Портал «Госуслуг» подвергся мощнейшей DDoS-атаке.

В эту среду, 10 ноября, на Госуслуги была произведена DDoS-атака, которая на некоторое время остановила работу портала. По данным ведомства, ее мощность превышала 680 Гбит/с. Это в 10 раз мощнее, чем киберугроза, которой подвергся российский финансовый сектор в августе этого года.

Но почему один из самых важных государственных порталов не был готов к атаке такого масштаба?

Ответ заключается в хостинг-провайдере, на серверах которого размещаются Госуслуги. В данном случае это Ростелеком.

Начнем с того, что сеть оператора связи должна доставлять трафик из точки «А» в точку «Б» с наименьшими задержками и в необходимом объеме. Сервис операторов связи не специализируется в области информационной безопасности, в отличие от операторов, работающих исключительно в данной сфере. В связи с этим есть существенная разница в подходе к защите от DDoS.

В сетях федеральных операторов центры очистки данных единичны и лицензируемы по полосе. Из-за этого возникает ряд ограничений. Трафик, направленный на защищаемый ресурс, может перенаправляться на центры очистки постоянно или по срабатыванию систем детектирования аномалий.

Если трафик перенаправляется постоянно, - это увеличивает время приема-передачи. В таком случае объем атакующего трафика не должен превышать физическую портовую емкость фильтров и его лицензируемую полосу.

Когда трафик перенаправляется по системе детектирования аномалий, существуют риски задержки постановки на защиту. Как следствие, сервис клиента неминуемо пострадает.

Чтобы минимизировать нагрузку на фильтры, операторы связи используют предфильтрацию, которая оперативно блокирует очевидный вредный трафик. К сожалению, это не срабатывает при таргетированной атаке и, более того, — может навредить, так как есть риск потери важного клиентского трафика. А любая L7-атака ботами вообще не фильтруется на периметре.

Еще одна проблема операторов связи - это время, которое требуется для обучения системы очистки трафика. Помимо всего этого, существуют атаки, которые вовсе не распознаются стандартными системами защиты.

Теперь рассмотрим операторов, которые специализируются на защите от атак.

Дизайн их сети изначально реализован под задачи приема огромных объемов трафика и полной его обработки на устройствах фильтрации, не говоря о более совершенных алгоритмах фильтрации.

Огромным плюсом являются геораспределенные точки присутствия таких операторов, которые способны принимать атаки ближе к их источникам, при этом отдавая трафик клиентов ближе к потребителям услуги и максимально минимизируя задержки.

Весь трафик, проходящий через устройства фильтрации, профилируется, и при любой аномалии решение принимается мгновенно. Потери для клиента минимальны.

Почему методы, применяемые на сетях телекома, помогают ему, а не его клиентам?

Основную причину происходящего мы рассказали выше, но предлагаем подвести небольшие итоги:

1. Основная задача телекома - доставка трафика. Бизнес компаний заключается именно в этом. У них нет цели модифицировать свои сети и заниматься оптимизацией их безопасности.

2. Модификация центров очистки и магистрали занимает много времени и финансово затратна. Не факт, что такие модификации будут себя окупать. Дело в том, что рынок операторов безопасности уже сформирован, и конкурировать с ним практически невозможно.

Как правильно и гарантированно предотвращать глобальные угрозы?

Нужно всегда быть готовым к ним. Если ваш сервис находится в интернете и представляет интерес для пользователей, конкурентов или киберпреступников - лишь вопрос времени, когда он будет атакован.

Портал Госуслуг "‎положила"‎ атака мощностью 680 Гбит/с, в то время как специализированные операторы защиты выдерживают трафик намного больше.

Например, система фильтрации DDoS-Guard выдерживает трафик до 3.2 Тбит/с, что практически в 5 раз выше, чем мощность атаки на портал Госуслуг.

Резюмируя, можно сказать, что если вам необходима уверенность в защите своего сайта, то стоит отдать предпочтение специализированным операторам связи.

Наша компания способна предоставить защиту от всех известных видов DDoS-атак на уровнях L3-4 и L7, а также от злонамеренных ботов. Вы можете написать нам в любое время суток и задать любые вопросы – мы на связи 24/7.