Специалистам по информационной безопасности (ИБ) широко известен подход, получивший название «бумажная безопасность». Суть его в том, чтобы концентрировать внимание на тех мерах ИБ, на которых настаивают регулирующие органы, и добиваться не столько их фактической реализации, сколько документирования и получения сертификатов и прочих «бумажных» доказательств того, что безопасность информационных систем приведена в соответствие с требованиями регуляторов.
Те, кто следует этому подходу, стремятся достичь двух основных целей. Первая — минимизация регуляторных рисков: если кто-то из проверяющих придет, им можно будет предъявить документацию, свидетельствующую о том, что все заявленные регуляторами требования выполнены. Вторая достигаемая цель — экономия затрат за счет того, что служба ИБ реализует только те меры и в том объеме, который требуется, чтобы зафиксировать, задокументировать соответствие нормативным актам регуляторов. Разумеется, вопрос о фактической безопасности информационных систем при таком подходе отходит на второй, а то и на третий план.
Время от времени нам приходится сталкиваться с «бумажным» подходом некоторых клиентов в отношении DDoS-рисков. Выглядит это примерно так: организация подключает сервис DDoS-защиты и, с одной стороны, требует от провайдера Anti-DDoS получения всевозможных сертификатов, заключений и прочих документов, доказывающих, что защита от DDoS-атак обеспечивается на высоком уровне, а с другой, игнорирует рекомендации провайдера по повышению устойчивости ресурсов организации к DDoS-рискам. По сути, такой клиент добивается от провайдера «бумаги», призванной убедить в защищенности от DDoS-атак, но при этом может, например, оставить на границе своей сети маломощный маршрутизатор, который хотя и справляется с обычной нагрузкой, но «ляжет» при первой же атаке, которую способен провести, например, современный школьник.
«Бумажная» безопасность неэффективна, против DDoS-атак — тем более
Как показывает опыт предыдущих десятилетий индустрии ИБ, «бумажная» безопасность в чистом виде не работает. Хотя бы потому, что подготовка регуляторами своих требований и рекомендаций неизбежно будет отставать от стремительного роста мастерства и технологий злоумышленников, изобретающих всё новые и новые способы преодоления заслонов ИБ и нанесения ущерба ресурсам, выбранным в качестве целей атак.
Злоумышленники, специализирующиеся в области DDoS-рисков, эволюционируют буквально на глазах: наращивают мощность атак, придумывают новые их способы, совершенствуют свои инструменты и снижают стоимость проведения своих «акций». Более того, стремясь добиться более разрушительного эффекта, злоумышленники кооперируются — объединяют для атак сети разнородных ботнетов, координируют действия, управляют многочисленными группировками хорошо мотивированных сторонников, которые добровольно становятся соучастниками DDoS-ударов, усиливая их за счет массовости.
Как результат, актуальность DDoS-рисков растет. По нашим данным, общее количество DDoS-атак на российские организации в I полугодии 2022 года выросло более чем в 15 раз по сравнению с аналогичным периодом 2021 года. Также мы зафиксировали заметное увеличение продолжительности DDoS-атак: если в конце 2021 года они длились в среднем по 3 часа, то уже в начале 2022 года — по 7 часов. Начиная с весны наши эксперты фиксировали все больше атак, которые не затихали по несколько дней, а то и недель.
Очевидно, при такой динамике регуляторы не успевают сформулировать конкретные требования и рекомендации по минимизации DDoS-рисков, ограничиваясь достаточно общими положениями — такими, например, какие содержатся в принятом в 2016 году стандарте Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств».
Кроме того, ни один здравомыслящий провайдер Anti-DDoS не согласится гарантировать, что предлагаемый им сервис защиты обезопасит клиентов на все 100% — хотя бы потому, что уровень защищенности от DDoS-атак зависит не только от качества этого сервиса, но и от устойчивости ресурсов клиентов к DDoS-рискам. О том, что способы, технологии и инструменты для проведения DDoS-атак постоянно совершенствуются, и говорить не приходится — это факт, который следует воспринимать как данность.
Как обеспечить защиту от DDoS-атак не на бумаге
Если вам нужна фактическая, реально работающая, а не «бумажная» защита от DDoS-атак, то следует не только приобрести профессиональный сервис защиты, но и приложить определенные собственные усилия к ее выстраиванию и дальнейшему обеспечению.
· Следует приобретать именно профессиональный сервис Anti-DDoS, предоставляемый компанией, которая на нем специализируется, при этом выбрать тот вид защиты от атак, который соответствует особенностям ваших ресурсов.
· Нужно позаботиться (и лучше заблаговременно) о защищенности ваших интернет-систем и их компонентов.
· Высокая устойчивость ваших ресурсов к DDoS-рискам в текущий момент не является гарантом отражения всех DDoS-атак, которые могут появиться в будущем, поэтому необходимо регулярно проверять вашу защиту на DDoS-прочность и постоянно работать над ее совершенствованием.
