Компания Arbor Networks - разработчик решений в области сетевой безопасности, представила новый отчет, описывающий основные моменты, связанные с угрозами для нормальной работы сетей.
Отчет описывает состояние дел в области сетевой безопасности с начала 4 квартала 2008 года по конец 3 квартала 2009 (т.е. за год). Участниками опроса, на базе которого построен отчет, стали представители 132 операторов разных уровней, включая Tier 1 и Tier 2, со всех континентов, имеющих непосредственное отношение к вопросам обеспечения безопасности своих сетей. Ниже приводится краткое изложение некоторых положений этого отчета. Полностью 34-страничный документ на английском языке можно взять здесь.
В качестве одного из наиболее важных моментов, исследователи считают снижение темпов роста полосы пропускания, потребляемой наиболее серьезными DDoS-атаками. Так, в течение изучаемого периода, занимаемая DDoS-атаками полоса пропускания выросла только на 22% (с 40 Гбит/с до 49 Гбит/с). Между тем, с 2001 по 2007 года рост полосы, блокируемой наиболее мощными DDoS-атаками вырос с 400 Мбит/с до 40 Гбит/с, т.е. примерно в 100 раз. По всей видимости, просто достигнут физический порог наращивания поглощаемой полосы, что в свою очередь повлекло смещение интереса злоумышленников к другим методам достижения целей DDoS-атак.
Также, аналитики сделали вывод о неготовности интернета в целом к переходу на протокол IPv6. Большинство провайдеров, работа которых изучалась в рамках исследования, заявили о своей озабоченности вопросами безопасности при переходе к шестой версии протокола, особенно недостатком практического тестирования, что может привести к росту уязвимости всей глобальной сети.
По просьбе исследователей, респонденты ранжировали наиболее вероятные проблемы, ожидающие их сети в следующие двенадцать месяцев. Вытеснив «победителей» отчета прошлого года - сетевых ботов - с большим отрывом в этот раз «победили» DDoS-угрозы.
Среди наибольших угроз производительности сети, ответчики назвали прежде всего спам, активность сетевых «червей» и ботов, а также DDoS-атаки.
В ответ на просьбу описать масштаб DDoS-атак, предпринятых на сети операторов или их клиентов за прошедший год, респонденты представили данные, легшие в основу следующей диаграммы.
Любопытно, что всего 19% опрошенных, против 30% годом ранее, заявили о наблюдении DDoS-атак с поглощаемой полосой на уровне 1-4 Гбит/с. Несмотря на указанное ранее замедление темпов роста поглощаемой полосы DDoS-атаками, большинство предприятий все еще имеют каналы с емкостью менее 1 Гбит/с, что означает достаточную эффективность атак с полосой в районе гигабита.
Следующая диаграмма демонстрирует типичную частоту проведения атак в месяц на конечных потребителей и инфраструктуру.
Кроме того, респондентов попросили указать наиболее важные инструменты и методики для обнаружения и отслеживания источника сетевых атак. В нижеследующей диаграмме приведены показатели за несколько лет, благодаря чему можно отследить изменение предпочтений специалистов в области безопасности сетей.
Следующим показателем, интересующим исследователей, стало типичное время ответной реакции оператора, которая приводит к снижению вредоносной эффективности атаки на сеть или потребителя. Порядка 18% респондентов заявили, что для уменьшения последствий типичной атаки им требуется меньше 10 минут. Примерно 17% ответили «менее 20 минут», а 15% - «менее 30 минут». Порядка 26% готовы к ощутимой ответной реакции в течение часа, ну а оставшимся 24% часа оказалось недостаточно.
Наиболее уязвимыми в инфраструктуре сетей респонденты посчитали службы DNS, пограничные контроллеры сессий, балансировщики нагрузки, маршрутизаторы и системы IP-телефонии.
В ответ на вопрос, должны ли интернет-провайдеры отвечать за обнаружение и устранение последствий деятельности сетевых ботов, 40% опрошенных ответили утвердительно, около 10% отрицательно, а еще 40% просто затруднились дать ответ.
Несмотря на то, что ряд представителей операторов считают, что имеют техническое преимущество перед любыми злоумышленниками, общий настрой носит скорее пессимистический характер, поскольку частота, изощренность и мощь атак на сети растет с каждым годом и требует все больших финансовых вливаний. Кроме того, многие поставщики доступа считают, что дальнейшее противостояние сетевым угрозам потребует наращивания сотрудничества и координации усилий между производителями оборудования и провайдерами интернет.