Дмитрий Монахов, RED Security: Сложные DDoS-атаки требуют не только технологий, но и постоянного взаимодействия с заказчиком

Дмитрий Монахов, технический руководитель направления Anti-DDoS компании RED Security, в эксклюзивном интервью в рамках совместного проекта с Global Digital Space поделился с порталом Cyber Media своим взглядом на изменения в сфере защиты от DDoS-атак. В интервью он рассказал о причинах роста числа и мощности атак, обсудил, как изменяются методы защиты и какие отрасли наиболее уязвимы. Дмитрий также дал рекомендации по выбору Anti-DDoS провайдера и рассказал о наиболее значимых проектах компании в области защиты от DDoS-атак за последний год.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube или на Дзене.

Cyber Media: За прошедшие годы общество привыкло воспринимать DDoS-атаки как нечто несерьезное: инфоповод в СМИ есть, а доступность сервиса восстановлена уже через час. На ваш взгляд, почему так происходит и какие весомые последствия может вызвать DDoS-атака?

Дмитрий Монахов: DDoS-атаки часто недооценивают, считая их временной проблемой, которая не наносит серьезного ущерба. Однако на практике они представляют значительную угрозу для бизнеса. Например, час простоя для ретейл-компании может обернуться не только финансовыми потерями, но и утратой клиентов, которые уйдут к конкурентам. Это особенно актуально для компаний, чей бизнес зависит от онлайн-продаж: недоступность сайта или сервиса напрямую означает упущенную прибыль.

В других отраслях последствия могут быть не менее значимыми. В банковской сфере DDoS-атаки подрывают репутацию и доверие клиентов, а в образовательной — создают проблемы во время экзаменов или обучения. Государственные учреждения и транспортные компании также находятся в особой зоне риска: например, сбои в работе онлайн-касс могут парализовать продажу билетов. Такие атаки подчеркивают необходимость серьезного отношения к проблеме и постоянной работы над защитой инфраструктуры.

Cyber Media: Если раньше рекорды по мощности и продолжительности DDoS-атак ставились ежегодно, то сейчас – едва ли не ежемесячно. На ваш взгляд, с чем это связано? Откуда у киберпреступников столько ресурсов?

Дмитрий Монахов: Рекорды по мощности и продолжительности DDoS-атак ставятся не реже, чем ежемесячно, потому что это стало выгодным бизнесом. Как только появилась финансовая выгода от атак, начался спрос, а следовательно, и возникло предложение. Киберпреступники, которые занимаются DDoS-атаками, понимают эту выгоду и инвестируют в свои инструменты, что позволяет им совершенствовать технологии атак.

Если раньше использовались более простые методы, то с развитием технологий злоумышленники начали применять более сложные и эффективные средства. Для этого требуются значительные ресурсы, и, как правило, спонсоры поддерживают такие действия, понимая, что на этом можно заработать.

Cyber Media: В последнее время все чаще говорят о сложных DDoS-атаках. Как часто сейчас можно столкнуться с такими атаками? Какой процент они составляют от общего числа DDoS-атак? Что отличает сложные DDoS-атаки от примитивных?

Дмитрий Монахов: Сложные DDoS-атаки становятся все более частыми, особенно в случае с государственными учреждениями или крупными компаниями, такими как банки. В отличие от простых атак, которые часто инициируются студентами или школьниками с использованием готовых конфигураций, более сложные организуют профессионалы, применяя специализированное ПО и инструменты.

Простые атаки, как правило, направлены на переполнение каналов связи, что просто блокирует доступ к ресурсам. В то время как сложные атаки, такие как L7-атаки, имитируют легитимный трафик, что делает их трудными для обнаружения. Для противодействия таким угрозам используется многоуровневая защита, включающая системы антибот и межсетевые экраны уровня приложений (WAF), которые в дополнение эффективно применяются для фильтрации сложных атак, не пропуская их к целям.

Cyber Media: Как злоумышленники обходят геоблокировку при проведении DDoS-атак из-за рубежа?

Дмитрий Монахов: Злоумышленники могут использовать боты, расположенные на территории России. Они заранее арендуют вычислительные мощности в российских дата-центрах, и, таким образом, IP-адреса источников атак будут находиться в России. Это делает геоблокировку неэффективной. Для борьбы с такими атаками важно поддерживать тесное взаимодействие с заказчиком и регулярно проводить предварительные мероприятия. Например, дата-центры должны анализировать свои ресурсы, следить за тем, кому они их предоставляют, и постоянно мониторить ситуацию, чтобы избежать подобных инцидентов.

Cyber Media: Какие отрасли больше подвержены DDoS-атакам, а какие — меньше? От чего это зависит?

Дмитрий Монахов: На практике DDoS-атаки затрагивают все отрасли, от небольших местных пиццерий до крупных государственных структур. Разница заключается в сложности атак: для менее значимых клиентов злоумышленники применяют простые методы, а для крупных организаций — более сложные и мощные атаки. Таким образом, независимо от отрасли, все компании подвержены риску DDoS, но степень угрозы зависит от масштабов и важности клиента.

Cyber Media: Спрос на решения Anti-DDoS: в каких сферах он стабильный, а в каких — сезонный?

Дмитрий Монахов: Спрос на эти решения имеет как стабильные, так и сезонные колебания в разных сферах. В образовательной среде сезонность наблюдается дважды в год — во время приемных кампаний и экзаменов. В эти периоды учебные заведения активно усиливают защиту своих ресурсов.

