ФСТЭК опубликовала рекомендации по противодействию DDoS-атакам
ФСТЭК систематизировала практики защиты от DDoS-атак в новых рекомендациях. Ведомство советует проводить инвентаризацию доступных из интернета сервисов, внедрять многоуровневую фильтрацию (L3/L4 на NGFW + WAF/SWG для L7), использовать Rate limiting, CDN и reverse proxy. Эксперты отмечают, что все эти меры требуют значительных аппаратных мощностей и не дают 100% гарантии, но их комбинация существенно повышает устойчивость инфраструктуры.
Федеральная служба по техническому и экспортному контролю России опубликовала новые рекомендации. На этот раз они касаются повышения защищенности от угроз безопасности, связанных с атаками типа «отказ в обслуживании» (DDoS). Документ опубликован на сайте надзорного ведомства.
В сопроводительном сообщении ФСТЭК пишет, что рекомендации были подготовлены «в связи с увеличением количества DDoS-атак на российскую инфраструктуру». Рекомендации предназначаются для органов, организаций и провайдеров связи.
ФСТЭК рекомендует проводить инвентаризацию сервисов, доступных из интернета, и сегментировать сеть, чтобы упростить фильтрацию трафика и локализацию атак. В ведомстве также рекомендуют использовать для мониторинга имеющееся ПО или обратиться к использованию open-source решений типа Zabbix, LibreNMS, ntopng. Также рекомендуется блокировка трафика по принадлежности стране через GeoIP.
Говоря о ключевых мерах и рекомендациях по защите от DDoS от ФСТЭК, архитектор департамента «Информационная безопасность» «Рексофта» Даниил Левченко выделяет ряд мер защиты. Среди них — полный учёт публичных сервисов, сегментация сети, фильтрация трафика на NGFW и маршрутизаторах, постоянный мониторинг периметра сети. «Для КИИ и ГИС ещё должно осуществляться взаимодействие с ГосСОПКА», — отмечает эксперт.
Левченко советует при адаптации этих рекомендаций использовать облачную анти-DDoS защиту там, где это целесообразно. Также рекомендует внедрение многоуровневой защиты (L3/L4 на NGFW + WAF/SWG для L7-атак), Rate limiting (лимиты запросов, CAPTCHA, квоты на БД), резервирование, использование CDN, reverse proxy, сокрытие реальных IP.
«Фактически это обозначает комбинированный подход к локальной фильтрации (NGFW + маршрутизаторы) с облачной защитой для публичных сервисов, плюс регулярное тестирование устойчивости через нагрузочное тестирование с проведением пентеста», — делится рекомендациями эксперт.
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин отмечает: у атак класса DDoS есть определённое количество сценариев, и для каждого из них есть свои методы борьбы. «Они не дают стопроцентный результат, и их успех зависит от большого количества условий, иначе эта проблема была бы давно решена», — подчеркивает эксперт.
Рекомендации ФСТЭК, по словам Полунина, систематизируют обычную практику в компаниях, когда возникает задача защиты от атак на отказ в обслуживании.
«Самая главная проблема, что все эти меры работают при наличии существенных аппаратных мощностей, которыми располагает далеко не каждая организация», — отмечает Полунин.
