Эта статья была спонсирована Incapsula . Спасибо за поддержку партнеров, которые делают возможным использование SitePoint.
Если вы не предприняли необходимые шаги для защиты своих сайтов, они очень уязвимы для DDoS-атак. Теперь вы можете думать о DDoS-атаке как о атаке, которая выбила французские новостные сайты после майских выборов в стране. Или вы можете вспомнить атаку в октябре 2016 года, когда подписчики не могли получить доступ к New York Times или Wired, потому что хакеры использовали DDoS для атаки на провайдера DNS. В этих случаях система была поражена таким количеством запросов от ботов по всему миру, что они не могли обрабатывать законные запросы. И это, в двух словах, DDoS-атака. Это наводняет сервис так много запросов, что система останавливается.
Но сегодня DDoS-атаки бывают разными. Они превратились из простого наводнения брандмауэра или DNS-серверов в шум, к целевому назначению инфраструктуры предприятия и веб-приложений. Это на самом деле нападает на вас внутри вашего предприятия.
Всплеск приложений DDoS-атак
В отличие от DDoS-атак сетевого уровня, подобных тем, что проводятся в New York Times, DDoS-атакам на уровне приложений обычно требуется меньше трафика для нанесения ущерба. Кампании прикладного уровня многократно обращаются к приложениям, таким как веб-сайты, веб-приложения, серверы и плагины, замедляя или останавливая приложения в целом, облагая налогом ресурсы сервера, на котором они находятся.
Веб-приложения, обращенные к Интернету, уязвимы для множества атак, таких как межсайтовый скриптинг (XSS) и внедрение SQL. Атака приложений также отличается от атаки на уровне периметра или уровня 3 тем, что хакер использует целевые команды, чтобы закрыть приложение и связать ресурсы сервера.
В целом, DDoS-атаки растут, и тот тип атак, который напал на французские газеты, не является источником роста. Наибольшее увеличение DDoS-атак происходит на серверах, на которых размещаются веб-приложения.
Например, в течение четырех кварталов подряд Incapsula зафиксировала снижение количества нападений на сетевом уровне, которое, по его словам, снизилось до 269 в неделю по сравнению с 568 во втором квартале 2015 года. Напротив, произошло еще одно увеличение числа нападений на уровне приложений, которые достигли рекордного максимума в 1099 в неделю.
Эксперты по безопасности прогнозируют, что предприятия, сталкивающиеся с Интернетом, будут подвергаться атакам DDoS чаще, чем раз в год «Вопрос не в том, а, а в том, когда на вас нападут», — сказал Тим Мэтьюз , вице-президент Imperva по маркетингу Dark Reading.
Причиной роста DDoS-атак на приложения в два раза.
Во-первых, количество заявок растет. В 2016 году половина опрошенных организаций указали, что они планируют выпускать и поддерживать пользовательские приложения.
Другая причина роста числа атак DDoS связана, главным образом, с обилием ресурсов, доступных хакерам — и любителям хакеров. Не так давно было довольно сложно собрать ботов для атаки на данный ресурс. Теперь, практически без денег, любой может приобрести программное обеспечение для взлома в темной сети, или всего за 5 долларов он может нанять кого-нибудь, кто сделает это за них. В 2015 году ученик старшей школы заплатил за DDoS-атаку на свою школу.
Цена
Любая атака DDoS стоит репутации бизнеса и, в конечном итоге, клиентов, потому что клиенту все равно, какой тип DDoS был вызван, будь то атака сетевого уровня или прикладного уровня; они только знают, что не могут завершить транзакцию. Например, DDoS-атака на приложение оборвала неизвестный колледж США в феврале. Атака привела к отключению сети более чем на два дня, не позволяя учащимся, родителям и сотрудникам войти в систему. В это время школа была закрыта.
В случае школы финансовые потери трудно определить количественно, но для бизнеса, который продает виджеты, он очень быстро становится дорогим. С точки зрения долларов, один час простоя может стоить бизнесу до 20 000 долларов . И это не учитывает мягкие издержки, связанные с потерей репутации и будущих продаж. В конце концов, пользователи могут задаться вопросом, насколько хорошо бизнес защищает данные клиентов, когда они не могут защитить себя.
DevOps нуждается в безопасной среде для своих приложений
Сочетая всплеск DDoS-атак на приложения, низкую стоимость и простоту создания атаки, а также результаты анализа влияния на бизнес, становится ясно, что разработчикам необходимо подготовиться к атаке.
