Привет, это DDoS-Guard. Мы специализируемся на безопасном хостинге и киберзащите на всех основных уровнях системы OSI. Ранее в своем блоге мы уже писали об основных способах, , а в предыдущей статье на SecurityLab мы рассказывали, какие меры предпринять в процессе, если на ваш сайт уже происходит атака.
Сегодня рассмотрим, как разобраться с последствиями такого инцидента.
Как только DDoS-атака закончится, сразу же начните проводить ее подробный анализ, если этот процесс еще не запустили во время самого инцидента.
Информация, которую вы можете собрать без привлечения внешних средств, зависит от технических предпосылок. Некоторые панели управления сервером дают базовую аналитику, достаточная аналитика также есть в рамках внешней CDN.
Для разбора инцидента нужно привлечь системного администратора. При этом без заранее настроенного мониторинга сервера определить тип и характер атаки на уровне сети, скорее всего, будет невозможно. С атакой на уровне приложений, большинство веб-серверов имеют дефолтное логирование, которое может помочь.
Если атака произошла на сайт на общем хостинге, или VDS, и хостер предоставляет услуги администрирования вместе с арендой, следует запросить информацию по инциденту у него.
Вам нужно выяснить цели кибернападения — страницы, ассеты, сервисы или вся сеть целиком. Необходимо также прояснить структуру самой атаки — единый поток флуда, всплески через определенные интервалы, смешанный тип, и уточнить уровень, на который она была нацелена — сетевой или прикладной.
Путем тщательного анализа картины атаки вы должны получить информацию о ее длительности и пиковых нагрузках — количество и число запросов данных в секунду.
Эта информация потребуется при оценке ущерба и планировании дальнейших действий по защите сайта.
Шаг 2: Оцените последствия перенесенной атакиКак только вы поняли, с какой именно атакой столкнулся ваш сайт, нужно оценить ее успешность — для организатора — и то, насколько серьезные повреждения ему удалось причинить вашим технологическим и бизнес-процессам. Изучив ущерб и сопоставив его со стоимостью предотвращения таких инцидентов в будущем, вы сможете принять решение, стоит ли приобрести услуги защиты от DDoS.
Ключевые показатели ущерба, которые нужно выявить:
Удалось ли остановить атаку. Если нет — удалось ли смягчить последствия атаки.
Какие именно сервисы были выведены из строя и на какой срок.
Какие прямые денежные потери понесла компания из-за инцидента.
Какие косвенные репутационные потери понесла компания из-за атаки.
Насколько атака затронула пользователей (клиентов) сайта по итогам изучения обратной связи.
Повлияли ли на качество услуг и доступ пользователей защитные меры, принятые против DDoS-атаки в ее процессе.
Если ответы на хотя бы два вопроса из этого списка неутешительны, самое время искать слабые места в своей сетевой инфраструктуре.
Шаг 3: Выявите уязвимые места в системеПредположим, атака прошла успешно и вывела из строя определенные элементы цепочки рабочих процессов. Пора выяснить, почему это произошло.
Совместно с вашими техническими специалистами найдите ответы на следующие вопросы:
Через какие «ворота» атакующий трафик прошел в систему, в каком количестве?
Какие ресурсы (приложения, страницы, сети) прекратили обслуживание в результате атаки, а какие выстояли?
Какие векторы атаки были более эффективны, чем другие в плане ущерба?
В ходе блокирования атаки, насколько пострадал легитимный трафик на сайт? Другими словами, испытывали ли пользователи проблемы с доступом, принимала ли система их запросы за вредоносные?
Собранная информация понадобится вам для следующего пункта.
Шаг 4: Проверьте своего провайдера безопасностиЕсли хостинг-провайдер предоставляет услугу по защите от DDoS-атак, самое время изучить, что именно вам было обещано по документам, и как это соотносится с реальностью.
Интересующий вас документ называется «Соглашение об уровне сервиса» (Service Level Agreement или SLA). Ознакомьтесь с показателями в разделе, где провайдер безопасности перечисляет обязательства по предотвращению атак — с количественными и численными показателям.
Если заявленные показатели безопасности никак не соответствуют тому, что вам пришлось испытать в ходе DDoS-атаки, самое время перейти к следующему пункту.
Шаг 5: Задумайтесь о новой защите от DDoSСуммируйте все данные, полученные в ходе предыдущих шагов, и ответьте себе на важный вопрос: устраивает ли вас текущее качество защиты сайта от DDoS?
Если вы уже оказались в ситуации, в которой приходится подсчитывать ущерб от перенесенной атаки, скорее всего, ответ будет отрицательным. А значит пора задуматься о поиске новых, более надежных способов защитить ваш ресурс.
Существует ряд способов ощутимо повысить устойчивость системы к кибератакам еще до того, как подключить профессиональную внешнюю защиту от DDoS. Например, можно настроить фильтрацию и мониторинг входящего трафика, закрыть базы данных и другие уязвимые элементы для внешнего доступа, использовать фаервол и сконфигурировать его так, чтобы открытыми оставались только доверенные адреса и сети.
ПодытожимПосле того как DDoS-атака на ваш ресурс завершилась, необходимо оценить ущерб и установить, какие именно недоработки в системе безопасности позволили злоумышленнику провести атаку с успехом. В том случае, если провайдер безопасности должен был защитить вас от подобной атаки, но не справился, либо справился недостаточно хорошо, следует как можно скорее задуматься о новых мерах безопасности.
Для этого есть несколько способов, но самым эффективным и быстрым из них будет подключение специализированного внешнего решения.
В следующей статье мы расскажем, как правильно выбрать поставщика защиты от DDoS-атак, на что нужно обращать внимание, и какой чеклист необходимо составить перед тем, как начать искать эту услугу.
