Российский финансовый сектор переживает период активных кибератак. По данным экспертов по кибербезопасности «МегаФона», их количество в 2021 году выросло в три раза по сравнению с предыдущим годом. Наибольшее число атак было совершено в период с августа по сентябрь, чаще всего злоумышленники атаковали из Украины, Индонезии и Бразилии.
DDoS-атака — это хакерская атака на вычислительную систему компании. С помощью подобной атаки злоумышленники создают такие условия, при которых пользователи системы или сайта не смогут получить к ним доступ, либо этот доступ затрудняется. Простыми словами: если DDoS-атака успешна, то компания не может работать в обычном режиме, а ее пользователи — получать услуги, работа приостанавливается.
Сегодня DDoS-атаки являются одним из самых распространенных видов киберугроз. «Стремительная цифровизация бизнеса, рост онлайн-каналов продаж и обслуживания, развитие рынка умных устройств — все это создает условия для роста активности злоумышленников. Стоимость организации атаки постоянно снижается, и это также способствует увеличению их количества. Финансовый сектор является наиболее частой целью, так как работа финансовых организаций критично зависит от доступности инфраструктуры», — говорит руководитель по облачным платформам и инфраструктурным решениям «МегаФона» Александр Осипов.
Как росло количество атак
По данным экспертов по кибербезопасности «МегаФона», начиная с 11 августа 2021 года была замечена нарастающая вредоносная активность в отношении ресурсов банков и финансового сектора, в том числе зафиксированы множественные одиночные DDoS-атаки. «Атаки такого типа затрудняют работоспособность веб-приложений и нацелены на полный отказ веб-ресурса, в частности, конкретных IP-адресов платежных сервисов. Также мы фиксировали увеличение количества длительных атак вдвое, при этом сама длительность варьировалась от 30 минут до 2 часов. Для сравнения — среднее время атаки за период, например, с апреля по май составляет 23 минуты», — рассказывает Александр Осипов.
В сентябре DDoS-атаки усилились и начались так называемые «ковровые бомбардировки». У таких атак небольшой объем трафика, при этом он влияет на несколько хостов подсети, за счет чего они позже выявляются. Однако в пиках «ковровых атак» количество вредоносного трафика превышало 80 Гбит/с на одну подсеть жертвы. Одиночные атаки доходили до 90 Гбит/с, в то время как средний показатель одиночной атаки составляет обычно порядка 8 Гбит/с.
Пик нападений пришелся на 11 сентября, когда была организована целая серия DDoS-атак на ведущие банки и платежные системы, отметили эксперты Qrator Labs. Было зафиксировано три волны атак, максимальные скорости которых достигали 212 Гбит/с и десятки миллионов запросов в секунду. «Обычно мы наблюдаем не более 90 значимых DDoS-инцидентов в неделю, а на 11 сентября их пришлось более 300 штук», — комментирует основатель и генеральный директор Qrator Labs Александр Лямин.
Пик атак случился в выходные, поскольку предполагается, что в эти дни большинство людей отдыхают, системы наименее защищены, и есть шанс добиться результата, предполагают специалисты Qrator Labs.
В октябре представители ряда банков и компаний, специализирующихся на кибербезопасности, зафиксировали небольшое снижение числа DDoS-атак по сравнению с августом и сентябрем, однако их количество все равно оставалось нетипично высоким. Qrator Labs в начале октября зафиксировал падение числа DDoS-атак на банки на 89% по сравнению с началом сентября. «Ростелеком-Солар», отметил, что в начале октября было зафиксировано чуть больше 60 DDoS-атак, при том что в первую неделю сентября этот показатель составлял более 2,3 тыс.
Подтверждают рост числа DDoS-атак в «Росбанке» и «Газпромбанке». По словам замначальника департамента защиты информации «Газпромбанка» Алексея Плешкова, услуги сервисов для автоматизации DDoS-атак становятся ниже в цене. Оплатить их можно через профильные чаты или боты в Telegram, а поток трафика для атаки можно выбрать самостоятельно: он варьируется от 100 Мбит/с до 100 Гбит/с. В начале октября банк ВТБ сообщил о рекордной по мощности DDоS-атаке на свои сервисы. Всего за сентябрь ВТБ зафиксировал свыше 80 DDоS-атак — больше, чем за все восемь месяцев с начала года. При этом пиковая мощность некоторых атак достигала 350 Гбит/с. В августе мощной DDoS-атаке подвергся Сбербанк — рассказывал зампред правления Сбербанка Станислав Кузнецов.
По данным «Ростелеком-Солара», за три квартала 2021 года количество DDoS-атак на банки и финансовые организации выросло более чем в три раза, 90% из всех атак было совершено в сентябре.
