"DDoS атаки. Технологии. Тенденции. Реагирование и оформление доказательств"

Илья Сачков, CISM, Генеральный директор Группы информационной безопасности (Group-IB)

Одним из наиболее критичных по последствиям классов компьютерных атак являются атаки «Распределенные атаки на отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Если около двух лет специалисты по Интрнет-безопасности предсказывали вымирание данного типа атак, то 2009 и 2010 год показывает, что DDoS атаки по-прежнему являются одними из самых опасных типов Интернет-атак и технологии атак значительно впереди технологий защиты.Статистика по количеству зарегистрированных инцидентов показывает, что данные атаки являются в настоящее время наиболее часто используемыми и приносящими значительный вред. Особенность реализации этих атак сильно затрудняет расследование обстоятельств их проведения и привлечение к ответственности лиц, к ним причастных. Следствием этого является массовое ощущение безнаказанности лицами, занимающихся противоправной деятельностью, увеличение количества DDoS атак и улучшение технологий их реализации.В 2010 году основными сферами деятельности, подвергшимися распределенным телекоммуникационными атаками являлись:•           Банковские платежные системы•           Системы электронных платежей•           Телекоммуникационные компании•           Средства массовой информации•           Предприятия электронной коммерцииПотери только московских компаний от преступлений в компьютерной сфере составили 5 миллионов долларов.Особенность реализации маршрутизации телекоммуникационных компаний, представляющих услуги доступа в Интернет и передачи трафика, позволяет при проведении DDoS атак на основные узлы связи (например, корневые DNS сервера) парализовать работу сети Интернет и других телекоммуникационных сетей. Особенности банковских и электронных моментальных платежных систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы Российской Федерации, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям Банковской Системы РФ. Поэтому для организаций Банковской Системы РФ, системы электронных платежей  и телекоммуникационных компаний угрозы проведения DDoS атак представляют реальную опасность.Расследование обстоятельств инцидентов — одна из важнейших процедур управления информационной безопасностью. На данный момент основной акцент делается на предотвращении распределенных телекоммуникационных атак. Ни в прессе, ни в научных исследованиях и работах не уделяется должного внимания расследованию обстоятельств их проведения. Только расследование обстоятельств инцидента способно показать, как именно он произошел, какие конструкторские, технологические и организационные работы необходимо провести в информационной системе, для будущего предотвращения атаки, а главное привлечь лиц, причастных к этому инциденту к юридической ответственности. Важно сохранять все данные об распределенных атаках на отказ в обслуживании, так как статистика подобных инцидентов помогает осознавать их количество характер, изменение во времени и тенденции.