Привет, это Олег из DDoS-Guard! Уже много лет я пишу про информационную безопасность. Конечно вы в курсе, что количество DDoS-атак растет с каждым годом, и от них надо защищаться. Заказать такую атаку сегодня стоит копейки, а вот убытки могут составлять шестизначные числа. Почему же так много компаний не подключают защиту от DDoS? Как они это объясняют сами себе? Разбираемся, оправдана ли такая «экономия» — с фактами, цифрами и примерами.
Быстрый переход к основным вопросам
Рост числа атак — все так плохо?
Если кратко — да. Столько DDoS-атак, сколько в 2023 году, еще не было никогда — и по нашим данным, и по данным любого другого провайдера кибербезопасности.
Факт из нашего аналитического отчета: в 2023 году система фильтрации DDoS-Guard зафиксировала рекордное количество — 2 266 198 атак. Это на 80% больше, чем в 2022 году; на 1224% (!) больше, чем в 2021.
Увеличение числа атак неизбежно из-за роста числа подключенных к сети умных устройств (телевизоры, умные камеры, даже стиральные машины — основное «сырье» для вербовки в ботнеты) и общего снижения стоимости и упрощения организации DDoS.
Сколько стоит DDoS-атака сегодня
По данным Statista за 2023 год стоимость DDoS-атаки варьировалась в зависимости от наличия у сайта защиты, а также от мощности самой атаки, в таких пределах — один месяц непрерывной DDoS-атаки на незащищенный сайт стоил $850, а на сайт с профессиональной защитой уже порядка $6000 ($200 за сутки).
При этом еще в конце 2022 года в популярных тематических сообществах хакеров в Telegram можно было найти объявления о DDoS-атаке длительностью в сутки в среднем за $40 (мощность не уточняется). По сравнению с 2021 годом цена снизилась примерно на 20%. Вероятно, снижение было обусловлено упрощением взаимодействия между заказчиками и исполнителями — этому поспособствовал рост популярности мессенджера Telegram.
Схожую цифру приводит и CloudFlare, отмечая, что стоимость услуг по DDoS-атакам на популярных платформах составляет всего $30 в месяц. Такие бюджетные варианты, скорее всего, не нанесут большого вреда компании, если у нее есть хотя бы некоторая защита и ресурсные мощности, чтобы выдерживать повышенную нагрузку.
Однако уже 24-часовая сильная атака на выбранную цель обойдется всего в $200 — это тоже сравнительно небольшие деньги, а вот ущерб от такой атаки может быть гораздо серьезнее. А ведь за какую-то тысячу долларов на некоторых сервисах можно заказать целую неделю непрерывных DDoS-атак! Для бизнеса со слабой защитой или совсем без нее это будет иметь катастрофические последствия.
В 2023 году российские компании столкнулись с новым видом DDoS-атак, которые ведутся непрерывно в фоновом режиме. По данным Servicepipe, в некоторых случаях непрерывные DDoS-атаки могут продолжаться месяцами и даже годами, причем, что любопытно, речь не о хактивизме, а о вполне коммерческих мотивах. Нетрудно увидеть причину такого тренда прежде всего в удешевлении организации продолжительных DDoS-атак.
Дмитрий Никонов
руководитель направления защиты от DDoS на уровне веб-приложений в DDoS-Guard
Тренд незаметного вовлечения в хактивизм, который позволяет хакерам вести продолжительные атаки, мы наблюдали еще в 2022 году: некоторые сайты при помощи специальных скриптов под безобидным прикрытием — например, онлайн-игр – генерируют вредоносный трафик, чтобы вывести из строя жертву. Пользователи таких сайтов, сами об этом не зная, невольно участвуют в атаке — в фоновом режиме.
Также встает вопрос, что считать непрерывной атакой. Как видно на тепловой карте, некоторые наши клиенты подвергаются атакам каждый день даже после подключения защиты.
Благодаря защите, они не замечают воздействия DDoS. Но если за одной волной атаки сразу следует другая, считать ли это одной непрерывной атакой? Все зависит от метода анализа данных.