Также есть сезонный спрос на защиту транспортных структур, таких как авиа и железнодорожные компании, особенно в отпускные сезоны. В это время DDoS-атаки на эти сферы могут усиливаться. При этом злоумышленники, как и все люди, тоже отдыхают, и, скажем, в дни новогодних праздников или в разгар лета в целом наблюдается некоторый спад общей активности атак.

Кроме того, атаки на онлайн-банки, например, чаще всего происходят в рабочее время, с 8 утра до 8 вечера, когда ресурсы активно используются. Ночью DDoS-атаки менее эффективны, так как в это время трафик значительно снижается.

Cyber Media: Как по вашему опыту изменился спрос на решения Anti-DDoS за последние годы? Насколько он вырос и как изменилась ситуация на рынке?

Дмитрий Монахов: Спрос на решения Anti-DDoS в последние годы постоянно растет. Мы регулярно анализируем нашу клиентскую базу и можем отметить, что ситуация меняется. Например, в этом году мы наблюдали, что большинство атак направлено на IT и телекоммуникационный сегменты. Это объясняется тем, что эти отрасли являются одними из самых цифровизированных и имеют широкий спектр ресурсов, которые могут подвергаться атакам. Также увеличился спрос со стороны злоумышленников на банковские системы, поскольку они также имеют высокий уровень цифровизации. Государственные учреждения и образовательные организации тоже часто становятся объектами атак. В целом, спрос на защиту от DDoS продолжает расти, и мы регулярно наблюдаем новые тенденции.

Cyber Media: С технической точки зрения, что входит в услугу Anti-DDoS — какие технические решения позволяют фильтровать трафик и выдерживать нагрузку?

Дмитрий Монахов: Система Anti-DDoS состоит из двух основных компонентов. Первый — это анализатор трафика, который в реальном времени анализирует весь поступающий к ресурсу трафик. Второй компонент — это система фильтрации, которая непосредственно блокирует вредоносный трафик. Когда анализатор выявляет нелегитимный трафик, он перенаправляется в центр очистки, где происходит его фильтрация.

С учетом сложности современных атак для эффективной защиты часто используется комплексный подход, включающий дополнительные инструменты, такие как антибот-системы и (WAF). Эти решения помогают поэтапно защитить ресурсы от массовых и регулярных атак, которые могут происходить ежедневно и в огромных объемах.

Cyber Media: Насколько сложна настройка анти-DDoS для заказчика? Нужно ли что-то настраивать под заказчика или достаточно задать параметры для автоматической защиты?

Дмитрий Монахов: Настройка Anti-DDoS для заказчика требует предварительной работы и индивидуального подхода. Мы начинаем с обсуждения всех аспектов защиты с клиентом, чтобы получить полную информацию о его ресурсе. Чем больше данных нам передаст заказчик, тем точнее и качественнее будет настройка системы. Однако это не все — в процессе настройки мы работаем с клиентом в режиме онлайн, чтобы подстроить защиту под его нужды и не затруднить прохождение легитимного трафика. Такой подход позволяет минимизировать риски и обеспечить эффективную защиту ресурса.

Cyber Media: На что следует обратить внимание компании при выборе провайдера Anti-DDoS сервиса?

Дмитрий Монахов: Стоит обратить внимание на несколько ключевых аспектов. Важно, чтобы поставщик обеспечивал многоуровневую защиту от DDoS-атак — от защиты канала связи до защиты на уровне приложений. Если провайдер предлагает комплексную защиту, это значительное преимущество.

Также немаловажным фактором является наличие профессиональной команды, способной оперативно реагировать на угрозы 24/7. Важно, чтобы работа с таким провайдером была удобной, а взаимодействие происходило через одно окно — один источник для связи и решения всех вопросов.

Кроме того, стоит обратить внимание на прозрачность тарифной политики. Если тарифы понятны и не включают скрытых услуг, это также является важным плюсом для заказчика.

Cyber Media: Расскажите о наиболее значимых проектах применения вашего сервиса защиты от DDoS-атак за последний год.

Дмитрий Монахов: За последний год мы реализовали несколько масштабных проектов по защите от DDoS-атак. Один из них был особенно интересным и сложным. Несколько месяцев назад мы отразили крупную атаку на ресурсы нашего заказчика, которая продолжалась более 12 часов. Злоумышленники использовали разнообразные методы, меняя вектор атаки более пяти раз. В течение этого времени наша команда оперативно подстраивалась под изменение векторов атаки, что напоминает шахматную партию — каждый ход атакующего требовал нашего ответного действия.

Еще один важный проект был комплексным, включал не только защиту от DDoS, но и другие направления информационной безопасности: мы настроили сервис ГОСТ VPN (защиту каналов связи с помощью шифрования), а поверх него — защиту от DDoS-атак. Этот проект был реализован для крупного федерального вуза, и мы защитили десятки его филиалов на более чем половине территории страны, от северо-западных рубежей до Алтая. Это был масштабный и интересный проект, в ходе которого мы смогли продемонстрировать все возможности наших сервисов.

Для вузов информационная безопасность особенно важная тема, так, несколько лет назад они часто становились жертвами атак, включая звонки из-за рубежа и другие действия, направленные на создание препятствий для образовательного процесса.

Cyber Media: Какие советы вы бы дали заказчикам, чтобы избежать ошибок при выборе провайдера?

Дмитрий Монахов: Основной совет — это не скрывать инфраструктуру от команды защиты. Чем больше информации о сети получает команда, тем эффективнее и быстрее она сможет реагировать на атаки. Также важно поддерживать постоянное взаимодействие с командой, чтобы оперативно решать возникающие вопросы.