Глобальный опрос о сетевых угрозах, который Arbor Networks ежегодно проводит среди операторов сетей разного ранга, показал, что в минувшем году мощность, частота и сложность DDoS-атак продолжали расти. Самая внушительная DDoS на пике достигла 800 Гбит/с — против 500 Гбит/с в 2015 году. Эксперты отметили и положительный сдвиг: все большее число респондентов развертывают специализированные средства защиты от таких атак, перенимают передовой опыт в этой сфере и, как следствие, сокращают время реагирования на подобные киберинциденты.

Росту мощности DDoS, по мнению Arbor, в большой мере способствовало расширение использования злоумышленниками IoT-ботнетов, в особенности после слива исходного кода Mirai. Армия подключенных к Интернету смарт-устройств растет быстрыми темпами, а их защищенность от кибератак по-прежнему оставляет желать лучшего. В то же время ботнеты из зараженных IoT, как показала практика, способны создавать мусорные потоки невиданного ранее уровня.

«За последние десять лет постоянное развитие угрозы, неуклонный рост мощности и сложности атак стали для участников опроса привычным явлением, — комментирует Даррен Энсти (Darren Anstee), ведущий специалист Arbor по ИБ-технологиям. — Однако IoT-ботнеты радикально изменили существующее положение дел — из-за их численности. Этих устройств миллиарды, и их легко мобилизовать для проведения мощных атак. Результаты опроса, показавшие значительные улучшения в использовании передовых технологий и времени реагирования, отражают также растущую тревогу в связи с изменением характера угрозы».

Согласно результатам опроса, в прошлом году 558 DDoS по мощности превысили 100 Гбит/с, 87 — 200 Гбит/с. Атаки с отражением и усилением мусорного потока, использующие различные интернет-протоколы, продолжают сохранять актуальность. Самая мощная из них на пике показала 498 Гбит/с, еще несколько DDoS с DNS- и NTP-плечом превысили отметку 400 Гбит/с. Тем не менее 80% DDoS, зафиксированных респондентами, составляли менее 1 Гбит/с, и 90% продолжались менее одного часа.

Атаки, использующие несколько векторов, причем зачастую одновременно, тоже не утратили популярности у злоумышленников. Такие DDoS труднее отражать, и они весьма эффективны, так как жертва далеко не всегда обладает высокой скоростью реакции и многоуровневой защитой. Согласно результатам опроса, с многовекторными атаками в минувшем году столкнулись 67% интернет-провайдеров и 40% представителей бизнеса, госсектора и сферы образования.

Частота DDoS, направленных на одну и ту же мишень, в 2016 году оказалась, по свидетельству Arbor, рекордно высокой. Так, 53% интернет-провайдеров (против 44% в 2015 году) указали, что их атаковали чаще 21 раза в месяц; 21% дата-центров (против 8%) подвергались атакам более 50 раз в месяц, 45% бизнес-структур, правительственных и образовательных учреждений (против 17%) — более 10 раз в месяц.

Последствия DDoS респонденты характеризовали по-разному, однако все ответы сводились к одному: большим финансовым потерям из-за простоев и упущенной выгоды. В 61% дата-центров из-за атаки пропускная способность каналов оказалась исчерпанной; 25% операторов дата-центров и провайдеров облачных услуг отметили, что DDoS стали им обходиться в $100 тыс. и более, а 5% — что убытки из-за атаки превысили $1 млн. Представители бизнеса, госсектора и сферы образования жаловались, что мусорные потоки забивают магистральные каналы; около 60% таких респондентов оценили потери от простоя в $500 за минуту.

Вместе с тем Arbor с удовлетворением отметила, что участники опроса стали лучше осознавать вероятность убытков и ущерба для репутации в случае успешной DDoS и активнее пользуются специализированной защитой и заимствуют лучшие практики. Так, 77% интернет-провайдеров, по их словам, способны погасить атаку менее чем за 20 минут. Почти 55% бизнес-структур, правительственных ведомств и учебных заведений ныне применяют имитационное моделирование, причем 40% проводят такие тренинги как минимум раз в квартал. Операторы дата-центров и провайдеры облачных услуг стали реже полагаться на межсетевой экран как на средство защиты от DDoS; за год доля тех, кто по-прежнему считает его панацеей, упала с 71 до 40%.

Данные, представленные в отчете Arbor, охватывают период с ноября 2015 года по октябрь 2016 года. В опросе приняли участие 356 представителей интернет-провайдеров уровней 1, 2 и 3, хостинг-провайдеров, операторов сотовой связи, операторов корпоративных и прочих сетей из разных стран. Две трети респондентов являются специалистами по ИБ, сетевым технологиям или по оперативным вопросам.

Категории: DoS-атаки, Аналитика, Главное, Кибероборона