Российский анти-DDoS. Эксперты – о защите веб-приложений

В конце февраля российские компании столкнулись с практически беспрецедентным ростом количества и качества кибератак на свой периметр, в том числе ростом мощности и продолжительности DDoS-атак. Всплеск активности злоумышленников проходил на фоне ухода с российского рынка ряда зарубежных вендоров ИБ. Организации, которым был нанесен реальный ущерб, чаще всего не смогли правильно оценить риски или не уделяли должного внимания защите своих систем. Одновременно с этим рынок уже начал переход на отечественные решения ИБ, которые становятся более качественными и функциональными – и в принципе альтернативы им сегодня практически нет. Дефицит оборудования на рынке в ближайшее время будет сокращен. Так считают эксперты ведущих российских игроков рынка ИТ, собравшиеся за круглым столом, посвященном эффективной защите веб-приложений в условиях санкций. Мероприятие состоялось на площадке AM Live. В нем приняли участие представители компаний МегаФон, «Ростелеком-Солар», «Инфосистемы Джет», «Лаборатория Касперского».

Зарубежные вендоры ушли. Какие последствия?

В пополняемом списке компаний, приостановивших деятельность на территории России, – целый раздел посвящен представителям рынка ИБ. Среди ушедших, к примеру, Acronis, Avast, ESET, Fortinet, Micro Focus, Palo Alto, Symantec, Veeam. Их действия, безусловно, повлияли на уровень защищенности российских компаний. Так, эксперты уже фиксируют факты прекращения технической поддержки поставщиков, в том числе на решения WAF (Web Application Firewall) и Anti-DDoS. Отсутствие актуальных обновлений в этих инструментах может привести к возникновению новых уязвимостей ИТ-инфраструктуры.

С on premise решениями класса WAF ситуация в этом плане относительно стабильная, так как обновление сигнатур из облака, позволяющее защищать инфраструктуру от актуальных угроз, происходит относительно редко. И даже если отсутствует возможность обновлять сигнатуры онлайн – это можно делать вручную, находить обходные пути. Тем не менее, WAF теряет часть функциональности, эффективность этого инструмента снижается. Более критичная ситуация происходит в том случае, когда компания теряет доступ ко всему интеллектуальному облачному сервису, к личному кабинету и т. д., трафик перестает проксироваться.

Еще одна проблема связана с проверкой лицензий на оборудование через сервер лицензий, который находится у поставщика. Возможно, в какой-то момент поставщик, ушедший с российского рынка, может в одностороннем порядке эти лицензии аннулировать.

 

Владимир Зуев, руководитель по развитию коммерческого SOC компании МегаФон

 

«Каждый заказчик теперь имеет возможность оценить дополнительный риск для себя. Если раньше импортозамещение было для кого-то обязательным, а для кого-то нет, то сейчас каждая компания должна корректировать свои планы по рискам и гораздо шире смотреть на рынок», – комментирует руководитель по развитию коммерческого SOC компании МегаФон Владимир Зуев.

С другой стороны, зарубежные вендоры тоже сильно рискуют, бросая заказчиков на произвол судьбы – на кону оказывается их репутация и доступ к российскому рынку в дальнейшем. Эксперты говорят о том, что вендоры уходят с российского рынка по-разному.

 

Егор Валов, руководитель направлений Anti-DDoS и WAF «Ростелеком-Солар»

 

«Мы видели, что многие вендоры старались вести себя корректно. С самого начала, когда только намечались первые шаги компаний по выходу с рынка, многие честно говорили, что уходить не хотят, но заказчикам лучше подготовиться ко всему заранее. На вопросы о поддержке и функционале решений они оперативно отвечали: здесь не нужно беспокоиться, здесь стоит подстраховаться. Были и те, кто ушел некрасиво. Бросать полностью российский рынок для них бессмысленно, но в будущем диктовать условия возвращения будут уже не они», – подтверждает руководитель направлений Anti-DDoS и WAF «Ростелеком-Солар» Егор Валов.

