5 шагов, что делать после DDoS-атаки

5 шагов, что делать после DDoS-атаки

Привет, это DDoS-Guard. Мы специализируемся на безопасном хостинге и киберзащите на всех основных уровнях системы OSI. Ранее в своем блоге мы уже писали об основных способах, как защититься от DDoS-атак , а в предыдущей статье на SecurityLab мы рассказывали, какие меры предпринять в процессе, если на ваш сайт уже происходит атака.

Сегодня рассмотрим, как разобраться с последствиями такого инцидента.


Шаг 1: Получите полную картину, что произошло

Как только DDoS-атака закончится, сразу же начните проводить ее подробный анализ, если этот процесс еще не запустили во время самого инцидента.

Информация, которую вы можете собрать без привлечения внешних средств, зависит от технических предпосылок. Некоторые панели управления сервером дают базовую аналитику, достаточная аналитика также есть в рамках внешней CDN.

Для разбора инцидента нужно привлечь системного администратора. При этом без заранее настроенного мониторинга сервера определить тип и характер атаки на уровне сети, скорее всего, будет невозможно. С атакой на уровне приложений, большинство веб-серверов имеют дефолтное логирование, которое может помочь.

Если атака произошла на сайт на общем хостинге, или VDS, и хостер предоставляет услуги администрирования вместе с арендой, следует запросить информацию по инциденту у него.

Вам нужно выяснить цели кибернападения — страницы, ассеты, сервисы или вся сеть целиком. Необходимо также прояснить структуру самой атаки — единый поток флуда, всплески через определенные интервалы, смешанный тип, и уточнить уровень, на который она была нацелена — сетевой или прикладной.

Путем тщательного анализа картины атаки вы должны получить информацию о ее длительности и пиковых нагрузках — количество и число запросов данных в секунду.

Эта информация потребуется при оценке ущерба и планировании дальнейших действий по защите сайта.

Шаг 2: Оцените последствия перенесенной атаки

Как только вы поняли, с какой именно атакой столкнулся ваш сайт, нужно оценить ее успешность — для организатора — и то, насколько серьезные повреждения ему удалось причинить вашим технологическим и бизнес-процессам. Изучив ущерб и сопоставив его со стоимостью предотвращения таких инцидентов в будущем, вы сможете принять решение, стоит ли приобрести услуги защиты от DDoS.

Ключевые показатели ущерба, которые нужно выявить:

  • Удалось ли остановить атаку. Если нет — удалось ли смягчить последствия атаки.

  • Какие именно сервисы были выведены из строя и на какой срок.

  • Какие прямые денежные потери понесла компания из-за инцидента.

  • Какие косвенные репутационные потери понесла компания из-за атаки.

  • Насколько атака затронула пользователей (клиентов) сайта по итогам изучения обратной связи.

  • Повлияли ли на качество услуг и доступ пользователей защитные меры, принятые против DDoS-атаки в ее процессе.

Если ответы на хотя бы два вопроса из этого списка неутешительны, самое время искать слабые места в своей сетевой инфраструктуре.

Шаг 3: Выявите уязвимые места в системе

Предположим, атака прошла успешно и вывела из строя определенные элементы цепочки рабочих процессов. Пора выяснить, почему это произошло.

Совместно с вашими техническими специалистами найдите ответы на следующие вопросы:

  • Через какие «ворота» атакующий трафик прошел в систему, в каком количестве?

  • Какие ресурсы (приложения, страницы, сети) прекратили обслуживание в результате атаки, а какие выстояли?

  • Какие векторы атаки были более эффективны, чем другие в плане ущерба?

  • В ходе блокирования атаки, насколько пострадал легитимный трафик на сайт? Другими словами, испытывали ли пользователи проблемы с доступом, принимала ли система их запросы за вредоносные?

Собранная информация понадобится вам для следующего пункта.

Шаг 4: Проверьте своего провайдера безопасности

Если хостинг-провайдер предоставляет услугу по защите от DDoS-атак, самое время изучить, что именно вам было обещано по документам, и как это соотносится с реальностью.

Интересующий вас документ называется «Соглашение об уровне сервиса» (Service Level Agreement или SLA). Ознакомьтесь с показателями в разделе, где провайдер безопасности перечисляет обязательства по предотвращению атак — с количественными и численными показателям.

Если заявленные показатели безопасности никак не соответствуют тому, что вам пришлось испытать в ходе DDoS-атаки, самое время перейти к следующему пункту.

Шаг 5: Задумайтесь о новой защите от DDoS

Суммируйте все данные, полученные в ходе предыдущих шагов, и ответьте себе на важный вопрос: устраивает ли вас текущее качество защиты сайта от DDoS?

Если вы уже оказались в ситуации, в которой приходится подсчитывать ущерб от перенесенной атаки, скорее всего, ответ будет отрицательным. А значит пора задуматься о поиске новых, более надежных способов защитить ваш ресурс.

Существует ряд способов ощутимо повысить устойчивость системы к кибератакам еще до того, как подключить профессиональную внешнюю защиту от DDoS. Например, можно настроить фильтрацию и мониторинг входящего трафика, закрыть базы данных и другие уязвимые элементы для внешнего доступа, использовать фаервол и сконфигурировать его так, чтобы открытыми оставались только доверенные адреса и сети.

Подытожим

После того как DDoS-атака на ваш ресурс завершилась, необходимо оценить ущерб и установить, какие именно недоработки в системе безопасности позволили злоумышленнику провести атаку с успехом. В том случае, если провайдер безопасности должен был защитить вас от подобной атаки, но не справился, либо справился недостаточно хорошо, следует как можно скорее задуматься о новых мерах безопасности.

Для этого есть несколько способов, но самым эффективным и быстрым из них будет подключение специализированного внешнего решения.

В следующей статье мы расскажем, как правильно выбрать поставщика защиты от DDoS-атак, на что нужно обращать внимание, и какой чеклист необходимо составить перед тем, как начать искать эту услугу.

DDoS-Guard DDoS-атаки
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь

DDoS-Guard

Российский сервис защиты от DDoS-атак