Журнал "Information Security/ Информационная безопасность" #5, 2025

Вопрос 1. Где держать защиту? Первый вопрос – в определении ответ- ственного за отражение DDoS-атак. Поручить провайдеру или организовать собственную локальную защиту? Каж- дый из вариантов имеет свои сильные и слабые стороны, которые необходимо учитывать, а решение во многом зависит от готовности заказчика держать Anti- DDoS под собственным контролем. Защита на стороне провайдера обес- печивает широкую полосу фильтрации и понятный SLA. Операторская защита эффективна в основном на уровне L3–L4 при отражении объемных флудов. Ее ограничения по большей части связаны с асимметрией очистки, относительными задержками между выявлением атаки и началом фильтрации, зависимостью от человеческого фактора. При этом SLA в лучшем случае предусматривает возме- щение оператором только стоимости услу- ги, но не реальные убытки бизнеса. Напри- мер, недавно крупный проект E-commerce в России потерял более 40 млн руб. за сутки простоя под DDoS-атакой, а ком- пенсация от провайдера составила лишь месячную стоимость сервиса. Локальная защита, напротив, позво- ляет специалисту по информационной безопасности напрямую управлять поли- тиками, учитывать изменения в работе сервисов и поддерживать интеграцию с SOC и другими системами. Основное ограничение здесь – пропускная спо- собность каналов связи. Если компания использует канал в 20 Гбит/с, любая атака сверх этой величины сделает его недоступным. Поэтому оптимальный подход должен быть комбинированным: объемные атаки на каналы связи следует отражать на уровне провайдера, а более сложные, на сетевые устройства и приложения – локально. Например, комплекс "Гарда Anti-DDoS" 1 не только обеспечивает локальную защиту, но и способен авто- матически включать фильтрацию на про- вайдерском комплексе при первой угро- зе переполнения каналов. Такой подход создает баланс между масштабом и контролем. В результате организация получает устойчивую модель: провайдер снимает пиковую нагрузку, локальный Anti-DDoS обеспечивает точность, а рас- пределение ответственности снижает риск единой точки отказа. Вопрос 2. Вскрывать ли шифрованный трафик? Второй вопрос касается глубины обра- ботки HTTPS-трафика, поскольку сегодня он стал основной средой проведения атак. Специалисты по информационной без- опасности оказываются перед выбором: ограничиться косвенным анализом HTTPS без его расшифровки или использовать более глубокий анализ в режиме прокси- рования с расшифровкой TLS. И этот выбор напрямую влияет на качество DDoS-защиты. Защита без расшифровки опирается на косвенные признаки: анализ Hand- shake TLS, поведенческие паттерны, JA3/JA4-отпечатки, базы IP. В этом слу- чае отсекается часть атак, но сложные сценарии останутся незамеченными. Полная расшифровка HTTPS дает воз- можность точечно блокировать атаку на основании анализа содержимого запро- сов, однако требует ресурсов и контроля над использованием ключей и сертифи- катов для организации защищенного соединения. Комплекс "Гарда Anti-DDoS" в рамках одного решения поддерживает эшело- нированную защиту. Он выполняет основную фильтрацию трафика на входе в локальную сеть компании. После чего прошедшие запросы направ- ляются в модуль L7-экрана, где про- исходит вскрытие и анализ шифрован- ного трафика. Выявленные данные об атакующих передаются на эшелон выше, чтобы блокировать атаку как можно раньше. Такой вариант архитектуры Anti-DDoS максимально эффективен для финан- совых организаций, которым регулятор запрещает передачу приватных ключей третьим лицам, например провайдерам. Кроме того, локальная обработка тра- фика исключает задержки на его достав- ку и возврат через внешние центры очистки, что критично для сервисов с высокой доступностью. Вопрос 3. Автоматизация или человек? Третий вопрос определяет подход к управлению защитой с верным балан- сом автоматизации, искусственного интеллекта и участия человека. Для службы ИБ это решение о том, как рас- пределить ресурсы между алгоритмами и дежурными командами и какие сцена- рии закрепить в инструкциях. Современные системы Anti-DDoS почти идеально автоматизируют базовые задачи: фильтрацию по пороговым значениям, выявление аномалий, при- менение фидов. Но многовекторные атаки в 2025 г., иногда достигавшие беспрецедентных пиков в 400 млн RPS, показали ограниченную применимость полной автоматизации. В реальных кей- сах именно человек вручную корректи- ровал политики, комбинировал методы фильтрации и быстро принимал реше- ние. Без этого атаки могли привести к серьезным перебоям. Получается, что Anti-DDoS должен работать как связка алгоритмов и спе- циалистов. В Runbook нужно фиксиро- вать условия вмешательства и роли участников. Особенно это важно при комбинированных атаках на API или системы авторизации, в которых авто- 34 • СПЕЦПРОЕКТ 5 вопросов при выборе Anti-DDoS ервая DDoS-атака всегда приходит внезапно. Каналы запол- няются мусорными запросами, задержки отклика сервера рас- тут, пользователи жалуются, мониторинг показывает критиче- ские ошибки. DDoS-атаки, к сожалению, уже не исключение, а привычный фон. Каждая волна становится сложнее: за флудом на сетевом или транспортном уровнях модели OSI скрываются целевые запросы к API и прикладным сервисам, а шифрование трафика еще сильнее усложняет задачу. Разбе- рем пять ключевых аспектов выбора Anti-DDoS-решения, от которых зависит выживаемость и устойчивость ИТ-инфра- структуры в условиях постоянных атак. П Вадим Солдатенков, руководитель направления продуктов “Гарда Anti-DDoS”, группа компаний “Гарда” Фото: Группа компаний "Гарда" 1 https://garda.ai/products/network-security/ddos-protection