В своем последнем обзоре компьютерных атак Банк России отмечал, что в 2019–2020 годах была выявлена самая мощная атака на банк, которая велась с интенсивностью 49 Гбит/с, что на 2 Гбита больше рекорда 2018 года, когда мощность атаки составила 47 Гбит/с. «Эта атака также не привела к нарушению доступности сервисов, предоставляемых организацией», — говорится в докладе Банка России. Правда, сейчас ссылка на доклад недоступна.
Мошенников привлекают банки
Больше всего DDoS-атакам среди компаний финансового сектора подвергаются именно банки, отмечает руководитель направлений Anti-DDoS и WAF компании «Ростелеком-Солар» Егор Валов. С ним согласны и другие эксперты.
Количество кибератак на банковский сектор растет с каждым годом, отмечает ведущий эксперт по информационной безопасности ИТ-компании «Крок» Виктор Рыжков. Среди причин интереса злоумышленников именно к финансовому сектору эксперт называет критичность атаки для бизнеса: для банковской сферы вывод из строя корпоративных систем грозит колоссальными убытками, как финансовыми, так и репутационными.
Кроме того, кибератаки и, в частности, DDoS-атаки, все больше становятся доступными для злоумышленников без технических навыков, что в целом увеличивает количество преступников, применяющих данные виды атак, добавляет Рыжков.
Он также отмечает рост количества инцидентов, когда организации соглашаются с требованиями мошенников, поскольку промедление по времени может стать для них критичным. По мнению эксперта, это также провоцирует злоумышленников совершать новые атаки.
Как защититься от DDoS-атак
Как объясняет Рыжков, финансовый сектор имеет ряд ограничений, препятствующих защите от такого рода атак: так, банк не имеет права раскрывать финансовую тайну, поэтому весь банковский трафик зашифрован и не может быть дешифрован на стороне провайдера Anti-DDoS системы, поскольку это идет вразрез с их политиками безопасности и может грозить отзывом лицензии. Но такие ограничения есть не у всех — некоторые решения в области кибербезопасности могут анализировать даже шифрованный трафик и определять DDoS-атаку по множеству признаков. Они помогают финансовым организациям успешно защищаться.
Директор департамента информационной безопасности МКБ Вячеслав Касимов рассказал, что банк противостоит подобным атакам с помощью специализированных сервисов по очистке трафика, которые показали высокую эффективность: компании удается отражать все атаки такого типа.
Подобное решение для фильтрации трафика есть у «МегаФона». Платформа, которая работает на базе оборудования Arbor Networks и «Гарда Технологии», автоматически отслеживает входящий трафик и незаметно для обычных пользователей очищает его при обнаружении угроз. Заказчик может самостоятельно отслеживать параметры входящего трафика и статистику по отраженным атакам в личном кабинете. Эту услугу можно подключить, пользуясь интернет-каналами от любого оператора.
Подобный аутсорсинг услуг в сфере кибербезопасности — один из трендов, наметившихся в 2020 году, отмечают специалисты Accenture. Аутсорсинг дешевле и экономит трудозатраты на поиски штатных сотрудников. При этом некоторые направления информационной безопасности требуют глубоких компетенций, которые способна развивать не каждая компания на рынке.
Методы защиты от DDoS-атак достаточно стандартны и универсальны. Необходимо отделять веб-приложения от остальных ресурсов организации — размещать их в разных дата-центрах, советует Валов. При этом подключение к площадкам должно осуществляться разными операторами связи: в случае DDoS-атаки это обеспечит отказоустойчивость инфраструктуры. Также нужно выбирать надежного провайдера, который способен фильтровать мощные DDoS-атаки объемом несколько Тбит/c.
«К решению по защите типа Anti-DDoS стоит добавить межсетевой экран уровня веб-приложений (WAF), который защитит не только от DDoS-атак, но и, например, от попыток кражи и изменения данных веб-приложений. А для банков, которые собирают много чувствительной информации о своих клиентах это особенно важно», — говорит Валов. Наибольший интерес к таким продуктам проявляют компании из сферы ретейла, в том числе e-commerce, отмечают в «МегаФоне», где предлагают сервис МегаФон WAF.
Есть мнение, что организация DDoS-атак — малоэффективное занятие. По словам директора департамента информационной безопасности МКБ Вячеслава Касимова, киберпреступники стремятся найти примитивные уязвимости, но их крайне мало даже в банках со слабо укрепленной инфраструктурой, не говоря о крупных банках, где задача обеспечения безопасности своей инфраструктуры является одной из важнейших. Однако, не стоит забывать, что DDoS-атаки развиваются: растет их мощность, число ботнетов, с помощью которых они организовываются, появляются все новые опасные разновидности самих атак. Все это потенциально может нарушить работу даже самой «подготовленной» компании.