Что такое DDoS-атаки и почему они угрожают каждому бизнесу

Сейчас почти каждая компания зависит от онлайн-сервисов: сайты, мобильные приложения, интернет-магазины, сервисы для взаимодействия с государством. Любой сбой в работе этих сервисов может привести к невозможности совершения платежей, финансовым потерям, падению доверия клиентов и даже юридическим последствиям. Одной из самых распространённых угроз является DDoS-атака.

DDoS (Distributed Denial of Service) — это распределённая атака типа «отказ в обслуживании». Злоумышленники перегружают сервер или сеть огромным количеством запросов. Результат — легитимные пользователи не могут получить доступ к сервису. Из негативных «побочных эффектов» - потеря сетевой связности внутри компании из-за падения сетевого оборудования, невозможность удаленным сотрудникам подключиться к инфраструктуре компании.

Взрывной рост количества IoT-устройств. Миллиарды камер наблюдения, роутеров, “умных” колонок, телевизоров и других устройств подключены к интернету, но при этом редко защищены. Известные ботнеты Mirai, Mēris, Moobot, Dark.IoT как раз состоят преимущественно из IoT-устройств.

Возникновение «DDoS-as-a-Service»: атака по подписке. В даркнете и даже на обычных форумах работают сервисы, предлагающие «DDoS по заказу» или booter/stresser-платформы. Пользователь выбирает цель, оплачивает атаку криптовалютой, ботнет начинает работу. Средняя цена таких «услуг» — от $10 до $100 в сутки, а мощности могут достигать десятков миллионов запросов в секунду. Из отчетов Group-IB и Kaspersky Lab стоимость заказа DDoS-атаки на подпольных форумах начинается от символических $10-25.

Доступ к мощной инфраструктуре. Раньше атаки ограничивались скоростью домашнего интернета атакующего. Теперь злоумышленники могут использовать облачные серверы и CDN, арендованные VPS, взломанные корпоративные сети, уязвимости в протоколах (например, NTP, DNS, CLDAP) для усиления (amplification) трафика.

Простота и безнаказанность. DDoS-атака - это удобное оружие без прямого контакта. Не нужно взламывать сеть или красть данные. Злоумышленнику достаточно направить поток трафика, сервис становится недоступен. Источники атак часто размыты: ботнет состоит из устройств по всему миру, а трафик идёт через прокси, VPN и анонимные сети.
Это делает расследование сложным и снижает риск наказания для атакующего.

Новая экономика кибератак. Массовость DDoS объясняется и тем, что он стал частью целой “экономики киберугроз”: Ransom DDoS (RDoS) — вымогатели требуют выкуп, угрожая атаками; конкурентные атаки запускаются во время распродаж, запусков продуктов, IPO; хактивизм и политические акции — атаки на СМИ, госресурсы, инфраструктуру; отвлекающие манёвры — DDoS как прикрытие для взлома и кражи данных. DDoS сегодня — не цель, а инструмент давления и манипуляции, применяемый в бизнесе, политике и кибервойнах.

DDoS-атака, которую не получилось подавить, может привести к серьезным последствиям:

• Финансовые потери — банки теряют комиссии, перевозчики, интернет-магазины и маркетплейсы теряют продажи.
• Репутационный ущерб — пользователи теряют доверие к сервису.
• Юридическая ответственность — нарушение требований регуляторов по обеспечению доступности сервисов.
• Отвлекающий манёвр — часто атака скрывает более серьёзные вторжения. Пока информационная безопасность и ИТ занимаются восстановлением доступности сервисов, может наноситься другой ущерб инфраструктуре компании или прямой финансовый ущерб.

Массовость DDoS-атак означает, что ни одна компания не застрахована.
Даже небольшой онлайн-магазин, муниципальный портал или SaaS-сервис может стать целью: случайно, из-за конкурентов или по ошибке.
Важно понимать: защититься от DDoS “в момент атаки” невозможно. Нужна предварительная подготовка, о которой расскажем ниже.

Защита от DDoS — это комплекс мер, включающий процессы и технологии.
Для защиты от DDoS на начальном этапе нужно:

1. Определить критичные сервисы. Нужно понять, какие сервисы компании доступны из Интернет, какие из них критичны. Примеры критичных сервисов: платежный шлюз, банкоматы, личный кабинет, VPN-шлюз, телефония, сервисы для управления физической инфраструктурой (шлагбаумы, домофоны).
2. Подключить критичные сервисы под защиту MSSP/ISP. Проанализировать возможности поставщика облачной защиты от DDoS, выбрать поставщика и переключить сервисы.
3. Организовать взаимодействие с MSSP/ISP. Учетная запись для входа в личный кабинет, контакты дежурной смены для оперативного взаимодействия.
4. Сформировать план действий при атаке. Кого нужно уведомить о начале атаки, как обеспечивается связь с операторами связи, кто ответственные, как и когда будет проинформированы клиенты и регуляторы.
5. Использовать средства мониторинга трафика. Чтобы выявить аномалию в сетевом трафике и понять, что началась DDoS-атака.
6. Уменьшить поверхность атаки. Нужно определить не неиспользуемые порты и IP-адреса и сбрасывать на границе сети трафик, идущий на эти порты/адреса.
7. Увеличить запас пропускной способности каналов и производительности серверов. В случае небольшого пропуска трафика атаки оператором связи инфраструктура продолжит работать.

В следующих статьях рассмотрим устройство современных DDoS-атак, мифы о защите от DDoS, эволюцию атак и многое другое.

DDoS-атака — это не гипотетическая угроза, а реальная опасность. Даже крупные компании сталкиваются с проблемой простоя своих сервисов.
В современном цифровом мире защита от DDoS необходима для непрерывности ведения бизнеса. Важно подготовиться заранее, проанализировать свои ресурсы и принять решение о необходимости внедрения защиты. Создание системы защиты от DDoS минимизирует ущерб от атак и сохранит доверие пользователей.