Дмитрий Ткачев, CURATOR: Наша задача — не отбить DDoS-атаку, а обеспечить бесперебойность бизнеса
DDoS‑атаки сегодня остаются одной из самых массовых и разрушительных угроз для бизнеса. За последние два года их характер заметно изменился: на смену сравнительно локальным ботнетам пришли распределенные сети с миллионами зараженных устройств, а векторы атак сместились от традиционной конкурентной борьбы к целым сегментам цифровой инфраструктуры. О том, как меняется тактика злоумышленников, где они находят ресурсы для атак и как компании могут обеспечить устойчивость своих сервисов, TAdviser поговорил с Дмитрием Ткачевым, генеральным директором компании CURATOR.
Ткачев
Какие изменения вы наблюдаете в сегменте DDoS-атак в последние 1-2 года?
Дмитрий Ткачев: Количество DDoS-атак растет, но это не изменение, а стабильный тренд. Что изменилось, так это направление атак и их масштаб. Несколько лет назад мы в основном имели дело с коммерческими атаками или атаками из мести — конкуренты пытались насолить друг другу, бывшие сотрудники или партнеры мстили за личную обиду. С 2022 года доминирующим стал хактивизм: появилось множество групп, которые атаковали буквально всех подряд, лишь бы жертвы были из России. Сейчас большинство серьезных игроков уже внедрили мощные системы защиты, атаковать их бесполезно. Поэтому хакеры переключились на более уязвимые цели. Последний год мы наблюдаем усиление атак на региональных интернет-провайдеров. У них меньшие сетевые емкости, и полноценная защита для них дороговата. Вектор атак сместился с глобального бизнеса на локальный, чтобы доставлять неудобства местным компаниям и обычным людям, оставляя их без интернета.
Что касается масштаба, то здесь произошел качественный скачок — появились огромные ботнеты. Раньше большим считался ботнет, состоящий из 200-300 тысяч устройств. В этом году мы столкнулись с ботнетами из 5 миллионов устройств. К сожалению, это уже не редкость. Кстати, мы предсказывали такую тенденцию: в мире становится все больше «умных» устройств, идет бурная цифровизация стран Латинской Америки, Африки. Производители устройств, особенно в низком ценовом сегменте, гонятся за скоростью выхода на рынок (time to market) и экономят на безопасности. В итоге на рынок выбрасываются миллионы уязвимых устройств, которые моментально становятся частью ботнетов.
Каким образом хакеры обнаруживают уязвимые устройства и собирают их в ботнеты?
Дмитрий Ткачев: Хакеры используют автоматизированные инструменты, которые 24/7 сканируют интернет в поисках жертв. Вы покупаете, например, видеокамеру для дачи, подключаете ее к интернету — и буквально в течение минуты она попадает под сканирование. Если на ней есть уязвимость — старое ПО, дыра в безопасности — ее тут же взламывают, устанавливают вредоносное ПО, и она становится частью ботнета. Для большинства пользователей это происходит абсолютно незаметно, ведь у злоумышленников нет задачи вывести устройство из строя. Их задача — использовать часть интернет-канала пользователя в своих целях.
А как обычному пользователю, не разбирающемуся в технических деталях, проверить, не стало ли его устройство частью ботнета?
Дмитрий Ткачев: К сожалению, явных признаков нет. Можно косвенно мониторить загрузку интернет-канала. Если вы знаете, что днем у вас есть некий паттерн потребления трафика, а ночью он минимален, и вдруг видите, что и днем, и ночью канал загружен одинаково — это может быть косвенным признаком, что ваше устройство «живет своей жизнью» и участвует в атаках.
Как CURATOR помогает компаниям защититься от киберугроз? В чем уникальность вашего подхода?
Дмитрий Ткачев: Мы создаем для клиентов комплексное решение, которое объединяет все необходимые инструменты для защиты цифровых активов: от нейтрализации DDoS-атак, фильтрации ботов и защиты веб-приложений с помощью WAF (Web Application Firewall) до безопасной доставки контента через CDN.
В то время как многие игроки рынка фокусируются только на защите веб-сайтов или только сетевой инфраструктуры, мы обеспечиваем безопасность всего периметра компании. Это позволяет нам выступать в роли единого провайдера, несущего ответственность за доступность и безопасность всех цифровых активов клиента.
Такой подход исключает риски, присущие распределенным моделям безопасности, когда за разные сегменты отвечают разные вендоры. В подобных схемах при возникновении инцидента бывает крайне сложно идентифицировать зону ответственности и точку отказа, что приводит к длительному устранению угрозы. Наша модель гарантирует, что вся архитектура защиты управляется централизованно, что повышает ее надежность и упрощает взаимодействие.
Можете поделиться интересными кейсами?
Дмитрий Ткачев: С кейсами история непростая. Исторически клиенты в области ИБ не очень любят публичность: не хотят рассказывать, что их атаковали, и даже раскрывать, кто именно их защищает. Хотя в индустрии это «секрет Полишинеля» — можно пробить любой IP-адрес и увидеть, например, что за сайтом крупного банка стоит инфраструктура CURATOR.
