DDOS и 5G: толще «труба» — больше проблем

15.07.2018 | Владимир Хазов

 

DDOS и 5G: толще "труба" - больше проблем

Сегодня два самых заметных повода для хайпа в отрасли телекоммуникаций — это IoT (Интернет вещей) и 5G. Все говорят о них, планируют, тестируют и даже разворачивают их. Касательно IoT смотрите здесь и 5G, определенно, на подходе, и они связаны между собой, потому что появляется все больше и больше IoT-устройств, формируется предложение на услуги IoT — особенно услуги, обильно наполненные видео контентом —  потребуется все большая и большая мобильная пропускная способность, и 5G обещает удовлетворить этот спрос.

Картина довольно радужная, но есть один подвох — пресловутая ложка дёгтя в бочке мёда, которую никто не обсуждает — мы все знаем, что DDoS-атаки являются реальной и растущей угрозой. В этом посте мы изложим доводы в пользу того, что 5G увеличивает угрозу DDoS, и, в результате, требуется защита сильнее, чем могут обеспечить сегодняшние традиционные стратегии.

Думаем все согласятся с тем, что DDoS-атаки — это реальность, которая не собирается исчезать! Кажется, что каждый месяц мы слышим о новой, бьющей рекорды DDoS-атаке, и неудивительно, что многие типы DDoS атак называются наводнениями — одна из них даже названа Цунами — потому что их воздействие сокрушительно. Они наводняют и затопляют сетевые ресурсы, включая такие элементы, как брандмауэры, предназначенные для обеспечения безопасности сети.

Таким образом, DDoS-атаки представляют угрозу для всех, кто присутствует в сети, но почему они растут, как по размеру, так и по частоте? Одна из причин заключается в том, что взрывное распространение IoT устройств обеспечивает хакерам растущие возможности для запуска этих атак. IoT устройства приносят большую ценность своим пользователям — удаленное автоматическое измерение, видеокамеры систем безопасности, умные коммунальные сети и многое другое. Тем не менее, большинство IoT устройств являются, по сути, упрощенными, одноцелевыми компьютерами с простенькой защитой или без нее. Их легко взломать и превратить в солдат армии ботнетов, спровоцировав все возрастающие наводнения DDoS-нападений.

Вторая причина, по которой DDoS-атаки продолжают расти — это легкая финансовая выгода. DDoS-атаки могут включать в себя требования о выкупе, или они могут быть способом причинить вред конкуренту: либо причиняя вред бизнесу, либо используя атаку в качестве дымовой завесы, чтобы прикрыть киберворовство коммерческой тайны. В обоих случаях злоумышленник получает прибыль. Третья причина в том, что хактивисты все чаще осознают, что DDoS-атаки — это простой способ наказать идеологических врагов, будь то правительственных или корпоративных, причем огласка тем выше, чем более силен поток трафика DDoS. Также DDoS-атаки могут быть формой национально-государственной кибервойны, как для нанесения вреда работоспособности, так и в виде дымовой завесы, чтобы скрыть последующую кражу государственных секретов.

Еще одна причина, по которой эти атаки продолжают расти, заключается в том, что, хотя они технологически сложны, инструменты, необходимые для запуска этих атак, широко доступны и просты в использовании. Как подчеркивалось при недавнем падении крупного международного сервиса, для реализации платных DDoS-атак существует огромная индустрия по найму инструментов.

Поставщики услуг связи (CSP) сами часто являются мишенями DDoS-атак, но даже когда они целятся не в них, их сеть является средой, и они страдают от чрезмерного трафика, что может препятствовать их способности предоставлять услуги своим многочисленным клиентам, которые вовсе не являются мишенью, а просто становятся невинными свидетелями. Стоимость этих атак высока. По оценкам Лаборатории Касперского, стоимость для малого и среднего бизнеса (SMB) превышает $120 тыс. за каждую атаку, а для крупных предприятий (включая CSP) она может составлять $1-2 млн и более. Подавляющее большинство CSP испытывают DDoS-атаки каждый год, часто по много раз в месяц.

