
~ $100 —$1000
Индивидуальный
подход:
>$1000
Атака стоит меньше, чем конкуренция
Убытки стоят дороже, чем защита
Самостоятельная защита
Дополнительные расходы на канальную емкость
Дополнительные расходы на квалифицированный персонал
Непрофильная деятельность
Полный контроль вместе с полной ответственностью за результат и в случае успешной DDoS-атаки на плечах клиента
Может сработать на простых случаях
Вендорские решения
Дополнительные расходы на канальную емкость
Дополнительные расходы на квалифицированный персонал
Цена решения + амортизация + ежегодная поддержка
Всегда можно показать заказчику из бизнес-подразделения
SaaS
сервис работает as is
легко заявить то, чего нет
сервис - основной бизнес поставщика
CapEX = 0
легко заменить
InfoWatch Attack Killer AntiDDoS
Архитектура системыКлючевые возможности и преимущества Интеграция с другими компонентами АК Qrator: цифры Как проверить, что защита существует и работает
InfoWatch Attack Killer AntiDDoS
Система представляет собой распределенную сеть фильтрующих узлов на магистралях крупнейших Интернет-провайдеров России, США, Европы и Азии, благодаря чему DDoS-атаки блокируются на начальном этапе
InfoWatch Attack Killer AntiDDoS -
- модуль обнаружения
гарантированного предотвращения
масштабных и комплексных
DDoS-атак
Модуль фильтрации
сетевого уровня
Модуль фильтрации
уровня приложения
Модуль аналитики и отчетов
Сервисный модуль: API,
черные/белые списки
IPIP/ MPLS VPN
L2
Личный кабинет
ПЛОЩАДКИ КЛИЕНТАОТДЕЛЬНЫЙ УЗЕЛ ФИЛЬТРАЦИИ INFOWATCH ATTACK KILLER ANTIDDOS
Принцип работы решения
Основные характеристики сети фильтрации Распределенная сеть узлов фильтрации
• Около 1000 Гбит/с пассивной полосы пропускания - детерминированная обработка IP-пакетов без установления TCP-соединения;
• Более 200 Гбит/с активной полосы пропускания - каждое входящее TCP-соединение обрабатывается и анализируется;
• <5% ложных срабатываний в процессе отражения DDoS-атаки;
• Время обучения сети от момента подключения нового клиента - менее 2 часов:
• в 33% случаев - до 4 минут;• в 60% случаев - от 5 минут до 1 часа.
• Добавленное время задержки при проксировании трафика – от 0 до 100 мс.
InfoWatch Attack Killer by Qrator
Географически распределенная AS
Отказоустойчивость до 99,9%
InfoWatch Attack Killer by Qrator
QRATOR FILTERING NODE
CLIENT HTTPS SERVER
CLIENT APPLICATION
QRATOR FILTERING NODE
CLIENT HTTPS SERVER
CLIENT APPLICATION
API
ACCESS LOG
Работа как обратный HTTP-proxy
InfoWatch Attack Killer by Qrator
Балансировка SSL с раскрытием
сертификатов и без Заглушки
QRATOR FILTERING NODE
Qrator: цифры
>150 Гб - максимальный размер отраженной атаки
>450 000 ботов full browser stack
>100 атак в одни сутки
Хакерская группа DD4BC
…платежные системы, биржи обмена
криптовалюты и игровые сайты
Злоумышленники шантажировали
DDoS-атаками…
…Qrator успешно нейтрализовал
последовавшие атаки скоростью 50-60 Гбит/с
Объектами атаки часто становятся ресурсы, для которых ущерб от остановки работы может измеряться миллионами долларов
Прямая речь
«Те, с кем мы имели дело, не просто мошенники в узком смысле этого слова, потому что ресурсами они располагают. И утверждать, что они не обладают заявленными возможностями для организации атаки со скоростью 400-500 Гбит/с, мы с уверенностью не можем. Развернуть такую атаку в адрес одной определённой сети — задача крайне нетривиальная. Исходя из здравого смысла, конечно, можно предположить, что вымогатели завышают свои способности в 3-4 раза»
Qrator: прозрачность
Пентесты Digital Security, Positive Technologies и других, которые не разбудили ни одного нашего инженера
Continuous Security
Комплексная, непрерывная и активная защита от большинства видов интернет-угроз
Непрерывная безопасность
Комплексный подход
InfoWatch Attack Killer
Continuous Security
InfoWatch Attack Killer AntiDDoS
Непрерывная безопасность постоянно меняющихся объектов защиты, нивелирующая человеческий фактор
Выпуск обновлений Выпуск кода в «продакшн»
Комплексная защита веб-инфраструктуры
Почему Attack Killer ?
Управление всеми модулями через единый веб-интерфейсНе требует специализированных знаний для интерпретации отчётов
Чтобы получать информацию о попытках атак только из отчетов
Почему Attack Killer ?Включил – и работает!
Защита начнется сразу после включения
Каждый из модулей автоматически адаптируется к защищаемому объекту и
его изменениям
Внедрение комплекса займет от нескольких минут до нескольких
часов
Помогает выполнять требования регуляторовПриказ ФСТЭК России №21 и №17, ФЗ-№152, PCI DSS, СТО БР ИББС, НДВ4, SDL
Почему Attack KIller?
Единственное в мире решение, объединившее лучшие технологии
Решение-конструкторПозволяет использовать каждый модуль по отдельности, в любых сочетаниях, а также быстро расширить используемый комплекс до полного комплекта
Что дальше
верифицированная модель связей AS radar.qrator.net прогнозы на следующий год
Radar.Qrator.net
Мониторинг ботов, амплификаторов и раут-ликовМониторинг связности и дропов на транзите
Provider/Peer/Customer
верифицированная модель связей AS:
Обеспечение расчетной отказоустойчивостиРасчет нагрузки на каждую точку фильтрации
Radar.Qrator.net
Radar.Qrator.net
Решение для DNS: дополнительный устойчивый DNS
Решение для VoIP:работа с семантикой протокола.
Для других сервисов: rate limit, белые списки, геофильтрация
Фильтрация UDP (DNS/VPN/VoIP)
Прогнозы
BGP-Hijacking
Популярность volumetric-атак и атак
на уровень приложений будет
циклически сменяться
Рост SaaS
Спасибо за внимание!Обсудим это?
Афанасьев Алексей[email protected]
Бондаренко Андрей[email protected]
