Журнал "Information Security/ Информационная безопасность" #5, 2025

Участились случаи использования DDoS-атак в качестве дымовой завесы. Злоумышленники иниции- руют мощные волны трафи- ка, чтобы отвлечь внимание от действительно опасных действий: попыток проник- новения в инфраструктуру, кражи или вывода данных. Эволюция DDoS-атак побудила вендоров пере- смотреть свой подход к решениям. Использование злоумышленниками техно- логий искусственного интел- лекта для мгновенной смены вектора атаки побуж- дает разработчиков внед- рять аналогичные техноло- гии в свои продукты. В 2026–2027 гг. роль оператора в DDoS-атаках окончательно отойдет искусственному интеллекту. Если сейчас он всего лишь выступает в качестве советника злоумышленни- ков, то в ближайшем буду- щем станет прямым испол- нителем. В отличие от традиционных объ- емных атак, когда целью является перегрузка сайта или сети целиком, "хирургические" атаки реализуют точечный под- ход. Они выводят из строя отдельные элементы, от кото- рых зависит работа бизнеса: платежные системы, формы авторизации, процессинг зака- зов. При этом для пользователя сайт может оставаться доступ- ным, но ключевые функции перестают работать. По оцен- кам Servicepipe, число таких атак за год выросло примерно на 30%. Участились случаи использо- вания DDoS-атак в качестве дымовой завесы. Злоумышлен- ники инициируют мощные волны трафика, чтобы отвлечь внимание от действительно опасных действий: попыток про- никновения в инфраструктуру, кражи или вывода данных. Подобная тактика серьезно усложняет работу специалистов по безопасности: пока команды ликвидируют последствия пере- грузки сервисов, основная атака может разворачиваться в фоно- вом режиме внутри систем. Как перестраивается защита? Эволюция DDoS-атак побу- дила вендоров пересмотреть свой подход к решениям. Использование злоумышленни- ками технологий искусственно- го интеллекта для мгновенной смены вектора атаки вынужда- ет разработчиков внедрять ана- логичные технологии в свои продукты. Компания Servicepipe не осталась в стороне от данной тенденции, и в 2025 г. мы пред- ставили интеллектуальный модуль Autopilot , функциони- рующий в составе адаптивной системы защиты ИТ-инфра- структуры DosGate 4 от DDoS- атак и сетевых угроз. Он авто- матически создает правила фильтрации в ответ на сетевые аномалии на основе анализа трафика атаки в реальном вре- мени и без участия инженера. Таким образом, благодаря модулю Autopilot в разы повы- шается скорость реакции на интеллектуальные атаки с быстро меняющимися векто- рами. Модуль работает на базе сиг- натур, поведенческого анализа и Rate-Limit-метрик, формируя правила в реальном времени и анализируя трафик прямо во время атаки. Правила взаимо- связаны и размещаются моду- лем в оптимальном порядке для максимально быстрой и эффек- тивной блокировки конкретной угрозы. Финальное решение о применении или корректировке предложенных модулем правил принимает сетевой инженер. Если он согласен с рекоменда- циями, то новые правила фильт- рации вступают в силу сразу, по клику. Так как атаки зачастую идут как на сетевом уровне, так иx5на уровне приложений, команда Servicepipe разрабо- тала и представила рынку модуль RLOG , работающий с системой DosGate. Он автома- тически выявляет угрозы на уровне приложения с помощью анализа логов веб-сервера. Модуль RLOG создан для ана- лиза HTTP-трафика, он обра- батывает логи согласно задан- ным пользователем правилам. При обнаружении аномального поведения пользователей на уровне HTTP, модуль передает IP-адреса нарушителей в систе- му DosGate для дальнейшей фильтрации. Соответственно, все события и логи остаются внутри периметра организации, что критически важно для ком- паний, которые не могут пере- давать SSL/TLS-ключи или рас- шифровывать трафик, а также хотят соответствовать требова- ниям регуляторов (включая PCI- DSS и ГОСТ Р 57580.1-2017). Для защиты от атак на DNS в DosGate добавлена новая контрмера противодействия подобным атакам: проверка подлинности адресов источника DNS-пакетов. Этот механизм позволяет отсеивать трафик с поддельными источниками и эффективно отражать широ- кий спектр атак, направленных на защищаемые DNS-сервера. Для защиты от "хирургиче- ских" атак осенью этого года было обновлено еще одно решение: анализатор сетевого трафика FlowCollector 5 . Теперь в нем доступен монито- ринг трафика на уровне отдель- ных портов. Появилась возмож- ность добавлять новые векторы анализа с подсчетом порогов для любого выбранного порта, что позволяет отслеживать атаки, направленные на кон- кретные сервисы, а также зара- нее выделять критичные порты (например, для серверов при- ложений или баз данных) и контролировать трафик, иду- щий именно в их сторону. Заказчики, использующие ана- лизатор сетевого трафика FlowCollector, могут точнее выявлять атаки и контролиро- вать работу именно тех серве- ров, которые особенно критич- ны для бизнеса. Какое будущее нас ждет? В 2026–2027 гг. роль опера- тора в DDoS-атаках оконча- тельно отойдет искусственному интеллекту. Если сейчас он всего лишь выступает в каче- стве советника злоумышлен- ников, то в ближайшем буду- щем станет прямым исполни- телем. Вендоры решений по защите от DDoS-атак должны учитывать этот риск, встраивая машинное обучение и искус- ственный интеллект в архитек- туру безопасности так, чтобы она оставалась быстрой, про- зрачной и надежной. Напри- мер, создавая системы защиты от атак, ядром которых являет- ся центр аналитики, основан- ный на машинном обучении, – именно туда будут поступать данные, собранные сенсорами, именно там они будут проана- лизированы, и созданы фиды для дальнейшего использова- ния в различных компонентах эшелонированной защиты. При этом важно, чтобы в центр поступал не весь трафик, и большая часть отсеивалась на уровне решений защиты от DDoS-атак, а до ресурсоемких моделей доходила лишь малая часть, где действительно нужен более глубокий анализ. Использование публичных LLM вроде ChatGPT или Gemini в системах защиты невозмож- но: их нельзя контролировать, они уязвимы и не гарантируют стабильности. Для кибербезо- пасности критически важна полная автономия и изолиро- ванность моделей. В настоящее время Servicepipe активно работает в этом направ- лении и планирует представить рынку свое решение уже в ско- ром будущем. l • 37 ЗАЩИТА ОТ DDOS www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ SERVICEPIPE см. стр. 74 NM Реклама 4 https://servicepipe.ru/dosgate 5 https://servicepipe.ru/flowcollector