Как выбрать поставщика защиты от DDoS-атак в 2022 году

Когда вы развиваете свой сайт или онлайн-сервис, важно привлечь как можно больше пользователей, ведь от этого напрямую зависит успех проекта. Однако особое значение имеет не количество, а качество пользователей - необходимо, чтобы это были реальные люди, ведь именно тогда вы получите репутацию, а с ней и прибыль. Руководитель направления защиты L7 компании DDoS-Guard Дмитрий Никонов рассказал, как распознать и защититься от DDoS-атак, какую опасность они могут нести вашему бизнесу.

Бывают ситуации, когда к вашему ресурсу внезапно обращается подозрительно много пользователей. Их запросы создают настолько высокую нагрузку, что сайт или приложение выходят из строя. Именно таков типичный сценарий DDoS-атаки. Неподготовленная инфраструктура просто не в состоянии отразить вредоносный трафик. В итоге клиенты не могут пользоваться сервисом, бизнес теряет лояльность своей аудитории и вынужден тратить время и силы на срочное устранение проблемы.

Международный опыт компаний, специализирующихся на защите от DDoS-атак, показывает, что количество инцидентов кратно умножается каждые несколько месяцев. Согласно аналитическому отчету DDoS-Guard, за 2021 год было зафиксировано почти 150 тысяч DDoS-атак, направленных на клиентов. 

Сегодня же ситуация принимает совсем критический оборот - всеобщая цифровизация бизнеса и услуг в первом квартале 2022 года накладывается на деятельность хактивистов, действующих из политических соображений. 

Если в прошлом году в России наиболее часто атаковали сайты развлекательного характера (около 30% всех случаев), то с февраля этого года атакам подверглись сайты государственных порталов и ведомств РФ, крупных СМИ и финансовых организаций. Некоторые из таких инцидентов носят рекордный характер - так, в начале апреля в России была зафиксирована DDoS-атака длиной 145 часов (почти неделя непрерывного атакующего трафика). Впрочем, даже непродолжительные атаки могут доставить серьезные неприятности. 

Существует множество специализированных решений по защите от DDoS-атак. Выбор определяется, как правило, исходными техническими возможностями клиента и степенью его вовлеченности в сам процесс организации защиты. Мы выделяем два основных подхода: 

●     Вы приобретаете и разворачиваете в собственной инфраструктуре программно-аппаратный комплекс, который будет фильтровать трафик и защищать ваш ресурс. Это оправдано, если у вас есть собственный штат высококлассных специалистов, разбирающихся в вопросе, и ресурсы на то, чтобы настраивать и обслуживать такую технику.

●     Вы выбираете внешнего провайдера безопасности, к инфраструктуре которого подключаете свои сайты. Второй способ ощутимо проще, так как предлагает решение "под ключ", обслуживанием которого занимаются внешние специалисты. У вас при этом есть доступ к мониторингу и всей сопровождающей информации. 

Одни поставщики предлагают установку ПО в ваш периметр, другие же могут фильтровать трафик на лету, например, с помощью технологии Reverse Proxy.

Для проектов с собственной вычислительной инфраструктурой существует несколько вариантов интеграции: сеть клиента можно защитить через виртуальный туннель, логический или физический канал.

Базовая защита от DDoS-атак обычно делится на 2 типа (по модели OSI):

1.    защита от атак на сетевую инфраструктуру и слабые места сетевых протоколов TCP/IP (L3, L4);

2.    защита от атаки на исчерпание ресурсов сервера и отказ в обслуживании на уровне приложений (L7).                                    

Какую опасность несут DDoS-атаки для сегмента E-commerce

При такой ситуации с атаками как сегодня, профессиональная защита должна быть установлена всегда, независимо от индустрии. Однако не каждое технологическое решение покрывает полный спектр потребностей отдельных сегментов бизнеса. В контексте E-commerce основной угрозой, на наш взгляд, следует считать недоступность сайта и его неполноценную работу.

Согласно исследованию Google, если сайт загружается дольше 3-х секунд, больше половины пользователей не будут ждать и просто закроют его. Теперь представьте, что под атакой сайт рискует потерять практически всю аудиторию, а без защиты он и вовсе не будет открываться. Если лояльность к бренду недостаточно развита, посетители могут больше никогда к нему не вернуться. Даже если их "догонит" реклама, многие наверняка вспомнят о неудачном опыте и не попытаются зайти на сайт снова. Кроме того, если в момент перехода с рекламы сайт еще не успеет восстановиться, это может сильнее ударить по репутации бренда.

