Журнал "Information Security/ Информационная безопасность" #5, 2025

Вадим Солдатенков, группа компаний "Гарда" Достаточность или недостаточность защиты можно объективно определить по работоспособности и/или доступности защищаемых ресурсов извне. Если кана- лы связи не загружены на 100%, если сетевые устройства (включая средства защиты информации, которые тоже под- вержены атакам) исправно работают, если веб-сервисы или корпоративный DNS доступны извне – значит, защита от атак типа "отказ в обслуживании" справляется. Эдгар Микаелян, CURATOR Главная метрика – как работает само приложение под атакой. Если говорить про веб-сервисы, это время ответа, коли- чество ошибок и фактическая доступ- ность для легитимных пользователей. Все остальные показатели – объем тра- фика, количество блокировок, сложность атаки – вторичны. Эффективная защита – это когда пользователи не замечают, что в этот момент идет атака, и когда бизнес продолжает обслуживать макси- мальное число клиентов вне зависимо- сти от нагрузки. Дмитрий Царев, BI.ZONE Если атака идет, а реальные поль- зователи ее не замечают и бизнес- процессы не останавливаются, значит защита работает. При этом важно учитывать, насколько эффективно каждый компонент системы защищает от угрозы. Например, если система защиты от DDoS-атак принимает весь трафик и почти полностью его отфильтровывает, то на канал к сете- вому оборудованию поступает без- опасный объем. Когда сетевое обору- дование обрабатывает этот поток без перегрузки, нагрузка переходит на конечные системы. Если они выдер- живают первые минуты атаки и затем либо повышают производительность, либо быстро восстанавливаются, такую защиту можно считать эффек- тивной. Денис Сивцов, DDoS-Guard Удовлетворенность клиента – есть самая правдивая метрика. Минималь- ный процент атаки может достигать цели, но если отрицательного влияния на сервис не создается, то защита отработала успешно. Попытка забло- кировать абсолютно каждый атакую- щий пакет грозит ложными срабаты- ваниями. Здесь можно прибегнуть к медицинской этике "не навреди" (Noli nocere). Глеб Хохлов, MITIGATOR DDoS-атаки – это атаки на исчер- пание ресурсов, которым противо- действуют выстроенной эшелонами защитой, поэтому на конкретном эше- лоне сложно оценить эффективность фильтрации. Задача DDoS-защиты не сбросить весь трафик атаки, а сохранить доступность защищае- мого сервиса. В первую очередь нужно смотреть на бизнес-метрики защищаемого приложения и уровень доступности сервиса. Количество бло- кировок легитимных пользователей и увеличение времени доступа поль- зователя также показателем эффек- тивности защиты. Михаил Хлебунов, Servicepipe Проблема в том, что цифры на гра- фиках часто говорят одно, а реальное состояние услуги – совсем другое. Нужно смотреть на скорость реакции: за сколько секунд система обнаружи- вает атаку и сколько времени уходит на ее нейтрализацию. Но главное – проверить, что на самом деле осталось рабочим. Восстановилось ли время отклика? Продолжают ли функциони- ровать критические процессы? Не упали ли легитимные запросы в попыт- ке перестраховки? Метрика объема обработанного трафика вообще мало что значит. Куда важнее понимать: сколько легитимных клиентов потеряли доступ, насколько деградировал поль- зовательский опыт, вернулась ли систе- ма к норме после удара. На практике большинство компаний до сих пор слепо доверяют цифрам вместо того, чтобы проверить, что там действитель- но происходит. Рамиль Хантимиров, StormWall Эффективность защиты чаще оцени- вается по трем базовым метрикам: про- цент успешно обработанных легитимных запросов (доступность ресурсов), время отклика для реальных пользователей и количество ложных срабатываний. Если в ходе DDoS-атаки ключевые бизнес- процессы продолжают работать без сбоев, а пользовательский опыт не ухудшается – это объективный показа- тель хорошей защиты для бизнеса. Однако устойчивость должна обеспечи- ваться именно фильтрацией трафика, а не избыточными ресурсами инфра- структуры. Если сервис держится лишь за счет запаса мощности – это не пока- затель качества защиты, а отсрочка проблемы. Какие метрики дают объ- ективное представление об эффективности защиты во время DDoS-атаки? 38 • СПЕЦПРОЕКТ Шум, сигнал, DDoS и устойчивость DoS-атаки становятся сложнее и непредсказуемее – меняются их цели, сценарии и последствия для инфраструктуры. И даже при наличии автоматической защиты не всегда понятно, что именно происходит во время атаки и насколько система справляет- ся. Редакция попросила экспертов поделиться видением, как меняются подходы к устой- чивости и что действительно помогает держать сервисы в работе, когда нагрузка выхо- дит за пределы допустимого. D Казбек Мамакаев, руководитель группы разработки защиты от DDoS на уровне веб-приложений DDoS-Guard Эдгар Микаелян, руководитель департамента Presales CURATOR Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений в DDoS-Guard Денис Сивцов, руководитель направления защиты сети на уровне L3–L4 в DDoS-Guard Вадим Солдатенков, руководитель направления продуктов “Гарда Anti-DDoS”, группа компаний “Гарда” Рамиль Хантимиров, CEO и сооснователь StormWall Михаил Хлебунов, директор по продуктам Servicepipe Глеб Хохлов, директор по продукту MITIGATOR Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE