Журнал "Information Security/ Информационная безопасность" #5, 2025

Но сейчас, спустя три года, стало очевидно: злоумышленники тоже про- вели работу над ошибками. Используя новые методы и инструменты, они легко обходят устаревшую защиту и быстрее парализуют бизнес-процессы. Как изме- нился мир DDoS-атак, обсуждаем в этой статье. Разведка перед боем В январе–октябре 2025 г., по нашим данным, количество DDoS-атак в России увеличилось почти в 1,6 раза по сравне- нию с тем же периодом 2024 г. Чаще всего под прицел злоумышленников попадали телеком-компании, финансо- вая отрасль и ретейл. Главным трендом этого года стал взрывной рост зондирующих DDoS- атак, большинство из которых длятся не более 15 минут. За год их число уве- личилось в 5300 (!) раз. И если ранее таких атак было не более 4%, то теперь – 33%. Это говорит об одном – зло- умышленники больше не бьют со всей силой по многочисленным целям. Они выбрали менее затратный, но более разрушительный подход. Все чаще зло- умышленники сначала анализируют инфраструктуру цели и проверяют защиту на прочность, а уже потом воз- вращаются с полномасштабной атакой и гарантированно добиваются резуль- тата. Главная опасность зондирующих атак – в их скрытности. Короткие и не слишком мощные, они часто остаются в тени пороговых значений систем мони- торинга и не вызывают сомнений. Ста- тические правила, настроенные на отра- жение полномасштабного штурма, про- сто не замечают кратковременные атаки и сам факт разведки. В результате ком- пания не успевает адаптировать оборону под грядущий удар, а злоумышленник получает ценнейшие данные об ее уязви- мостях. Ботнет им в помощь Также в 2025 г. заметно возросла мощность DDoS-атак. Недавно мы зафиксировали атаку 2,5 Тбит/с – с подобными масштабными угрозами теперь сталкиваемся все чаще, хотя еще несколько лет назад они казались фантастическими. Даже ковровые бом- бардировки, которые ранее не отлича- лись большим объемом вредоносного трафика, в нашей практике теперь дости- гают 1,3 Тбит/с. Главный драйвер роста мощности атак по-прежнему тот же – активное развитие ботнетов. Только за последний год объем бот-трафика в России вырос минимум в 1,7 раза. Конечно, тренд далеко не новый – мы наблюдаем его уже несколько лет. Но в 2025 г. изменился расклад по геогра- фии источников автоматизированных атак – теперь вредоносные запросы на российские организации чаще идут с местных зараженных устройств. Так, в III квартале 2025 г. количество россий- ских IP-адресов в автоматизированных DDoS-атаках выросло с 1,74 млн до 2,42 млн – это на 39% больше по сравне- нию с тем же периодом 2024 г. Проще говоря, с каждым днем угроза становит- ся не просто масштабнее, но и ближе. По всем фронтам Еще один DDoS-тренд 2025 г. – стре- мительный рост числа многовекторных DDoS-атак. Сегодня они уже составляют 52% от всех регистрируемых нами инци- дентов в России. Для сравнения: в 2024 г. их было не более 25%. Суть многовекторной DDoS-атаки в том, что злоумышленник комбинирует векторы атак на разных уровнях модели OSI (L3, L4, L7). Чтобы достичь цели, он может использовать несколько методов (HTTP Flood, DNS-амплификацию, под- дельные TCP-сессии и т. д.). Многовекторные DDoS-атаки сложны в обнаружении и отражении. Обычно ресурсы ИБ- и ИТ-команды ограниче- ны. На то, чтобы обеспечить безопас- ность на всех уровнях, от специалистов требуется много времени и сил. И даже если компания успевает обнаружить и отразить угрозу на всех фронтах вовре- мя, то всегда рискует не заметить дру- гую активность киберпреступников, например попытки получить доступ к персональным данным и прочей кон- фиденциальной информации. К тому же, во многих компаниях при- меняются разрозненные средства защи- ты, архитектура которых построена на разных протоколах и технологиях. Управ- лять таким зоопарком решений непро- сто, особенно в кризисной ситуации, когда счет может идти на минуты. Как защититься от новых угроз? В новых реалиях уже недостаточно обходиться базовыми мерами защиты от DDoS-атак. Необходимы решения, которые могут выявлять зондирующие атаки на раннем этапе, качественно анализировать трафик на всех уровнях OSI, выдерживать нагрузки 1–2 Тбит/с и выше, адаптироваться к изменяющим- ся в реальном времени паттернам, а главное – работать так же гибко и быстро, как и сами злоумышленники. Современные угрозы требуют подходов, основанных на машинном обучении, поведенческой аналитике и распреде- ленной инфраструктуре фильтрации. Именно эту философию мы исполь- зуем в StormWall 1 . Наши решения совер- шенствуются с учетом новых реалий: мы развиваем сеть очистки, увеличи- ваем пропускную способность нашей сети, совершенствуем методы раннего обнаружения и создаем механизмы, которые позволяют не просто отражать DDoS-атаки, но и прогнозировать их развитие. Мы стремимся давать бизнесу не реактивную, а проактивную защи- ту – такую, которая сохраняет доступ- ность сервисов даже в условиях самых сложных атак. l 32 • СПЕЦПРОЕКТ DDoS–2025: новые угрозы и принципы защиты 2022 году многие компании прошли проверку на DDoS-проч- ность. В экстренных условиях кто-то спешно наращивал про- пускную способность своих каналов, а кто-то – впервые под- ключал фильтрацию трафика. Казалось, многие приняли меры безопасности – угрозу удалось взять под контроль. В Рамиль Хантимиров, CEO и сооснователь StormWall Фото: StormWall 1 https://stormwall.pro/ На правах рекламы