Получается, что владелец бизнеса не только теряет деньги от недополученной прибыли в результате недоступности сайта, но и безнадежно растрачивает рекламный бюджет. Зная о запланированной распродаже или значительном обновлении, конкуренты нередко пользуются "запрещенными приемами" и заказывают DDoS-атаки, чтобы подорвать репутацию интернет-магазина и заполучить его клиентов.

Если сайт не атакуют (из-за работы защиты или элементарного везения), низкая скорость загрузки страниц все еще остается проблемой. Вы даете подробное описание товаров, прикрепляете изображения в высоком качестве, добавляете различный функционал для удобства пользователей, но все это хранится на одном сервере, например, в Москве. В таком случае, пользователи из Новосибирска или более далеких от столицы регионов и стран будут получать контент с задержкой. Чтобы решить эту проблему, используйте CDN - сеть доставки контента. Это множество серверов, которые размещены по всему миру и связаны между собой. Они хранят весь контент сайта, за счет чего нагрузка на исходный сервер снижается, а у пользователей все отображается без задержек практически из любого уголка планеты. CDN часто предоставляется вместе с защитой от DDoS как дополнительная опция, причем некоторые провайдеры включают ее бесплатно.

Для E-commerce важна не только ускоренная загрузка контента, но и защита от парсинга - автоматизированного сбора данных. Боты проходятся по всем карточкам товаров, сохраняя ключевую информацию, в основном это цены. Парсинг такого рода следует отнести к атакам, т. к. он создает дополнительную нагрузку на сайт и вычислительные мощности веб-сервера, а также зачастую организуется конкурентами. Совершить такую атаку можно с помощью специализированных сервисов или своими силами, если в штате есть сотрудники с нужными навыками.

Бороться с парсингом можно самостоятельно, добавляя IP-адреса ботов в черный список. Но такой подход недостаточно эффективен и даже опасен, поскольку есть риск заблокировать реальных пользователей, которым при выходе в интернет достался такой же IP. Кроме того, боты быстро эволюционируют и их все сложнее выделять в общем потоке нормального трафика.

Сейчас на российском рынке кибербезопасности появляются профессиональные решения по защите от ботов. Способы подключения разные: от покупки "железа" до интеграции с облачными технологиями. Методы защиты тоже отличаются, но с учетом быстрой эволюции ботов стоит рассматривать сервисы, которые строятся на анализе поведенческого фактора. Помимо использования множества метрик система должна оценивать пользователя и на основе его "репутации" качественно отличать бота от человека, при этом не блокируя поисковые движки и полезные автоматизированные инструменты, которые могут использовать владельцы сайтов, к примеру, для SEO-продвижения.

Специфика защиты в зависимости от масштаба бизнеса

Стать целью DDoS-атаки может как крупный, так и малый бизнес. Наверное, самый известный и наглядный пример для России - это цветочные онлайн-магазины в канун 8 марта. Независимо от своего масштаба, они стабильно подвергаются DDoS-атакам в период праздников. То же касается и маркетплейсов в дни сезонных распродаж, "‎Киберпонедельник", "‎Черную пятницу". 

Архитектура крупных интернет-магазинов, как правило, строится на базе популярных облачных решений или же своих собственных. Для хранения и обработки баз данных клиентов, платежей, товаров задействуется множество серверов, объединенных в единую инфраструктуру. 

В таких масштабах критически важна грамотная балансировка нагрузки, чтобы обеспечить бесперебойную работу системы, если один из серверов выйдет из строя на какое-то время. Поэтому злоумышленники нередко выбирают своей целью не отдельные компоненты инфраструктуры, а всю сеть. 

При успешной DDoS-атаке может нарушиться не только работа сайта, но и внутренние процессы компании. Интернет-магазин недополучит прибыль из-за невозможности продать товары, потеряет лояльность целевой аудитории и деньги из-за простоя в работе сотрудников, вызванного полной недоступностью корпоративной системы. 