По нашим данным, абсолютное большинство атак составляют краткосрочные всплески трафика — до 20 минут. Их 1,3 млн от общего числа в 2,2 млн атак, которые в DDoS-Guard зафиксировали за год.
Что такое удавшаяся атака и даунтайм
Количество DDoS-атак растет быстрее, чем количество защищенных от киберугроз компаний, к тому же сами атаки становятся изощреннее. Это приводит к тому, что процент успешных (нанесших ущерб) DDoS-атак увеличивается.
Удавшаяся для злоумышленника атака — это прежде всего даунтайм для жертвы, то есть, ситуация, когда инфраструктура (сайт, сеть, сервис, все сразу) «лежит» — не функционирует и не работает как обычно.
Когда рабочие процессы вынужденно останавливаются, бизнес начинает терять деньги и репутацию. Чем дольше длится даунтайм, тем больше потери, и некоторые из них возместить невозможно — например, доверие клиентов.
Размер убытков может ощутимо варьироваться в зависимости от масштаба и специфики работы компании или организации. Можно утверждать наверняка только одно: чем масштабнее и серьезнее система, которая терпит даунтайм, тем серьезнее последствия.
Даунтайм нельзя недооценивать, так как в эпоху скоростного интернета клиенты стали значительно более требовательны — они ожидают, что сайты будут открываться максимально быстро. Согласно исследованию компании Aberdeen Group, даже простая односекундная задержка загрузки страницы означает уменьшение количества просмотров на 11%, снижение удовлетворенности клиентов на 16% и снижение конверсии на 7%. Кстати, увеличение скорости загрузки на 1%, наоборот, повышает конверсию примерно на столько же (6,7%).
В отчете Oracle о клиентском опыте говорится, что 89% клиентов уходят к конкурентам, если получают негативный пользовательский опыт.
Сколько теряют пострадавшие компании
Наиболее серьезный из известных даунтайм-инцидентов произошел в октябре 2021 года, когда рухнула вся экосистема Meta*, включая Facebook*, Instagram* и WhatsApp. Причиной была не DDoS-атака, а техническая оплошность, но результат был наглядным — гигантская инфраструктура не работала около шести часов, это принесло $60 миллионов прямых убытков и $47,3 млрд потерь в стоимости акций.
В сентябре 2022 года сервера видеоигрового издательства Activision Blizzard были выведены из строя на 4 часа. По оценкам аналитиков, это могло причинить сотни тысяч долларов убытков. Как правило, сумма потерь самой компанией публично не раскрывается. Институт Ponemon считает, что DDoS-атака может обойтись до $22 000 за каждую минуту простоя (при этом Gartner указывает цифру в $5600 в среднем в минуту, вероятно, реальный итог зависит от размера и специфики компании).
Наиболее дорогостоящим представляется даунтайм для облачных систем. По результатам опроса корпоративных руководителей, проведенного компанией Parametrix, в случае более 50% опрошенных простои в облаке будут стоить им $100 тысяч в час и более. Более 5% опрошенных заявили, что время простоя «облака» обойдется их работодателям в сумму, превышающую $1 млн в час.
В корпоративном секторе стоимость простоя «может составлять от $1 млн до $5 млн и больше, без учета судебных издержек, штрафов и неустоек». Согласно Franklin Electric, в телекоммуникационной отрасли время простоя может стоить $11 000 в минуту для каждого (!) сервера. В банковской, транспортной и финансовой отрасли часовой даунтайм и вовсе обойдется в несколько миллионов долларов.
Что насчет российских компаний? В первом полугодии 2023 года, по данным опроса «РТК-Солар», средний ущерб отечественных компаний от действий хакеров вырос на 30%, до 20 млн руб. в годовом исчислении. Это достаточно много, принимая во внимание, что все эти атаки можно было предотвратить. Особенно если учесть, что организовать такую атаку стоит во много раз меньше.
Как рассчитать стоимость даунтайма
Сложно. Ее рассчитать сложно. Определить точный размер убытков для конкретной компании в случае конкретного даутайма – та еще головная боль, так как речь идет не только о прямых финансовых потерях, но и о недополученной выгоде (в случае, например, маркетплейсов), репутационных потерях и других вещах.