Но, как и большинство ИТ-специалистов, DevOps рассматривали безопасность как препятствие для достижения целей. По словам Gartner , реализация политик и групп информационной безопасности создает ощущение, что это мешает разработчикам создавать ценность. Что еще хуже, большинство разработчиков не изучали безопасное кодирование в школе, и если они не программируют с учетом безопасности, это оставляет приложения открытыми для атак.
Гарнер также сообщает, что разработчики должны изменить свою практику. В нем говорится: «Архитекторы информационной безопасности должны интегрировать безопасность в нескольких точках в рабочие процессы DevOps на основе сотрудничества, который в значительной степени прозрачен для разработчиков и сохраняет командную работу, гибкость и скорость DevOps и гибких сред разработки, предоставляя« DevSecOps ».
Поэтому, хотя разработчики совершенствуют свои навыки и почти каждый день получают напоминания о том, что им нужно встроить безопасность в свой код, сейчас в дикой природе существует множество приложений, которые готовы к атаке. Самый быстрый способ устранить эту уязвимость — это купить сервис, который предоставляет брандмауэр веб-приложений (WAF). Это устройство или облачная служба или их комбинация, которые применяют набор правил для HTTP-диалога. Как правило, эти правила охватывают распространенные атаки, такие как межсайтовый скриптинг (XSS) и внедрение SQL . Настраивая правила, многие типы веб-атак могут быть идентифицированы и заблокированы. Это вопрос маршрутизации трафика через WAF до того, как он попадет на ваши серверы приложений.
Как выбрать услугу защиты от DDoS для вашего сайта
Пришло время пойти по магазинам для брандмауэра веб-приложения, но вариантов слишком много. Не все WAF и вспомогательный персонал одинаковы. Некоторые делают большие требования, но борются с различными сложностями нападения. Большинство из них основаны на облачных вычислениях, и лучшие из них можно настроить всего за несколько минут.
Вот набор вопросов, которые вы должны задать своему торговому представителю WAF:
Использует ли решение DDoS краудсорсинг?
Использование методов краудсорсинга обеспечивает немедленную защиту всей клиентской базы. Использование коллективных знаний о текущем ландшафте угроз создает базу данных информации об угрозах, которую можно объединить в сообществе с помощью анализа больших данных.
Какова их доля на рынке?
Самый большой не всегда лучший, но это важно, когда мы ценим краудсорсинг. Небольшая клиентская база не сильно поможет снизить риск атак.
Брандмауэр веб-приложений сертифицирован PCI SSC?
Совет по стандартам безопасности индустрии платежных карт (PCI) является независимым от поставщиков органом, который сертифицирует поставщиков, демонстрирующих соответствие его двенадцати стандартам безопасности данных PCI.
DDoS только на Prem?
Несмотря на то, что специализированные устройства безопасности DDoS предотвращают атаки приложений DDoS, они не могут справиться с массовыми объемными атаками — атаками, которые превышают пропускную способность 200 Гбит / с и превышают ограничения пропускной способности интернета для клиентов. Чтобы устранить простои, организации должны блокировать объемные атаки до того, как они достигнут сети. Хотя в некоторых случаях может быть полезно иметь встроенный пакет, посмотрите, есть ли у поставщика облачное решение для его дополнения.
Ваш WAF выполняет обнаружение поведенческих аномалий?
Обнаружение аномалий — это наука об использовании интеллекта для обнаружения элементов и событий, которые не соответствуют ожидаемому шаблону или другим элементам в наборе данных. В этом случае обнаружение аномалий проверяет поведенческие паттерны, которые не являются человеческими.
Ваш WAF установлен и забыт?
Это вопрос с подвохом. При наличии достаточного количества времени и настойчивости любой злоумышленник найдет выход в сеть. Требуется, чтобы люди распознали сдвиг в стратегии и соответствующим образом приспособились. Искусственный интеллект — это хорошо, но лучше, если его поддерживает человеческий интеллект.
Ищите поставщика, который имеет все вышеперечисленное. У Incapsula , например, есть то, что компания называет подходом с пятью кольцами для защиты от DDoS на уровне приложений. Фактически, Incapsula была поставщиком решений, который помог упомянутому выше американскому колледжу быстро смягчить атаку. Инженеры заметили, что злоумышленники изменили свою атаку, когда заметили смягчение, и приспособились к тому, чтобы быстро взять атаку под контроль и пропустить законный трафик.
Бизнес DDoS-атак находится на подъеме. DDoS используется для вымогательства, выкупа, мести, дружинников или просто для ударов. Те разработчики сайта, которые предпочитают не защищать себя, являются уток преступников со своими инструментами и желанием. Как сказал Тим Мэтьюз из Инкапсула: «Вопрос не в том, а, а в том, когда на вас нападут».