Крупные проекты оказываются под атаками регулярно, при том что для них критически важно всегда быть онлайн. Даже при наличии у таких компаний возможности выстроить собственный периметр безопасности, чаще всего попросту не хватает рук, экспертизы и финансирования для внедрения и поддержания безопасности инфраструктуры, так что более выгодным вариантом оказывается пакет готовой защиты. 

Один из наиболее простых способов подключения готового решения - направить веб-трафик домена через систему фильтрации провайдера защиты (например, изменив А-записи). Вы также получите новый IP-адрес, который скроет ваш веб-сервер от злоумышленников. 

Провайдеры защиты от DDoS в основном предлагают своим клиентам стандартизированные пакеты с ограничением по количеству защищаемых доменов. Обратите внимание на возможность кастомизации решения именно под ваш проект - можно ли увеличить лимиты или получить расширенный функционал. Как правило, такой подход встречается только у компаний, которые самостоятельно разрабатывают технологии защиты и способны быстро адаптировать сервис под новые актуальные задачи.

Интернет-магазины поменьше могут размещаться на площадках-конструкторах и хостингах. Зачастую провайдеры хостинга не имеют встроенной защиты от DDoS, но даже при ее наличии предпочитают блокировать доступ к сайтам во время атаки. Им проще прервать соединение, чтобы не платить огромные суммы за всплески вредоносного трафика. Невозможно предугадать длительность и мощность только что начавшейся атаки, поэтому для подстраховки хостер может отключить сайт на несколько часов, даже если фактически атака длилась меньше 20 минут.

У малого бизнеса обычно нет возможности реализовать собственные эффективные решения по защите, поэтому им проще и быстрее всего приобрести бюджетный пакет профессиональной защиты от DDoS. Сайтам нужна защита на уровне L7, так как именно на этом уровне обеспечивается взаимодействие пользователя с интерфейсом. 

Для сервиса по продаже цветов с сайтом-визиткой или магазина автозапчастей будет достаточно базовой защиты 1 домена с полосой чистого трафика в 100 Мбит/с. Этого хватит для того, чтобы отразить типовые DDoS-атаки. 

Если ваш сайт страдает только от сезонных атак, например, перед праздниками (что является типовым для ряда категорий МСП) логично выбрать модель оплаты с ограничением полосы. В случае серьезной атаки вы сможете дополнительно подключить усиленную защиту от DDoS на 24 часа или больше.

Важность защиты от DDoS сегодня

В 2022 году проблема защиты от DDoS-атак является ключевым фактором безопасности для компаний, работающих в интернете. Необходимость периметра кибербезопасности и расходы на него нужно заранее учитывать при планировании бюджета, особенно если ваша организация относится к сектору, который с высокой вероятностью станет мишенью для хактивистов. 

Кратко отметим основные параметры, которые следует учитывать при поиске подходящего решения по защите от кибератак: 

●     способ подключения - нужно ли устанавливать специализированные модули в свою инфраструктуру, переносить проект на другую платформу или можно перенаправить трафик для фильтрации "на лету";

●     тип тарификации - есть ли ограничения по трафику, защита "по запросу" и другие особенности;

●     наличие CDN, возможность управлять настройками оптимизации контента;

●     наличие защиты от ботов - какой подход применяется для разграничения по признаку человек/робот. 

Заключая договор с партнером, который будет осуществлять доставку ваших товаров покупателям, обратите внимание на наличие у него DDoS-защиты. Иначе ваши доставки могут в один момент оказаться под угрозой срыва. Также среди неприятных последствий: потеря данных, ошибки в логистике и задержки с выплатами по завершенным заказам. 

Преимущество в выборе провайдера защиты от DDoS-атак, учитывая текущую обстановку, логично отдавать отечественным решениям. Некоторые западные провайдеры кибербезопасности ушли, некоторые пока остались, но никто не может гарантировать, что они не покинут Россию завтра после нажима общественности. К тому же, после отключения для нашей страны SWIFT, VISA и Mastercard, оплата услуг зарубежного провайдера безопасности является, мягко говоря, проблематичной. 

Это, впрочем, и не требуется. В России есть отечественные провайдеры безопасности с собственными разработками и выходом на международный рынок. Выбирайте защиту сайта от DDoS осознанно, с учетом специфики вашего бизнеса и имеющихся ресурсов. Обеспечьте безопасность своего ресурса уже сегодня и будьте уверены в его постоянной доступности.