Журнал "Information Security/ Информационная безопасность" #5, 2025

Эдгар Микаелян, CURATOR Сегодня заказчики все больше дове- ряют провайдерам анти-DDoS и их экс- пертизе. Большинству уже не хочется вручную настраивать фильтры и контр- меры. Но при этом ожидание прозрач- ности выросло драматически: компании хотят видеть каждый входящий запрос, понимать, какое решение было принято системой и почему. То есть они готовы к черному ящику в плане автоматизации, но требуют полной наблюдаемости и объяснимости решений. Дмитрий Царев, BI.ZONE Компании по-разному подходят к авто- матизации. Ключевым моментом стано- вится интеграция решений в их процес- сы, отчетность и мониторинг для эффек- тивного реагирования. Те, кому требу- ется глубокая интеграция, выстраивают работу так, чтобы получать данные и изменять настройки с использованием автоматизации/API. При этом большин- ству заказчиков достаточно набора инструментов в личном кабинете. Воз- можности для более гибкой настройки доступны, но на практике чаще всего востребованы лишь базовые операции, например блокировка адресов или добавление их в белый список. Вадим Солдатенков, группа компаний "Гарда" Ожидания двоякие, конечно. С пози- ции "хочу, чтобы все работало само" нужен черный ящик, в пределе – терми- натор, так как противостояние сложным атакам требует больше вычислительных мощностей. С другой стороны, прозрач- ность и контроль нужны для понимания, по каким критериям система блокирует или пропускает трафик. Хорошо, когда в решении есть понятные формализо- ванные алгоритмы. А, например, пове- денческие модели с использованием ИИ лучше использовать в качестве вспо- могательных инструментов защиты как раз по причине их меньшей прозрачно- сти. Глеб Хохлов, MITIGATOR Конечно все хотят черный ящик, а не приобретать непрофильные компетенции и тратить ресурсы на управление DDoS- защитой. Но реальность такова, что уро- вень автоматизации и качество предо- ставляемых услуг защиты вынуждает владельцев инфраструктуры с множе- ством сервисов получать прозрачность и контроль защиты, и зачастую самим участвовать в своей защите. Черный ящик может быть еще эффективен для защиты небольшого сайта или прило- жения, но дальше спасение утопающих – дело рук самих утопающих. Денис Сивцов, DDoS-Guard Мой ответ – и то и другое. Непосред- ственно после приобретения услуги кли- енту нужен черный ящик, чтобы не тра- тить драгоценные часы на настройку. А уже потом, со временем, клиентам требуется контроль над системой и соот- ветствующие инструменты тонкой настройки. В целом мы видим, что запро- сы на многовекторное управление тра- фиком стремительно растут, как и потребность в кастомизации услуги под конкретный проект для получения мак- симального контроля. Михаил Хлебунов, Servicepipe Тренд четкий: заказчики массово отво- рачиваются от черного ящика. Автома- тизация, с точки зрения заказчика, необходима. Все понимают, что ручного реагирования на атаки за секунды не бывает, но заказчики при этом хотят видеть, какие именно сигналы сработа- ли, по каким правилам блокировалась очередь трафика, почему конкретный запрос попал в черный список. Нужен полный Audit Trail и детальная аналитика каждого инцидента. Это отражается в спросе на решения с интерактивными дашбордами, API-доступом к метрикам, возможностью переопределить решение системы за пять минут. Иначе слепая автоматизация может легко заблокиро- вать нужных пользователей. Контроль плюс скорость – это то, что нужно. Рамиль Хантимиров, StormWall Сейчас заказчики требуют и то, и дру- гое одновременно. Им нужна полностью автоматизированная защита, работаю- щая без вмешательства человека, но с полной прозрачностью принимаемых решений. Мы наблюдаем переход от концепции черного ящика к абсолютно прозрачной коробке – система защиты должна не только самостоятельно отражать атаки, но и предоставлять детальную аналитику о своих действиях и давать возможность вручную корректировать алгоритмы при необходимости. Эдгар Микаелян, CURATOR Это болезненный вопрос, особенно в России: большинство компаний до сих пор не проводят регулярных проверок, а стресс-тесты выполняются либо раз в год, либо вообще от случаю к случаю. Сейчас хорошим тоном считается ком- плексное стресс-тестирование всей инфраструктуры раз в квартал, а не точечная проверка только одного сер- виса. Тестировать нужно не отдельно взятый ресурс, а всю цепочку зависимо- стей, чтобы понимать, где именно под нагрузкой инфраструктура становится хрупкой. Вадим Солдатенков, группа компаний "Гарда" Мониторинг в принципе должен рабо- тать 24/7. Нужно понимать, что защи- та – это процесс, в котором задействован не только специализированный комплекс от DDoS-атак. На качество могут влиять и человеческий фактор, и сетевое окру- жение, и другие системы. Все это требует контроля. Денис Сивцов, DDoS-Guard При ожидаемых нагрузках на канал и оборудование заказчик не должен и практически никогда не проверяет рабо- ту сервиса защиты. Исключение состав- ляют случаи, когда заказчик желает убедиться в стабильной работе сервиса заблаговременно, перед важным собы- тием на его защищаемой онлайн-пло- щадке. Например, в день крупных скидок (черная пятница, 11.11, новогодние акции) перебои в работе площадок онлайн-продаж недопустимы, и к таким дням их владельцы готовятся, в том числе по технической составляющей. Рамиль Хантимиров, StormWall Большинство организаций проверяют защиту только во время реальных инци- дентов, что является серьезным риском для их безопасности. Считаю, что с уче- том стремительного роста числа и мощ- ности DDoS-атак регулярное тестирова- ние защиты должно стать обязательной практикой. Но судя по тому, что мы видим сейчас, это понимают лишь отдельные компании – в основном из Enterprise-сегмента. Дмитрий Царев, BI.ZONE Многие компании редко проверяют эффективность своей защиты. Это понятно: такие тесты требуют ресурсов и подготовки. Однако именно они помо- гают увидеть, как работает не только система защиты, но и сами ресурсы под нагрузкой. Это важно, так как проверка показывает поведение системы в случае, если по каким-то причинам атака все же достигает защищаемого приложения. По оценке BI.ZONE, оптимальный подход – проводить такие испытания один-два раза в год. Частоту имеет смысл повы- шать после крупных изменений в инфра- структуре или когда ожидается рост легитимной нагрузки. Глеб Хохлов, MITIGATOR В первую очередь DDoS-защиту нужно проверять не при аномальных нагрузках, а в любой момент – и желательно в Как изменились ожидания заказчиков к автоматиза- ции: что им нужно больше – черный ящик или про- зрачность и контроль? Насколько часто заказчи- ки проверяют (и должны проверять), как работает их защита при аномаль- ных нагрузках? • 39 ЗАЩИТА ОТ DDOS www.itsec.ru