Журнал "Information Security/ Информационная безопасность" #5, 2025

прайм-тайм c целью проверки влияния защиты на легитимный трафик, выявле- ния незащищенных ресурсов и отла- женности процессов реагирования на атаку. Мощность самой атаки не обязана достигать каких-то запредельных значе- ний, да и значения реальных атак в Tbps легитимным способом трудно полу- чить. Чаще всего в регламенте указана проверка раз в год, но сейчас многих атакуют значительно чаще. Михаил Хлебунов, Servicepipe Это не "раз в год на аудит". В 2025 г. нужно проверять постоянно. Постоянный рост DDoS-атак, гиперобъемные атаки свыше 6,5 Tbps – это не шум. Организа- ции, которые не тестируют защиту регу- лярно, фактически не знают, сработает ли она при реальной атаке. Минимум – квартальные тесты под контролируемы- ми нагрузками. Лучше – ежемесячная проверка конкретных сценариев. Когда реальные атаки превышают расчетные параметры (а они часто превышают), неподготовленная команда обнаружи- вает неэффективность защиты уже во время инцидента, и это обходится мак- симально дорого. Дмитрий Царев, BI.ZONE Одна из наиболее распространенных ошибок – отсутствие инструментов мони- торинга систем. Без них сложно опреде- лить характер воздействия атаки на каждую отдельную систему, особенно если ее не удалось вовремя отфильтро- вать. Еще одна распространенная про- блема – недостаточно отработанные процессы реагирования на инциденты. Без четких регламентов и инструкций даже опытные сотрудники могут не пони- мать, какие шаги нужно предпринять в экстренной ситуации: куда обращаться, какие отчеты анализировать, какие настройки менять, какие действия допу- стимы, а какие нет. Например, некоторые ресурсы могут быть менее критичны для бизнеса, и их временное отключение помогает снизить нагрузку на остальные компоненты инфраструктуры. Вадим Солдатенков, группа компаний "Гарда" На мой взгляд, самые большие про- блемы возникают, когда ответственность при планировании на 100% делегирована внешнему подрядчику, а защита пред- усматривает лишь один, внешний, эше- лон. Это создает единую точку отказа. Как говорил один мудрец, "если не я за себя, то кто за меня?". Михаил Хлебунов, Servicepipe Наиболее распространенная ошибка – компании стартуют не с того. Напри- мер, план защиты рассчитан на 100– 300 Gbps, а атаки уже идут на Tbps. Или используется один универсальный сце- нарий вместо отдельных тактик под раз- ные векторы – атака на сетевом уровне требует совсем других действий, чем HTTPS-flood. Часто команды изолиро- ваны друг от друга: сетевики сами по себе, аппликейшн-тимы сами по себе, бизнес не в курсе. План не проверен в боевых условиях, хотя бы в симуляции. И многие ставят ставку только на облач- ную защиту, забывая о локальной вали- дации и собственной видимости. Пра- вильный подход – гибридный, с четкой иерархией эскалации и распределением зон ответственности между командами. И главное – тестировать. Рамиль Хантимиров, StormWall На практике мы чаще всего сталкива- емся с двумя ключевыми ошибками. Во-первых, компании защищают лишь часть критических ресурсов, оставляя другие уязвимыми. Эти незащищенные системы становятся слабым звеном, атака на них парализует всю инфра- структуру, включая защищенную. Во- вторых, многие ограничиваются сетевым уровнем защиты, игнорируя угрозы на уровне приложений. Дмитрий Никонов, DDoS-Guard Основные ошибки – недооценка угрозы и отсутствие понимания типа атаки, а также нехватка базовых знаний инфор- мационной безопасности. Распространен также миф, что CDN может полностью защитить от DDoS-атак. Однако CDN – лишь дополнительный инструмент для снижения нагрузки на сервер и ускорения загрузки ресурса для посетителей. Это хороший элемент в многослойной защи- те, но не основное средство защиты. Эдгар Микаелян, CURATOR Есть две главные ошибки. Во-первых, под защиту ставят только критические сервисы, а вспомогательные или инфра- структурные элементы игнорируют. В итоге злоумышленники находят слабое звено – DNS, API, авторизацию, вспомо- гательные TCP-сервисы – и бьют туда, выводя из строя бизнес-функ- цию. Во-вторых, отсутствие карты зави- симостей. Команда не понимает, какие сервисы обеспечивают работу ключевого приложения. Даже если центральный сервис хорошо защищен, его может положить недоступность слабозащищен- ного вспомогательного компонента. Глеб Хохлов, MITIGATOR Основная ошибка при планировании – отсутствие самого планирования. Если определены зоны ответственности ИT и ИБ, то далее получается относительно стандартный план реагирования на инци- денты. В практике наблюдал разные неучтенные и достаточно болезненные случаи, но подсвечу две ошибки. Первая – не налажен контакт с НСПА. Вторая – длительный процесс оценки состояния здоровья защищаемого ресурса. Напри- мер, нет доступов к дашбордам с мет- риками сервисов у ответственных за защиту. Михаил Хлебунов, Servicepipe Масштабы гиперобъемных атак (4,8 BPPS в апреле 2025 г., 6,5 Tbps) просто сломали представления о том, как должна строиться архитектура защи- ты. Это уже не "больше трафика на ста- рой системе", это совсем другой класс задач. И еще поразило, как растет про- фессионализм атакующих. VM-ботнеты вместо IoT-устройств – это означает, что атаки становятся более целенаправ- ленными, управляемыми, а не просто случайным шумом. Хакеры подчищают ряды, остаются только серьезные. Тре- тий момент, который заставил пере- смотреть подход: DDoS все чаще являют- ся дымовой завесой. Пока команда без- опасности занята громкой DDoS-атакой, злоумышленники спокойно проникают в сеть и воруют данные. Это не отдель- ная помеха, а часть скоординированной кампании. Защита требует контекста и параллельного мониторинга глубоких уровней, а не просто блокировки тра- фика. Дмитрий Царев, BI.ZONE Вероятно, наибольшее удивление вызывают масштабы современных атак. Кажется, что дальше расти уже некуда, однако злоумышленники продолжают ставить новые рекорды объемов и интен- сивности атак. Эдгар Микаелян, CURATOR Больше всего поражает влияние ИИ на возможности атакующих. В 2025 г. мы увидели появление по-настоящему крупных ботнетов-миллионников, кото- рые сформировались, в том числе, из- за массового использования ИИ-агентов, уязвимых IoT-платформ с элементами ИИ и автоматизированного создания вредоносной инфраструктуры. ИИ уско- рил эволюцию атак: они стали более адаптивными, многовекторными и авто- номными. Вадим Солдатенков, группа компаний "Гарда" Сейчас модно говорить про атаки с использованием ИИ или что-то такое Какие ошибки чаще всего допускаются при планиро- вании реагирования на DDoS? Что из последнего опыта работы с DDoS вас удиви- ло и/или заставило пере- смотреть прежние пред- ставления? 40 • СПЕЦПРОЕКТ