Журнал "Information Security/ Информационная безопасность" #5, 2025

матические правила часто не способны отличить атаку от всплесков легитимного трафика. С точки зрения практики ИБ это означает необходимость регулярных учений и отработки различных сценари- ев противодействия. Вопрос 4. Какой нужен запас по мощности? Четвертый вопрос касается баланса ресурсов и затрат на Anti-DDoS в усло- виях непредсказуемости роста трафика при атаке. Как спланировать мощность: строить систему с запасом или опираться на сценарное масштабирование? По данным центра компетенций сетевой безопасности группы компаний "Гарда", количество DDoS-атак в России в 2025 г. выросло на 35%, а средняя их мощность – на 40%. При этом параллельно уве- личивается и легитимный трафик. И такая динамика, по-видимому, будет сохранять- ся еще долго. Поэтому комплексный под- ход к защите должен обеспечивать воз- можность защищаемой инфраструктуры принимать и обрабатывать растущие объемы трафика. Желательно постоянно поддерживать не менее, чем двукратный запас, иметь план на случай экстренного расширения, использовать возможности эшелонированной защиты для снижения вредоносной нагрузки. Итак, операторскую защиту следует привлекать для отражения объемных атак, а контролируемый локальный эше- лон в компании – это база для обес- печения надежной защиты как от атак на сетевую инфраструктуру, так и на уровне приложений. Сочетание этих компонентов Anti-DDoS позволяет управ- лять и трафиком, и затратами. При этом долгосрочная экономика часто оказы- вается аргументом в пользу локальных решений: TCO ниже, зависимость от тарифов меньше, а команда получает необходимые компетенции. Вопрос 5. С чем интегрировать? Anti-DDoS может работать как изоли- рованный инструмент, но все же важно встроить фильтрацию в более широкий контур защиты и определить, насколько глубоко интегрировать связанные с этим процессы. Anti-DDoS показывает максимальную эффективность в связке со специализи- рованными сетевыми средствами защи- ты класса NGFW, WAF, NDR или XDR. В этом случае блокировка "плохого" трафика по данным из этих систем осу- ществляется сразу на границе сети, а информация о легитимной активности помогает гарантированно пропускать заведомо "хорошие" запросы. Пример 2025 г.: при атаке на крупный медиа- портал именно связка Anti-DDoS и XDR позволила корректно разделить леги- тимный всплеск аудитории после пуб- ликации популярной новости и злона- меренную активность. Без интеграции последствия были бы критичны. API-интеграция и стандартизованные интерфейсы позволяют добиться скоро- сти и качества реакции на атаки. Работа нескольких связанных между собой эше- лонов защиты от одного вендора обра- зуют систему с бесшовной интеграцией, что является технологическим преиму- ществом как с точки зрения скорости взаимодействия под нагрузкой, так и экс- плуатационной поддержки в контексте оптимизации затрат. В любом случае важно, чтобы интеграция между ИБ- решениями была не формальной, а эффективно работающей, причем в реальном времени. Алгоритмы, фиды, профили Отдельно стоит упомянуть, что суще- ствуют различные методы фильтрации трафика: с помощью алгоритмов, используемых Anti-DDoS-решением, на основе фидов и по профилям. Алгоритмы хорошо обеспечивают предсказуемость и объяснимость. Фиды расширяют воз- можности алгоритмов, снабжая их допол- нительными индикаторами, но требуют выбора и проверки источников. Профи- лирование и поведенческая аналитика дают интересные и часто правильные решения, основанные только на дина- мике трафика, но увеличивают риск ложноположительных (а иногда и лож- ноотрицательных) срабатываний. Поэто- му оптимальным является комбиниро- ванный подход, где алгоритмы состав- ляют основу, фиды усиливают защиту, а профили используются для вспомога- тельных сигналов. Регуляторика Российские нормативные документы задают базовые требования к обеспече- нию устойчивости информационных систем. Главными их источниками высту- пают ФСБ России, ФСТЭК России и ЦБ РФ (например, приказы ФСТЭК России № 17, № 239, № 31; ГОСТ Р 57580.1- 2017). Защита от DDoS-атак необходима для государственных информационных систем (ГИС), значимых объектов КИИ (ЗО КИИ), информационных систем общего пользования (ИСОП) и автома- тизированных системам управления тех- нологическими процессами (АСУ ТП). С точки зрения практики применения Anti-DDoS, минимальный уровень соот- ветствия требованиям регуляторов достигается при использовании фильт- рации, предоставляемой оператором связи. Однако для бизнес-критичных сервисов такой подход недостаточен – вспомним, например, меру ЗИС.3 "Эше- лонированная защита информационной (автоматизированной) системы" из при- каза № 239 ФСТЭК России. Эшелони- рованная схема защиты в рассматриваемом случае может объединять локаль- ные Anti-DDoS-средства с инспекцией прикладного трафика и взаимодей- ствие с операторским центром очистки. Именно такая комбинация позволяет обеспечить реальную устойчивость и будет соответствовать регуляторным требованиям. Отдельную категорию информацион- ных систем составляют ИСОП – феде- ральные государственные системы, пуб- ликующие сведения о деятельности пра- вительства и ведомств. Их защита рег- ламентируются приказами ФСБ России № 416 и ФСТЭК России № 489. В доку- ментах нет прямого упоминания DDoS, но закреплены нормы, которые факти- чески подразумевают противодействие подобным атакам: использование средств фильтрации и блокирования сетевого трафика, сертифицированных компетентными органами, и обеспечение защиты от воздействий, нарушающих функционирование систем. Для публич- ных ресурсов, постоянно доступных из интернета, это означает необходимость внедрения механизмов Anti-DDoS как составной части общей архитектуры защиты. Стоит отметить, что многие информа- ционные системы могут совмещать в себе одновременно разные типы ИС (ГИС, КИИ, АСУ ТП, ИСОП), поэтому на практике необходимо руководствоваться требованиями к каждому из них. Заключение DDoS-защита должна состоять из нескольких уровней. Эффективная схема – это объединение в едином кон- туре трех эшелонов: провайдера, при- влекаемого "по требованию" для защиты от объемных атак на каналы связи, локального решения для защиты сетевой инфраструктуры и средства противо- действия атакам на уровне приложений. При этом автоматизация включается в типовые сценарии, человек своим уча- стием закрывает сложные случаи. Пра- вильная стратегия – эшелонирование, интеграция и готовность к тому, что атаки будут эволюционировать, а тре- буемое время реакции сокращаться. Отметим, что в перспективе выбор и настройка защиты от DDoS будут усложняться – к этому мы видим все предпосылки. Атаки становятся много- векторными, шифрованными и все более и более доступными по цене, а защитные механизмы смещаются от изолирован- ных решений к комплексным, с обменом данными в реальном времени. Поэтому руководителям служб ИБ предстоит при- нимать решения не только о продуктах, но и об архитектурных принципах, поз- воляющих поддерживать устойчивость инфраструктуры под аномальной нагруз- кой. l • 35 ЗАЩИТА ОТ DDOS www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ГРУППА КОМПАНИЙ "ГАРДА" см. стр. 74 NM Реклама