Алексей Афанасьев, Kaspersky DDoS Prevention: злоумышленники приходят на все популярные ресурсы

5 декабря в Алматы прошел Третий межбанковский форум, в ходе которого эксперты обсудили текущую ситуацию и тенденции в вопросах информационной безопасности финансовых учреждений. В частности, одним из вопросов, обсуждавшихся на форуме, стала организация DDoS-атак на сайты банков и способы защиты от данной угрозы. Напомним — нынешней осенью были организованы DDoS-атаки сразу на несколько крупнейших российских банков одновременно. Казахстанское банковское сообщество, понимая возрастающую угрозу, особенно с развитием интернет-банкинга в Казахстане, активно обсуждает данную проблему.

В настоящее время на отечественный рынок выходит решение Kaspersky DDoS Prevention — документы, необходимые для работы в Казахстане, находятся на стадии подписания. Как нам сообщил источник, пожелавший остаться неизвестным, вполне вероятно начало сотрудничества проекта со службой реагирования на компьютерные инциденты KZ-CERT.

Мы встретились с Алексеем Афанасьевым, менеджером проекта Kaspersky DDoS Prevention, и задали несколько вопросов о текущей ситуации в Казахстане.

— Алексей, расскажите, пожалуйста, о ситуации с DDoS-атаками в Казахстане. Какие атаки были зафиксированы?

— Новые истории я, естественно, не могу озвучивать. Тем более, мы сейчас с рядом заказчиков здесь ведем переговоры. Это не дает возможность рассказывать про реальные кейсы. Безусловно, любая информационная безопасность отчасти связана с тем, что большинство компаний не хочет открывать публично свои тяжелые случаи. Но я сегодня буду рассказывать одну историю, которая близка Казахстану. В прошлом году была достаточно тяжелая история с БТА банком, когда он подвергался в течение продолжительного времени неоднократным DDoS-атакам. Сегодня это достаточно актуально для банковской сферы. Банки стараются минимизировать взаимодействие с клиентами при помощи онлайн-технологий. Поэтому когда были выполнены эти атаки на БТА банк, то многие пользователи их заметили. Это было связано с тем, что не работал сайт. А любой пользователь, который пользуется онлайн-банкингом, зачастую заходит в личный кабинет не по каким-то сложным ссылкам, а именно через главную страницу сайта банка. Таким образом, эта ситуация для банковской сферы очень чувствительна.

У вас также есть система электронных торгов, которая приобретает все большие масштабы. В России также есть система электронных торгов (мы немного более развиты в этом направлении), и мы, например, наблюдаем атаки на торговые площадки по несколько раз в день или в неделю. Это связано с тем, что помешать электронным торгам легко, и очень сложно противостоять этим неприятностям. Осенняя атака на российские банки, которую вы упоминали, была небольшой с точки зрения массовости, но если бы банки не имели специализированных защитных механизмов (трое из них наши клиенты), их работа была бы сорвана.

— Если говорить именно о Казахстане и не привязываться к банковскому сектору, регистрируете ли вы вообще DDoS-атаки в Казахстане и насколько часто?

— Мы наблюдаем не одну сотню атак в день.

— Это именно в Казахстане?

— Да, в том числе. Вопрос заключается в том, что есть небольшие сайты, например интернет-магазины, которые мало известны. Мы замечаем атаки на общеизвестные крупные ресурсы, которыми все пользуются, но не замечаем атаки на небольшие магазины и системы бизнес-взаимодействия. Но пользователи таких систем всегда это замечают. Потому что в большинстве случаев, если сайт не защищен, он становится недоступным, либо доступным с перебоями. Большинство ресурсов сегодня не имеет защиты и, соответственно, они — легкая нажива для злоумышленников.

— Опять же, хотелось бы понять казахстанскую ситуацию. Что у нас сейчас происходит?

— У вас защита от DDoS-атак связана с тем, что компании должны понимать риск. Если они имеют серьезный раскрученный ресурс или ресурс, который приносит деньги, они должны использовать инструменты защиты, предотвращения недоступности этого ресурса. В большинстве случаев компании этим пренебрегают, особенно молодые растущие компании. Результат этого плачевный. Мы наблюдаем очень большое количество атак на незащищенные компании.

