Изменившийся весной этого года ландшафт рисков информационной безопасности требует применения более взвешенных подходов к отражению наиболее актуального вида кибератак.
Начавшиеся в конце февраля массированные DDoS-атаки на российские интернет-ресурсы заставили многие организации по-новому взглянуть на эту разновидность киберрисков. Необычайно мощным по силе, продолжительности и охвату DDoS-атакам подверглись очень многие российские компании, госструктуры и интернет-проекты. Не остались без «внимания» злоумышленников и банки.
К большому сожалению, многие из них до недавнего времени выстраивали защиту своих интернет-приложений, в том числе систем дистанционного банковского обслуживания (ДБО), от DDoS-атак «по старинке», лишь изредка сверяя свои часы с текущей ситуацией и не учитывая нынешние риски, а они таковы. Во-первых, серьезные DDoS-воздействия идут на всех уровнях: сетевом (L3), транспортном (L4) и на уровне приложений (L7). Защита на отдельных уровнях может оказаться явно недостаточной для того, чтобы обезопасить банковские интернет-ресурсы от всех DDoS-рисков. И, во-вторых, защита интернет-сервисов финансовых организаций имеет свою специфику: чтобы она была эффективной, в ряде случаев требуется применение методов, не предполагающих раскрытие приватных ключей SSL.
Дело в том, что в основе современных банковских электронных продуктов, в том числе систем ДБО, как правило, лежат критически важные, сложные, многокомпонентные приложения, предоставляющие множество различных сервисов в режиме онлайн. Кроме того, в отношении финансовых организаций действуют жесткие требования стандарта платежных систем PCI DSS. С точки зрения предотвращения DDoS-рисков это означает необходимость защиты наиболее критичных сервисов с использованием методов, позволяющих не раскрывать приватные ключи SSL, — таким образом можно обезопасить от DDoS-атак приложения, обеспечивающие обмен конфиденциальными (в том числе персональными) данными: банковские, процессинговые и пр.
Раскрывать ключи или не раскрывать?
Существует два основных способа защиты ресурсов от DDoS-атак на уровне интернет-приложений (L7): с раскрытием приватных ключей SSL и без него. Способ с раскрытием более универсален — он обеспечивает высокую гибкость защиты и предоставляет гораздо больше возможностей благодаря тому, что позволяет встраивать интерактивные проверки. Например, можно проверить, поддерживает ли браузер посетителя различные функции — редиректы (автоматическое перенаправление пользователей на другую веб-страницу), механизмы JavaScript и пр. Кроме того, раскрытие приватных ключей упрощает оценку легитимности посетителя и принятие решения о допуске его к защищаемым интернет-сервисам.
Однако в ряде случаев ключи раскрывать нельзя — например, если обрабатывается конфиденциальная информация или требуется обеспечить требования PCI DSS. В подобных случаях применяется защита без раскрытия. Для этого на анализатор провайдера сервисов Anti-DDoS отправляется поток системных журналов (логов), в которых отражается работа защищаемых веб-серверов или балансировщиков нагрузки. (Отправка может осуществляться с использованием протокола UDP.) Анализатор обрабатывает содержимое системных журналов с использованием как сигнатурных методов, так и более тонких технологий, основанных на машинном обучении: на основе анализа статистических данных строится модель нормального поведения пользователя на сайте, с помощью которой удается выявлять аномальные активности посетителей. Если отклонения оказываются существенными (например, если клиент отправляет за короткое время очень много запросов, или эти запросы уж слишком нетипичны, или в результате обработки поступающих запросов регистрируется слишком много подозрительных ошибок), то сервис Anti-DDoS блокирует трафик от аномального посетителя на уровнях L3 и L4.
Также возможен и гибридный подход, очень удобный в ряде случаев, — с отдельным сертификатом и ключом, создаваемыми специально для DDoS-защиты. Этот вариант позволяет не раскрывать свой приватный ключ, и, тем не менее, при начале атаки подключить защиту с раскрытием. Клиентам провайдера для этого нужно просто выбрать соответствующую опцию в своем личном кабинете, после чего для них автоматически выпускается пара сертификат—ключ.
Наглядный пример
Расскажем о случае, произошедшем совсем недавно. Российский банк использовал следующую схему защиты от DDoS-атак: его сайт-«визитка» был защищен с раскрытием приватных ключей SSL, а WAN-сеть банка — с применением подключения по протоколу BGP.
Атака на банк началась, как всегда, неожиданно и, как это часто бывает, одним «прекрасным» весенним утром. Нацелена она была на приложения, обеспечивающие мобильные сервисы этого банка, и осуществлялась по протоколу HTTP с применением ботнета. Защита по BGP, эффективная против DDoS-угроз на уровне L3 и L4, конечно, не смогла справиться с нынешней достаточно мощной атакой на уровне L7. В результате приложения мобильного банка стали недоступны.
Специалисты банка начали в срочном порядке настраивать отправку системных журналов со своих балансировщиков на L7-анализатор DDoS-провайдера, чтобы подключить защиту без раскрытия приватных ключей SSL. Буквально через пару минут после завершения этой настройки удалось отфильтровать атакующий трафик и заблокировать боты злоумышленников.
Основные выводы
Поскольку, как мы уже сказали, банковские приложения представляют собой сложные программные комплексы, к которым предъявляются высокие требования в части информационной безопасности, их защиту от DDoS-атак необходимо тщательно продумывать. Это тем более важно, поскольку для отражения этого вида кибератак на разные банковские интернет-ресурсы и сервисы целесообразно применять разные методы защиты, чтобы обеспечить ее эффективность как с точки зрения безопасности и устойчивости, так и по затратам (в противном случае инвестиции в защиту от DDoS-атак могут оказаться даже не то, чтобы излишними, а практически бесполезными).
Чтобы лучше понять, как выстраивать защиту от DDoS-атак, необходимо привлекать к аудиту информационной безопасности банковских интернет-сервисов специализированные компании, причем не просто предоставляющие технологии Anti-DDoS своим клиентам, а имеющие глубокие компетенции в этой области и многолетний опыт работы на рынке, в том числе на банковском. В ходе аудита ИБ нужно, в частности, проводить стресс-тесты банковских сервисов, а также организовывать другие проверки на их устойчивость к DDoS-воздействиям. И, конечно же, подобные аудиты и проверки должны проводиться систематически, поскольку достаточно быстро меняется и внутренний ландшафт уязвимостей банковских систем, и внешняя картина актуальных DDoS-рисков. Только постоянная тесная совместная работа ИБ-специалистов финансовой организации и представителей профессионального провайдера сервисов Anti-DDoS позволит обеспечить высокий уровень непрерывности, доступности, безопасности банковских систем, доступных из Интернета, и их устойчивости к рискам, так или иначе связанным с DDoS-атаками.
