Цель DDoS-атаки — довести вычислительную систему до отказа и создать такие условия, при которых пользователи не могут получать доступ к предоставляемым сервисам компании вплоть до полного прекращения работоспособности. По данным компании StormWall, занимающейся профессиональной защитой от DDoS- и хакерских атак, самой атакуемой отраслью в первом полугодии 2022 года стал финансовый сектор.

Количество подобных атак увеличилось в 12,8 раза по сравнению с аналогичным периодом прошлого года.

В РЕСО-Гарантия эта тенденция очевидна. В начале года компания закупила специальное оборудование, которое позволяет бороться с DDoS-атаками, однако к концу февраля сотрудники отдела информационной безопасности еще не успели его интегрировать в существующую инфраструктуру. Не хватило буквально трех недель до массированного штурма, который обрушился в марте. Пока мы его внедряли, в компании были предприняты компенсирующие меры защиты информации. Очисткой трафика также занимались наши интернет-провайдеры. Такой комплексный подход позволил защитить компанию от ущерба. 

Особенностью массированной DDoS-атаки является то, что она выполняется одновременно с большого числа устройств — в начале апреля на оборудование РЕСО-Гарантия одновременно отправлялось более 1 800 000 запросов в секунду. Атаки бывают на разных уровнях, но главные удары приходятся на сетевой уровень и уровень приложений. Это похоже на пробки на дорогах. У любой информационной системы есть пропускная способность, и если ее «забить», то реальный клиент не сможет воспользоваться нашими услугами, например попасть на наш сайт.

Позади сотрудников отдела информационной безопасности находится оборудование, позволяющее следить за DDoS-атаками и другими угрозами

Чтобы этого не произошло, в периоды атак нам приходится организовывать дежурства, по очереди отправляться домой, чтобы поспать, а потом снова возвращаться в офис. У нас созданы групповые чаты по разным направлениям, в том числе с руководством компании. Мы должны реагировать моментально еще и потому, что у нас есть жесткие рамки от регуляторов. Например, сайт компании не должен простаивать суммарно более получаса в месяц. Разумеется, самое неприятное, когда атака происходит ночью, ранним утром или в выходные. Если мы не в офисе, нам приходят оповещения о событиях. Приходится просыпаться или отвлекаться от личных дел, включаться в работу и реагировать. Для DDoS-атак нет универсальных решений, поэтому каждый раз приходится действовать по обстоятельствам: настраивать оборудование, вносить изменения в правила и политику компании.
  

---

Алексей Царьков, начальник отдела информационной безопасности:

— Сейчас в компании действует трехуровневая защита: до сих пор продолжается очистка трафика провайдерами, работает уже установленное оборудование, а также предприняты дополнительные ограничительные меры на межсетевых экранах, позволяющие организовывать контроль и фильтрацию трафика.

Основным направлением в работе отдела является оперативное реагирование на внутренние и внешние угрозы.

Если говорить про внутренние угрозы, то неумышленно причинить вред может кто угодно — от администраторов до разработчиков. Всем сотрудникам важно помнить, что все, что связано с компьютерной техникой, может быть уязвимо. Поэтому мы и просим соблюдать правила, например придумывать сложные пароли или вести электронную переписку с контрагентами через российские, а не зарубежные сервисы.

---

Количество рисков увеличивается с каждым днем, работы становится больше, поэтому подразделению нужны новые сотрудники. Дефицит специалистов в области кибербезопасности сейчас очевиден. Эта профессия на стыке сразу нескольких областей и требует широкого спектра знаний — и правовых, в частности правил в сфере информационной безопасности, и в области IT.