Но несколько публичных кейсов я все же могу раскрыть.
«Утконос», сервис доставки продуктов питания, подключился к нам в феврале, а в марте случился локдаун. Помните тот период? Было запрещено ходить по магазинам и вообще выходить на улицу без крайней нужды. Спрос на онлайн-доставку взлетел до небес, и «Утконос», как один из лидеров рынка, тут же столкнулся с массированными DDoS-атаками. Конкуренты пытались «задидосить» друг друга, чтобы в момент ажиотажного спроса отъесть долю рынка. Благодаря тому, что «Утконос» был подготовлен, у сервиса не было ни единого простоя, и они смогли кратно нарастить бизнес в тот период.
Букмекерская компания «Лига Ставок» — наш давний клиент. Ставки на спорт — это сфера, где DDoS стали чуть ли не рутиной. Атаки там крупные, а доступность сайта критически важна в любое время, но особенно — в период проведения знаковых спортивных событий. Любое падение сайта — это уход клиентов к конкурентам и прямые финансовые потери. За годы сотрудничества мы неоднократно помогали им отбивать атаки. И, что важно, получив такое доверие, «Лига Ставок» со временем приобрела у нас практически все сервисы: и WAF, и защиту от ботов, и CDN.
Сервисы для путешественников Туту.ру и Травелата страдали от активности ботов. Рынок продажи билетов, гостиниц и путевок очень конкурентен, даже небольшая разница в цене может склонить клиента к выбору другого сервиса. Поэтому в этой нише популярен парсинг цен в реальном времени и формирование привлекательных предложений на его основе. Наш сервис CURATOR.ANTIBOT эффективно пресекает подобные попытки. Также есть проблема взлома личных кабинетов для кражи бонусных баллов, персональных данных и другой чувствительной информации. Здесь наши решения тоже отлично работают.
Московский коммерческий банк (МКБ) с нашей помощью защищает не только сайт, а всю инфраструктуру. Атакующие сейчас часто используют «ковровые бомбардировки», когда атака размазывается по всей сети. Мы, как единый провайдер, закрываем все риски и несем полную ответственность за безопасность сервисов и конфиденциального банковского трафика.
Вы сказали, что масштабы DDoS-атак в последние годы серьезно выросли. Приходится ли вам наращивать инфраструктуру в ответ на растущие объемы атак?
Дмитрий Ткачев: Конечно. В этом году мы запустили очередной центр очистки трафика в Москве. Сейчас у нас в столице шесть таких центров. Подобная архитектура решает две ключевые задачи. Во-первых, обеспечивает прямое подключение к магистральным каналам множества операторов связи, что позволяет оптимизировать маршрутизацию. Во-вторых, и это главное, она создает отказоустойчивую систему. В случае возникновения инцидента в одном из дата-центров, будь то техническая авария или целенаправленная атака на саму инфраструктуру, весь трафик в автоматическом режиме перенаправляется на другие узлы. Для клиента это означает, что, помимо защиты от кибератак, он получает гарантированную доступность своего сервиса за счет резервирования каналов доставки трафика.
Как часто вы сами, как компания, сталкиваетесь с кибератаками?
Дмитрий Ткачев: Ежедневно. Если не DDoS, так бот-активность приходится пресекать каждый день. Боты «крутятся» 24/7, постоянно проверяют защиту на прочность. Для них это дешевая нагрузка — и если обнаруживается уязвимость, злоумышленники тут же пытаются ее использовать. Поэтому у нас в работе нет пауз: атаки идут непрерывным фоном, и наша задача — чтобы клиент этого не заметил.
Справляться с таким объемом помогает автоматизация. На стороне атакующих работают «плохие» роботы, а у нас — «хорошие». Большинство атак отражается полностью автоматически: системы анализируют трафик и принимают решения без участия человека. Конечно, есть дежурная смена специалистов, которая включается в редких случаях, когда нужно принять нетривиальное решение. Но в целом именно автоматизация позволила нам масштабироваться и выдерживать поток атак любого объема.
Что для вас главный показатель успешной защиты: скорость реакции, масштаб отраженной атаки, бизнес-эффект для клиента?
Дмитрий Ткачев: Ключевым показателем для нас является гарантированная доступность ресурсов клиента. Этот бизнес-ориентированный параметр зафиксирован в наших SLA и служит основным критерием успеха.
Наша задача — обеспечить бесперебойную работу защищаемых сервисов вне зависимости от характера инцидента: будь то масштабная DDoS-атака, сбой у оператора связи или авария в дата-центре. Более того, мы предусмотрели сценарии, когда проблемы возникают на стороне самого клиента — например, при сбое в работе приложения. В таких случаях наши системы автоматически активируют механизм динамического снижения нагрузки, избирательно ограничивая часть пользовательского трафика. Это позволяет сохранить работоспособность сервиса хотя бы для части пользователей, предоставляя клиенту необходимое время для устранения внутренней неисправности.
Так что наш фокус смещен с технических параметров нейтрализации атак на обеспечение непрерывности бизнес-процессов, что в конечном счете и является основной ценностью для клиента.
