Федеральная служба по техническому и экспортному контролю (ФСТЭК России) опубликовала документ "Рекомендации по повышению защищенности информационной инфраструктуры от угроз безопасности информации, связанных с атаками типа "отказ в обслуживании"". Ведомство указывает, что меры разработаны в связи с увеличением количества DDoS-атак (атак, направленных на отказ в обслуживании) на российскую инфраструктуру. Рекомендации адресованы как операторам государственных информационных систем и субъектам критической информационной инфраструктуры (КИИ), так и операторам связи.
Документ содержит более 20 организационных и технических мер для каждой категории, а также отдельные блоки по защите от объёмных атак (UDP-флуд, ICMP-флуд, DNS- и NTP-амплификация), протокольных атак (SYN-флуд, фрагментационные атаки), атак на уровне приложений (HTTP-флуд, Slowloris) и мультивекторных комбинаций. Рекомендации размещены на официальном сайте ФСТЭК в разделе "Рекомендации по повышению защищенности".
Публикация документа - реакция на долгосрочный тренд роста числа и мощности атак на российские сети. За последние два года регулятор неоднократно фиксировал увеличение объёмов вредоносного трафика, направленного на государственные порталы, финансовый сектор и телеком-операторов. Рекомендации оформлены как практическое руководство, а не как новый нормативный акт, однако они задают ожидаемый уровень защищённости для подведомственных организаций. Субъекты КИИ, которые обязаны выполнять требования по импортозамещению и аттестации систем, получают чёткий перечень действий, начиная от базовой инвентаризации служб и заканчивая настройкой специализированных средств защиты.
Ключевое отличие нового документа от предыдущих методических материалов - детализация технических решений на уровне сетевых устройств и операционных систем. Так, для операторов КИИ первого и второго разрядов ФСТЭК предписывает провести инвентаризацию сервисов, доступных из интернета, и распределить их по разным IP-адресам или подсетям для упрощения фильтрации. В рекомендациях прямо указаны технологии мониторинга трафика (NetFlow, sFlow, IPFIX) и примеры открытого ПО - Zabbix, LibreNMS, ntopng. Отдельно оговаривается, что для выявления аномалий необходимо зафиксировать средние значения пакетов в секунду, объём трафика, количество TCP-флагов и запросов.
Для провайдеров связи, которые также являются субъектами КИИ, добавлены специфические меры: включение проверки обратного пути (uRPF) на интерфейсах абонентов для защиты от подмены IP-адресов (спуфинга), а также реализация технологии BGP Remote Triggered Black Hole (RTBH) для перенаправления трафика на очистку. Провайдерам рекомендуется организовать BGP-сессии с scrubbing-центром и выделенные каналы (IPsec или GRE-туннели). Подчёркивается необходимость интеграции с государственной системой GeoIP (https://geoip.noc.gov.ru) для блокировки трафика по стране-источнику.
"В случае обнаружения атаки типа "отказ в обслуживании" на инфраструктуру необходимо обеспечить взаимодействие со специалистами оператора связи по нейтрализации возникающих угроз", - говорится в разделе о порядке действий. Документ также содержит приложение с пошаговым регламентом для субъектов КИИ на случай реализации атаки.
Рекомендации охватывают все основные типы DDoS-атак. Против объёмных UDP-флудов предлагается ограничение скорости на маршрутизаторах, отключение неиспользуемых UDP-сервисов и изменение буферов очередей в ядре Linux через sysctl. Для защиты от ICMP-флуда - запрет широковещательных ICMP-запросов и использование только необходимых служебных протоколов. DNS-амплификация должна купироваться ограничением доступа к DNS-серверам с доверенных IP-адресов и отключением функции monlist на NTP-серверах.
Протокольные атаки, в частности SYN-флуд, предлагается блокировать включением SYN cookies на уровне серверов и межсетевых экранов, а также применением stateful inspection и ограничением полуоткрытых соединений (half-open) через iptables. В документе приведены конкретные команды для настройки iptables и sysctl, что делает его пригодным для инженеров, обслуживающих серверы на базе Linux.
Для атак на уровне приложений (HTTP-флуд, Slowloris) рекомендуется установка межсетевых экранов уровня приложений (WAF), внедрение "анти-бот" защиты через reverse proxy или балансировщики нагрузки, блокировка пустых User-Agent и User-Agent ботов, а также настройка таймаутов соединений для предотвращения медленных атак. В качестве примера приведена конфигурация для веб-сервера Nginx с ограничением размера заголовков и тела запроса.
Мультивекторные атаки, сочетающие несколько типов, предлагается отражать через комплексное применение мер из всех предыдущих разделов, дополнительно интегрируя средства мониторинга трафика с SIEM-системами (класса программных продуктов для управления событиями информационной безопасности и корреляции данных) и средствами обнаружения и реагирования на уровне узла.
Документ подтверждает давно назревший тренд: борьба с DDoS-атаками переходит от разрозненных организационных мер к унифицированным инженерным рецептам, которые могут быть реализованы силами штатных ИБ-специалистов и сетевиков. Регулятор фактически стандартизирует подходы, которые раньше оставались на усмотрение каждой организации. В условиях роста числа атак на российскую инфраструктуру такие рекомендации снижают порог входа для защиты даже у небольших операторов и госучреждений, хотя успех их внедрения по-прежнему будет зависеть от наличия квалифицированных кадров и бюджета на оборудование.