Убытки от потери продаж можно примерно рассчитать, умножив средний доход сайта в день/неделю/месяц на количество дней/недель/месяцев, когда сайт был недоступен для пользователей. В свою очередь, убытки от потери клиентов вычисляются, если вы умножите средний доход от каждого клиента на количество пользователей, которые не смогли получить доступ к сайту во время атаки. Помните, что итоговая цифра все равно будет приблизительной, так как некоторые факторы могут быть не очевидны или их значимость трудно объективно оценить.
Сколько компании тратят на защиту
Причины DDoS — прежде всего финансовые. Чем больше оборот компании и дороже ее процессы, чем шире охват, тем более желанной целью она представляется для атаки со стороны конкурента или хактивиста, которые попробуют эту прибыль обрушить.
Чтобы выяснить, сколько компании в РФ тратят на защиту от DDoS, я обратился за помощью к коллеге, который занимается закупками. Он исследовал данные из Единой информационной системы в сфере закупок zakupki.gov.ru.
Что мы можем выделить из всего этого массива данных:
По объемам — резкий рост
В 2022 году было опубликовано 85 госзакупок конкретно на защиту от DDoS на сумму 243 миллиона рублей. По итогам этих закупок заключено 79 договоров на сумму 211,4 миллионов рублей.
Теперь смотрим на 2023 год: 117 госзакупок на сумму более чем в полмиллиарда, в итоге заключено 114 контрактов на 454 миллиона рублей.
Таким образом, всего за год мы видим двукратный рост в этой области.
По сферам — смена приоритетов
В 2022-м половина затрат (49%) на защиту от DDoS-атак приходилась на информационно-технологические компании, далее шли университеты (13%), и только на третьем месте — управленческие государственные компании.
В 2023 картина уже совсем другая. Доля ИТ-компаний среди заказчиков снизилась до 31%, в то же время резко выросли (до 29%) закупки защиты энергетической сферой, на третье место в рейтинг ворвались МФЦ (сразу 22%).
Это коррелирует с наблюдаемым в нашей статистике рассредоточением DDoS-атак по более широкому спектру отраслей.
Физическая защита становится популярнее
В 2022 году наблюдался практически паритет между популярностью закупок физических и облачных решений — по чистому количеству закупок существенно лидировало физическое подключение, однако в деньгах распределение было практически 50/50.
В 2023 году мы наблюдаем уже однозначное существенное увеличение количества закупок и договоров с физическим подключением к инфраструктуре заказчика. Абсолютные показатели облачных решений снизились на 15% в деньгах.
Повысилась конкурентность закупок
Если в 2022 году 23% финансового объема закупок защиты от DDoS были осуществлены неконкурентным путем (то есть, у единственного поставщика), то в 2023 году таких лишь 5%. Таким образом, у всех добросовестных поставщиков защиты от DDoS сегодня есть хорошие шансы побороться за тендер.
А сколько компаний реально защищены?
По итогам 2023 года можно с уверенностью сказать одно: компании в России тратят недостаточно средств на обеспечение своего периметра кибербезопасности. За год число атак на российский телекоммуникационный сектор выросло в несколько раз, был нанесен значительный ущерб клиентам атакованных интернет-провайдеров, что обнажило необходимость профессиональной защиты на уровне не только магистральных, но и локальных провайдеров.
На уровне самих компаний все еще хуже: по данным на июнь 2023 г., почти треть российских компаний из топа по выручке не обеспечивала надлежащий уровень защиты сайтов от DDoS-атак. Наиболее беззащитным оказался энергетический сектор (26%), а также, как ни странно, финансовые организации (16%). Производства и транспортные предприятия не имеют профессиональной защиты от DDoS-атак вовсе в 12% случаев.
Статистика показывает, что абсолютное большинство DDoS-атак (до 90%) как в мире, так и в России происходят на уровне L7 по модели OSI, то есть, приходятся на вывод из строя web-приложений. Предотвращение таких атак требует повышенных ресурсов и более тонких фильтрующих алгоритмов.
