Максим Большаков, EdgeЦентр: динамика роста DDoS-атак на российскую инфраструктуру продолжает набирать обороты

В 2024 году Россия оказалась на восьмом месте рейтинга стран по количеству DDoS-атак — число атак в прошлом году выросло на 45% по сравнению с 2023 годом, а мощность нападений сразу вдвое. В 2025 фиксируется рост количества атак. Руководитель направления кибербезопасности EdgeЦентр Максим Большаков для портала Cyber Media рассказал о трендах кибератак, какие сферы наиболее излюбленные для злоумышленников и хактивистов, а также о том, как бизнесу эффективно защищать свои ресурсы.

Cyber Media: Как вы оцениваете динамику и масштабы DDoS-атак на российскую инфраструктуру за последние три года. Чего стоит ожидать в 2025 году?

Максим Большаков: Динамика набирает обороты, количество атак увеличивается от года к году. Всему виной простота реализации атаки и организованные сообщества вокруг этого мейнстрима, в том числе хактивисты, а также большое количество IoT-устройств, которые кратно множатся и не имеют достаточной защищенности, чтобы не превратиться в ботнет. Если раньше атаки емкостью 1 Тбит/с были редкостью, то сейчас 2 Тбит/с достаточно частый случай. И в 2025 год это будет продолжать набирать обороты, это новая парадигма, которую стоит воспринимать как обыденность.

Cyber Media: Какие отрасли и типы компаний сейчас наиболее уязвимы к таким атакам?

Максим Большаков: Операторы связи в 2024 году стали подвергаться атакам чаще, чем это было раньше, банки, а также цифровые компании, реализующие свои цифровые сервисы для бизнеса и государства. В среднем частотность атак на них возросла в 2,5 раза. Отрасли из перечня 187-ФЗ о критической информационной инфраструктуре также испытывают на себе повышенный интерес со стороны атакующих. Но зачастую реализуются ковровые атаки, которые задевают клиентов из разных отраслей. Ковровые атаки DDoS, или «супер-атаки», направлены на парализование целевой инфраструктуры, отправляя огромное количество запросов одновременно, что затрудняет нормальную работу.

Cyber Media: Какие новые векторы и методы атак становятся популярны у злоумышленников?

Максим Большаков: Их немало, перечислю некоторые из них.

• Атаки на уровень приложений: поскольку традиционные методы защиты часто эффективны против атак на уровне сети, злоумышленники все чаще используют атаки на уровне приложений, такие как HTTP Flood и Slowloris, чтобы перегружать веб-сервисы.
• Использование IoT-устройств: с увеличением числа подключенных устройств злоумышленники начали использовать IoT для создания более мощных ботнетов. Устройства часто плохо защищены, что делает их легкой мишенью. «Эхо из прошлого» известная сеть Mirai в текущее время как метод не исчерпала себя.
• Облачные атаки: молниеносный рост облачных технологий создает новые возможности для атак. Злоумышленники нацеливаются на облачные инфраструктуры, чтобы вызывать большие пробелы в производительности.
• Атаки с использованием «эксплойтов»: атакующие начали использовать уязвимости в программном обеспечении и системах для достижения целей, что добавляет новый уровень сложности в их подходы.
• Комбинированные атаки: злоумышленники комбинируют различные типы атак (например, одновременно атаки на уровне сети и приложений), чтобы обойти системы защиты и увеличить эффективность своих действий.
• Геосоциальные цели: атаки становятся более целенаправленными в зависимости от географического местоположения. Это может быть связано с политическими мотивами или экономическими целями.
• Атаки на API: с ростом использования API для разработок атакующие начали активно нацеливаться на них, перегружая сервисы большими объемами запросов.

Cyber Media: Насколько меняются масштабы и продолжительность атак? С какими самыми крупными инцидентами вы столкнулись в прошлом году?

Максим Большаков: Тычки со стороны атакующих сразу большие по объему, поэтому приходится постоянно увеличивать пропускную способность, а также эшелонировать защиту, настаивая ее на реактивную реакции при аномалиях трафика. В прошлом году максимальная атака была на уровне 2,5 Тбит/с и продолжительностью около восемь дней. Все произошло после анонсирования информации о блокировке Discord в России.

Cyber Media: Какую роль в современных DDoS‑кампаниях играют IoT‑устройства?

Максим Большаков: Неблагоприятную, так как ботнет сети, состоящие из IoT-устройств, являются самым частым кейсом в котором мы встречаемся с устройствами из интернета вещей. Сейчас прорабатываем продукты, которые будут нацелены на защиту IoT-устройств. Это поможет в дальнейшем подконтрольно держать их производство в особенности с поддержкой регуляторов.

Cyber Media: Насколько востребована бизнесом интеграция вендорных продуктов со специализированными решениями?

Максим Большаков: В настоящее время запущена национальная система противодействия атакам (НСПА). За счет нее мы несколько раз успешно отражали атаки с зарубежным паразитным трафиком. В этом ключе, применение данной системы для операторов связи, провайдеров по безопасности и в частотности защиты от DDoS-атак является хоть и не панацеей от всех проблем, но достаточно весомой защитой при DDoS-атаках из других государств.

Cyber Media: Велика ли роль автоматизации и искусственного интеллекта в современных решениях по защите от DDoS?

Максим Большаков: Очень значительна, так как автоматизированные контрмеры и сценарии реагирования невозможны для эффективной работы при защите от DDoS-атак. Именно за счет этого удается избежать больших издержек бизнеса и скорости реакции на любой из инцидентов. Думаю, что проникновение ИИ в защиту, и не только, от DDoS-атак будет приоритетным для многих вендоров. Так как мы прекрасно осознаем, что этот же ИИ будет использоваться в реализации различного рода атак с нарастающей силой. И как только мы узнаем, что в программах багбаунти эффективно участвует ИИ, то будет уже поздно. Но пока есть время и нет смысла его тратить впустую, рассчитывая, что и без этой технологии удастся жить и развиваться дальше. И это я еще молчу о нейроморфных процессорах, которые в моем понимании станут новым витком в развитии ИИ.

Cyber Media: Какие советы вы бы дали бизнесу, чтобы минимизировать риски успешной DDoS-атаки в 2025 году?

Максим Большаков: Заранее задумываться о своей безопасности, так как будучи уже под атакой, это больно и дорого. А вот приобрести страховку, в лице защиты от DDoS-атак для своего бизнеса, будет гораздо дешевле, тем более, что темп и развитие атак сейчас только нарастают. Это неотъемлемые атрибуты цифровизации. Даже малый бизнес это касается, так как все интересные хакерам люди, работники компаний, служащие являются такими же людьми, которые пользуются сетями магазинов, доставками, онлайн-магазинами, где зачастую оказывается, что пароль или его часть сопоставимы с данными от корпоративного/рабочего аккаунта. Поэтому зачастую проще вести атаку через малый бизнес. Взять оттуда базу данных логопасов, добавить в словарь, или же найти кого-то конкретного, применив его данные для входа в более сложную сеть.