Затраты, разумеется, являются как прямыми, так и косвенными — они могут включать штрафы по соглашению об уровне обслуживания (SLA) для выплаты корпоративным клиентам, которых это затронуло, затраты, понесенные перегруженными центрами обработки вызовов, усилия по восстановлению или замене затронутой инфраструктуры, дополнительные покупки новой инфраструктуры и, конечно же, затраты, связанные с ущербом репутации. Попытки предотвратить отток клиентов, проведение рекламных кампаний и предоставление скидок, чтобы вернуть клиентов и восстановить репутацию — или привлечь новых клиентов — все это вносит свой вклад в стоимость этих атак.

Итак, какое отношение все это имеет к 5G? Ну, экспоненциально нарастающее распространение применения высокоскоростной пропускной способности означает, что в дополнение к широкому спектру мотивационных моментов, легкой доступности инструментов атак и быстрому росту источников атак в связи с IoT, значительно большее число атак будет возможным вследствие того, что «скоростное шоссе 5G» будет иметь намного больше полос для обеспечения значительно более высоких показателей трафика — как полезного, так и зловредного. По словам Бриджеш Датта (Brijesh Datta), Директора по информационной безопасности компании Reliance Jio, «Полосы пропускания 5G будут с легкостью увеличивать скорость подключения к сети интернет, каждый человек будет иметь 1 Гбит пропускной способности, тем самым давая возможность атакам становиться более радикальными».

Находясь в этой среде, более трети клиентов CSP ожидают, что CSP защитят их от этих атак. Они ожидают безопасности, а не просто возможности подключения, и CSP пытаются решить эту проблему. Традиционно они применяют несколько методов для борьбы с DDoS-атаками, но все они ограничены, когда дело доходит до таких масштабных атак.

Всеобъемлющее решение: центры очистки трафика

Работа центров очистки трафика заключается в том, что при обнаружении входящей атаки — обычно при помощи периодической выборки порогов сетевого трафика и вмешательства человека — весь трафик перенаправляется в специализированный центр обработки данных, функция которого заключается в проверке каждого пакета, удалении содержимого атаки, а затем отправке чистых пакетов данных обратно в сеть CSP.

Всеобъемлющее решение: центры очистки трафика

Как отмечают Frost & Sullivan, это решение довольно проблематично по следующим причинам:

  1. Стоимость: Стоимость высока, и это связано с дополнительными сетевыми ресурсами и работой людей, занятых для перенаправления такого большого количества трафика.
  2. Качество:Существует большая вероятность снижения качества во время атаки из-за времени, которое требуется, чтобы отвести, очистить и вернуть очищенный поток трафика.
  3. Точность:В случае асимметричного трафика, запросы и соответствующие пакеты подтверждения (которые часто формируют усиленную атаку) не всегда путешествуют по одним и тем же маршрутам, что затрудняет определение того, является ли трафик законным или незаконным.
  4. Обход:Злоумышленники адаптировались к этому решению, используя лазейку, связанную с частотой отбора, и применяя краткосрочные, но очень большие всплески трафика, чтобы обойти механизм выборки.

Бюджетное решение: интегрированные системы

Эти решения не прибегают к системе пробного отбора трафика, поскольку они работают, будучи встроенными в систему, но:

  • Они не были предназначены для работы с трафиком масштаба CSP;
  • Они не справляются с асимметрией по тем же причинам, что указаны выше;
  • Они не смотрят на исходящий трафик, и поэтому они не ослабляют исходящие атаки;
  • Они не могут помочь присвоить более высокий приоритет легитимному приоритетному трафику во время атак.

Всеобъемлющие решения слишком дороги для большинства CSP и в конечном счете имеют ограниченную эффективность. Бюджетные решения не очень подходят CSP. То, что требуется — это новый, экономически эффективный подход, который как отвечает сегодняшним вызовам, так и может без больших усилий масштабироваться для обработки завтрашних более крупных и неизвестных атак, защищая сети CSP и клиентов, все время и вовремя.

СКАТ DPI от VAS Experts – это хорошо масштабируемая платформа, которая имеет встроенную систему борьбы с DDoS-атаками. Она способна останавливать как входящие, так и исходящие объемные атаки, использует машинное обучение для обнаружения ранее неизвестных шаблонов и полностью интегрирована с функциональностью DPI для обеспечения качества легитимного трафика во время атак.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также миграции с других платформ, вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Поделиться в социальных сетях