Сейчас достаточно активно обсуждается тема DDoS-атак и различных инструментов по их предотвращению. Но как говорится, инструмент инструменту рознь, и не всегда используется то, для чего оно изначально предназначено. Очень популярные решения – брандмауэры и IPS-устройства. Это важные средства защиты, однако, они не предназначены для решения проблем, связанных с DDoS-атаками.
Службы безопасности многих крупных компаний и банковских структур полагаются на такие традиционные средства защиты, как брандмауэры, системы предотвращения вторжений (IPS) и брандмауэры веб-приложений (WAF) для защиты своих организаций от различных угроз, включая распределенные атаки типа «отказ в обслуживании» (DDoS). Хотя эти устройства и являются ключевыми компонентами надежной стратегии безопасности, они попросту не были рассчитаны на предотвращение современных DDoS-атак.
Почему брандмауэры и IPS-системы не решают проблемы DDoS-атак?
Уязвимость для DDoS-атак
- Поскольку это сетевые устройства, хранящие данные о состоянии, они уязвимы и являются объектами DDoS-атак.
- Масштабным флуд-атакам и атакам, связанным с соединением, они подвержены в первую очередь.
Неспособность обеспечить бесперебойную работу
- Разработаны для защиты от известных, а не новых угроз.
- Предназначены для поиска угроз в пределах одного сеанса, а не в разных сеансах.
Защита только от определенных видов атак
- Защищают только от некоторых угроз для приложений.
- По умолчанию пропускают такой обычный трафик атак, как TCP через порт 80 (HTTP) или UDP через порт 53 (DNS), а также не справляются с атаками, которые содержат валидные запросы.
Развертывание в неподходящем месте
- Непосредственная близость к серверам.
- Находятся слишком близко, чтобы защищать маршрутизаторы в восходящем направлении.
Несовместимость с облачными системами защиты от DDoS-атак
- Неспособность взаимодействовать с облачными решениями по предотвращению DDoS-атак.
- Увеличение времени реагирования на DDoS-атаки.
Отсутствие опыта предотвращения DDoS-атак
- Необходимость в опытных экспертах по безопасности.
- Необходимость знания о типах атак перед их осуществлением.
В связи с тем, что брандмауэры и IPS-устройства подключены к сети и хранят данные о состоянии, они также уязвимы для DDoS-атак и сами становятся объектами этих атак. По сути, им приходится отслеживать все пакеты, проходящие через каждое соединение, что вполне оправдано с учетом тех проблем, для решения которых они предназначены. Брандмауэры, особенно новейшие их вид прикладного уровня, должны отслеживать все соединения, чтобы распознавать контекст всех входящих пакетов, а IPS-устройства должны отслеживать состояние, чтобы упреждать попытки вторжения через обнаружение на основе анализа сигнатур, анализа протоколов с поддержкой состояния и других методов обнаружения.
Даже если таблицы состояний со временем увеличиваются, «гонка вооружений» будет продолжаться, так как хакеры могут задействовать более крупные бот-сети и больше векторов распределенных атак. Даже во время умеренных DDoS-атак брандмауэры и IPS-устройства будут перегружены и станут первыми точками отказа.
В свете вышесказанного следует заметить, что, несмотря на то, что таблицы состояний брандмауэров и IPS-систем могут оказаться слабым звеном при работе с DDoS-атаками, они совершенно необходимы. Благодаря данным таблицам устройства выполняют следующие функции: блокирование несанкционированного доступа к критически важным ресурсам, применение корпоративной политики безопасности, предотвращение потери данных и т.д. Эти функции являются неотъемлемой частью механизма обеспечения безопасности.
Система защиты для бесперебойной работы Arbor Pravail™ (Pravail APS) нацелена исключительно на предотвращение угроз для бесперебойной работы, например DDoS-атак. Следя за тем, чтобы таблицы состояний брандмауэра и систем предотвращения вторжений заполнялись только соединениями, соответствующими установленным правилам, Pravail APS позволяет другим устройствам безопасности конечных пользователей выполнять только свои основные функции. Система Pravail APS не дает перегружать брандмауэр из-за атаки типа sockstress, она может защитить от этой атаки и позволяет брандмауэру следить за соблюдением сетевой политики или предотвращать несанкционированный доступ.
Операторы центров обработки данных и отдельные компании могут также развертывать Pravail APS перед брандмауэрами и IPS-устройствами, чтобы предотвратить другие атаки прикладного уровня и препятствовать соединениям из бот-сетей.
• Развертывать готовые к использованию решения для незамедлительного устранения угроз для бесперебойной работы.
• Блокировать новые DDoS-атаки прикладного уровня до того, как они смогут вывести из строя полезные службы.
• Предотвращать DDoS-атаки из бот-сетей, используя данные по безопасности в режиме реального времени от Системы Arbor для анализа уровня угроз (ATLAS®).
• Предотвращать флуд-атаки типа DDoS, координируя действия с провайдерами в составе коалиции оповещения об угрозах в облачных средах (SM).
Почему компания «ITBiz» выбрала решения от Arbor Networks?
1. Важнейшие преимущества компании «Arbor Networks» подтверждены и проверены. Большинство ведущих мировых провайдеров доверяют защиту от DDoS-атак компании Arbor Networks. Если ваш провайдер обеспечивает защиту от DDoS-атак, велика вероятность того, что он использует продукты Arbor.
2. Передовые исследования. Проект ATLAS дает возможность сотрудникам отдела Arbor по вопросам безопасности отслеживать более чем 70 % глобального интернет-трафика в режиме реального времени. Столь уникальный доступ к информации о новых угрозах в сети позволяет группе ASERT (команде Arbor по обеспечению безопасности и экстренному реагированию) своевременно разрабатывать автоматические обновления для продукта Pravail.
3. Коалиция оповещения об угрозах в облачных средах. Это передовой координированный подход к защите компаний от DDoS-атак. Все больше провайдеров во всем мире присоединяется к коалиции.
Материал предоставлен компанией «ITBiz», сертифицированным партнером «Arbor Networks» в Украине, и составлен на базе материалов исследований «Arbor Networks»