Вместе с тем — и это самая поразительная тенденция — почти половина компаний из российского топ-100 вообще не имеет профессиональной защиты как раз на уровне L7 (данные Stormwall), хотя на уровне сети (L3-L4) ситуация уже заметно улучшается. Таким образом, любая достаточно масштабная атака на прикладном уровне может теоретически обрушить инфраструктуры крупнейших участников рынка.
Наиболее уязвимы по L7, что иронично, как раз те, у кого самый большой риск подвергнуться DDoS-атаке — телекоммуникационный сектор (38%), энергетика (26%), финансовые организации (16%).
По-видимому, потребуется какой-то большой и серьезный локальный инцидент (вроде упомянутого падения запрещенного в России Facebook), чтобы российские компании начали всерьез относиться к перспективе защиты от атак на прикладном уровне.
Такие инциденты не за горами, ведь постоянно регистрируются все новые серьезные киберугрозы. Например, в ноябре 2023 года регистратор доменных имён Рег.ру отчитался о трехдневной атаке емкостью более 40 Гб/с, в которой участвовал ботнет из 40 тысяч уникальных IP-адресов. И подобных случаев будет все больше.
Почему компании не подключают защиту от DDoS?
Сообщается, что во многих компаниях не спешат подключать профессиональную защиту от DDoS-атак, предпочитая закладывать эти расходы в цену своих услуг. По мере роста количества и силы атак стоимость простоя может ощутимо превысить стоимость подключения защиты — а для каких-то отраслей уже и превышает.
По данным опроса, проводившегося во время эфира AM Live, где участвовал наш эксперт Дмитрий Никонов, почти 20% владельцев компаний вообще не озаботились защитой от DDoS.
При этом 65% опрошенных оценили вероятность атаки персонально на их компанию как высокую и очень высокую.
В качестве основных причин нежелания устанавливать защиту от DDoS лидируют высокая стоимость и сложность настройки:
Комментарии, наверное, излишни. Интересно, как бы выглядели результаты аналогичного опроса от тех же компаний, но которые уже перед этим подверглись серьезной DDoS-атаке?
Какие сценарии защиты наиболее эффективны
Поскольку невозможно предсказать, по какому уровню (согласно модели OSI) на вашу компанию будет проведена атака, логично подключать защиту на всех основных уровнях. Исходя из вышеприведенной статистики, прежде всего нужно озаботиться защитой прикладной, на уровне L7.
Есть, конечно, различные предварительные меры, которыми можно озаботиться для оптимизации нагрузки и прочего (некоторые из них заодно помогут с увеличением общей производительности процессов, что, как мы помним из примеров выше, само по себе увеличивает конверсию), я разбирал их в нашем корпоративном блоге.
В случае действительно серьезной DDoS-атаки, впрочем, скажу честно — все это не поможет. Так что остается два варианта — или молиться и надеяться, что хакеры обойдут вас стороной (с каждым годом и даже месяцем вероятность такой удачи резко снижается), либо все-таки перестать экономить на собственном цифровом здоровье и подключить защиту от DDoS.
Перспективы
Еще в 2016-м, по данным IDC, рынок защиты от DDoS в России составлял около $20 миллионов. Сейчас он в несколько раз больше и продолжает расти: по данным компании RuVDS, спрос на облачные сервисы и защищенный хостинг в России в 2023 г. увеличился на 17,5% против 6% годом ранее.
МТС RED, дочерняя структура МТС в сфере кибербезопасности, сообщает, что объем российского рынка защиты от DDoS-атак в 2022 году составил 762 млн рублей. В 2023 рост прогнозировался в районе 60%, а к 2025 году — и все 250%.
В январе 2024 года зампред правительства РФ Дмитрий Чернышенко заявил, что показатель цифровой зрелости в России превысил 74%, а также отметил, что цифровая трансформация стала одной из пяти национальных целей развития страны до 2030 г.
Хочется верить, что защита от DDoS станет одним из приоритетных направлений, на которые планируется потратить бюджет этого мегапроекта.
А вы что думаете об этой проблеме и способах ее решения?
* Компания Meta запрещена в России и признана экстремистской, как и ее социальные сети Facebook и Instagram.