Точка зрения / март 2013

Евгений Тетенькин, "МФИ Софт": Тенденции и решения российского рынка защиты от DDoS-атак

Евгений Тетенькин, руководитель направления информационной безопасности компании «МФИ Софт»
РЕДАКЦИЯ COMNEWS
© ComNews
25.03.2013

Руководитель направления информационной безопасности компании "МФИ Софт" Евгений Тетенькин рассказал порталу ComNews о системах защиты от DDoS-атак и перспективах развития этого направления в разных отраслях.

- Компания "МФИ Софт" - российский разработчик систем информационной безопасности. Расскажите, как сейчас обстоят дела на российском рынке решений для защиты от DDoS?

- Когда в России сформировался спрос на системы защиты от DDoS-атак, в первую очередь это почувствовали зарубежные компании, которые искали новые рынки сбыта. Западные разработчики очень оперативно заняли большую долю рынка России, но использование крупными национальными компаниями иностранных разработок не может не настораживать.  Рынок нуждался в российском продукте, который мы и предложили в виде аппаратно-программного комплекса "Периметр-600". Разработка не уступает лучшим европейским аналогам, получила хорошие отзывы от российских операторов. Для тех, кто сомневается в качестве российских разработок, мы предоставляем бесплатный тестовый доступ.

- "Периметр" - это решение для операторов связи?

- Для интернет-провайдеров, дата-центров и крупных компаний с собственной сетью и серверами. Кроме того, на базе "Периметра" операторы и ЦОДы предоставляют дополнительные услуги своим клиентам по защите от DDoS. Стоимость такой защиты начинается от 100 рублей в месяц.

- А если говорить о небольших компаниях, насколько популярны у них сервисы защиты?

- Владельцы бизнеса, связанного с Интернетом, не всегда точно представляют, что такое DDoS и зачем согласовывать расходы больше $100 в год на защиту, пока атака на них не начнется. В СМИ чаще всего появляются сообщения о каких-то крупных атаках - на госучреждения, телеканалы. А то, что небольшие компании в высококонкурентном бизнесе в пик сезона начинают кибервойны, – это, как правило, остается за кадром. В то же время, благодаря широкому освещению в СМИ отдельных случаев, уровень осведомленности руководителей о кибервозможностях повышается и DDoS становится популярным инструментом конкурентной войны. Только в России за прошедший год бизнес потерял несколько миллионов долларов по вине DDoS-атак.

- В СМИ сообщения о новых DDoS-атаках появляются все чаще, неужели угрозы финансовых потерь не подталкивают строить системы защиты?

- Нельзя сказать, что о защите никто не думает - просто подход к ней разный. Часто для защиты от атак перенаправляют трафик на очистку в сторонние компании, которые заявляют высокие мощности по очистке трафика, но не говорят, что эти мощности - на всех клиентов. То есть если атака пойдет на несколько клиентов одновременно - защита захлебнется. Хакеры умные, они это видят сразу. Успешную атаку защищенных таким образом сайтов мы видели в прошлом году, когда "положили" сразу несколько порталов интернет-СМИ (Slon, "Эхо Москвы", "Большой город" и др.). Такие "традиционные" способы защиты, как проксирование или межсетевые экраны, далеко не всегда эффективны. На практике те, кто слишком переоценивает эффективность этих систем защиты и не дополняет их чем-то еще, чаще сталкиваются с необходимостью решать проблему DDoS-атаки по факту или расследовать уже случившиеся инциденты.

- А "Периметр" работает по другому принципу?

- Абсолютно по-другому. Во-первых, система очищает трафик прямо в сети, никуда его не отсылает. Это гарантирует сохранность данных. Во-вторых, вы точно знаете мощность системы. Кроме того, комплекс не влияет на скорость передачи данных в сети, так как устанавливается не в разрыв канала, а  параллельно ему, и через очистку трафик проходит при первых подозрениях на атаку. В систему заложены современные эвристические и алгоритмические методы, позволяющие увидеть, что в сети происходит что-то необычное, и предотвратить атаку уже на ранних этапах. Ну и потом, это одно из самых мощных решений, не только по объему трафика, но и по пакетам в секунду – каждый модуль может очистить 10 Gbps или 14,8 Mpps, и анализирует трафик, проходящий через сеть со скоростью до 1 Tbps.     

- Мощности очень большие. Они уже сейчас востребованы или это "про запас"?

- Большие мощности востребованы уже сейчас. Анализ 1 Tbps востребован крупнейшими операторами связи - сами понимаете, какой через них трафик проходит. Еще пару лет назад мы представить не могли атаку мощностью больше 20 Gbps, а в прошлом году их случилось несколько.

- Независимые аналитические исследования предсказывают рост популярности атак на уровне приложений в 2013 году…

- Это правда, наши аналитики тоже пришли к такому выводу. На самом деле, высокая мощность атаки – не самая страшная беда. Атаки на приложения обычно не очень мощные, но очень губительные. Тем более что в последнее время они все чаще происходят в сопровождении мощных шумовых атак. И непосредственная локальная защита сети - это одно из немногих эффективных решений проблемы. Для оптимальной обороны должен быть налажен еще и мониторинг происходящего на сети.

- Кто сейчас находится в зоне риска DDoS-атак?

- По нашим оценкам, в 2013 году в зоне риска окажется в первую очередь банковский сектор - прецеденты уже были. По-прежнему высокая вероятность DDoS-атак сохраняется в интернет-торговле и на игровых сайтах. СМИ и госорганы подвергаются DDoS-атакам регулярно, в зависимости от популярности инициатив. Различные частные сервисы – заказ такси, цветов, турпоездки – будут находиться в зоне риска в период высоких коммерческих сезонов.