— Сколько крупных атак было зафиксировано в Казахстане? Понятно, что вы не можете назвать компании, но можете хотя бы как-то описать ситуацию — сколько серьезных происшествий было?

— Крупных серьезных происшествий — порядка десятка в год. По каким-то крупным российским кейсам я готов разговаривать. Но местные заказчики очень чувствительны, в том числе и потому, что переговоры сейчас идут.

— Если не называть заказчиков, а просто описать атаки?

— Атаки по своей мощности здесь пока не очень большие. Это атаки, как правило, менее гигабита. В России интернет-каналы более развиты, и в связи с этим мы чувствуем более серьезные атаки на бизнес. В ряде случаев целые дата-центры перестают нормально работать. В Казахстане пока такого нет, но надо учесть, что интернет-бизнес в Казахстане стремительно растет. В России мы как раз это и наблюдали: как только появилось больше денег в интернете, сразу появилось большое количество массированных атак. Второй момент — это вопрос проникновения и каналов. Потому что DDoS-атаку нельзя организовать, если у вас плохие каналы. То есть — атака не будет большой мощности. Вопрос для бизнеса другой — доступен сайт контрагентам или нет. К сожалению, требования к защите есть, они понятны, но пока эффективных средств клиенты не используют, вот это печально. Поэтому если компания становится публичной, а ее ресурс — актуальным, то моментально приходят злоумышленники. Например, в Казахстане был публичный кейс — открытие торговой площадки. Было сразу заявлено о факте DDoS-атаки. То есть, работа площадки была нарушена в первые же часы работы.

В Казахстане не настолько хорошее проникновение широкополосного доступа, не настолько развита скоростная мобильная связь, LTE, поэтому мощность атак и массовость этих явлений не носят в цифрах гигантский характер, в смысле объемных атак на каналы.

— Какова стоимость организации атак?

— Любительские атаки могут стоить десятки, максимум сотни долларов за атаку, а массированные атаки серьезных профессионалов могут исчисляться тысячами долларов.

— Во сколько может обойтись, например, интернет-магазину обеспечение защиты?

— Если мы говорим о крупной атаке на серьезный интернет-портал, то цена будет стартовать от 1000 долларов и выше — это стоимость атаки. Это серьезная атака, которая обеспечит его неработоспособность в течение нескольких суток. А сколько это будет стоить с точки зрения магазина? По нашим расчетам, 2-3 дневных выручки такого магазина гарантированно покрывает стоимость нашего сервиса. Если говорить в цифрах, крупный интернет-магазин очевидно имеет выручку больше 1000 долларов в день. Ему не имеет смысла даже пытаться закрыть глаза на эти риски. Эта тактика ни к чему хорошему не приведет. Наш минимальный тариф — это порядка 30 тыс. долларов в год. То есть, ежемесячно защита обойдется в три тысячи долларов. Если выручка порядка тысячи долларов в день (а я думаю, что любой крупный интернет-магазин имеет такие выручки), то трехдневная атака уже гарантированно покроет эти неприятности. Это вещи, которые мы можем посчитать. А можем ли мы посчитать риски, связанные с брэндом? Если у вас есть интернет-магазин, люди в предпраздничный день хотят выполнить покупку или посмотреть, как продвигается доставка их покупки, и не могут зайти на ваш сайт, то они понимают, что это ненадежный интернет-магазин. Это крупная неприятность и фактически — потеря брэнда.

— Казахстанские интернет-магазины в большинстве случаев не делают настолько крупных оборотов, чтобы иметь возможность оплатить такую защиту. Что, с вашей точки зрения, им необходимо предпринимать для защиты от DDoS-атак?

— Я думаю, что небольшим компаниям можно посоветовать обратиться к хостинг-провайдерам, найти услуги защищенного хостинга. Потому что в ряде случаев мы ведем переговоры с хостерами, с сервис-провайдерами. В этом случае, если компания будет получать услуги комплексно, и защита ресурса будет осуществляться в группе с другими компаниями, то, соответственно, есть шанс устоять от таких неприятностей.

— В Казахстане вы работаете с сервис-провайдерами?

— К сожалению, у нас пока нет ни одного проекта, который бы был завершен, и мы выполнили поставку. Поэтому назвать пока никого не могу, все проекты в работе.