 

Александр Лопатин, руководитель направления инфраструктурной безопасности компании «Инфосистемы Джет»

 

По-разному реагируют на новые вызовы и сами заказчики. «Некоторые думают, что обратного пути нет, и начинают срочно всё менять и переделывать. Можно называть это паникой, можно, наоборот – здравыми проактивными действиями. Другие заказчики предпочитают не поддаваться ажиотажу и присмотреться к развитию ситуации. Как правило, у них сделаны большие инвестиции в западных вендоров», – делится наблюдением руководитель направления инфраструктурной безопасности компании «Инфосистемы Джет» Александр Лопатин.

 

Николай Чураев, руководитель проекта Kaspersky DDoS Protection «Лаборатории Касперского»

 

«Что касается возможности возвращения вендоров – здесь будет играть роль уже не столько финансовая сторона, сколько позиция российского регулятора и российских властей. Сегодня, в принципе, всё оборудование, которое ранее было критично для госорганов, становится критичным вообще для любой организации в стране», – добавляет руководитель проекта Kaspersky DDoS Protection «Лаборатории Касперского» Николай Чураев.

Рост числа и качества атак

По мнению экспертов, присутствовавших на круглом столе, в апреле-марте 2022 года сильно изменилась интенсивность DDoS-атак на российские компании: увеличилось количество и продолжительность атак, некоторые не прекращаются в течение 2-3 суток Изменился и характер действий злоумышленников: стало больше атак на системы прикладного уровня. Несмортя на то, что они в целом успешно отражаются, это увеличивает нагрузку на инфраструктуру.

В феврале наблюдался всплеск DDoS-атак на организации государственного сектора во всех регионах. В марте в некоторых регионах вектор DDoS-атак сместился на бизнес-организации, в том числе банки. При этом говорить о стабилизации обстановки и снижении активности киберпреступников пока рано. С атаками сейчас встречаются даже те организации, которые пару месяцев назад и не думали, что могут стать целью DDoS. Это серьезно увеличивает нагрузку как на сами организации, так и на сервис-провайдеров, которые предоставляют им услуги ИБ.

Изменился ландшафт атак, они стали более разнообразными. Например, злоумышленники начали взламывать сеть доставки контента (CDN, Content Delivery Network), из-за чего пострадали некоторые СМИ. Участились DDoS-атаки, рассчитанные на исчерпание ресурсов стека SSL (Secure Socket Layer): создается огромное количество новых SSL-соединений, с которым не справляется соответствующее оборудование.

Ситуация усугубляется и вследствие роста легитимного трафика – люди массово скупают онлайн технику и другие товары. Например, если система интернет-магазина рассчитана на определенный объем трафика, а он многократно возрос, канал тоже окажется забит. При этом масштабировать инфраструктуру сейчас достаточно сложно, приходится применять некие компенсирующие меры.

Эксперты добавляют, что в худшем случае DDoS-атака может являться отвлекающим маневром для проведения целевой атаки. Правда, таких прецедентов очень мало в общем объеме DDoS.

Как заказчикам поступать в условиях дефицита компетенций? Помощь ИТ-компаний

Производители и поставщики ИБ-продуктов и сервисов готовы оказать заказчикам необходимую помощь для защиты инфраструктуры от атак и выстраивании новых стратегий ИБ, в том числе бесплатные консультации – уверили эксперты.

Так, МегаФон, как и раньше, предоставляет сервисы ИБ по достаточно демократичным расценкам. В компании готовы принять заказчиков, обеспечить им услуги на должном уровне и плотно взаимодействовать на всем этапе предоставления услуг. «Дефицит кадров существует в целом на рынке информационной безопасности, и когда возникают проблемы в предоставлении определенных технологий, этот дефицит становится острее. Рынок предлагает разные варианты решения этих проблем. Заказчик может обратиться к ИТ-компаниям, которые имеют экспертизу в этой области, предоставляют услуги по модели MSSP (Managed Security Service Provider) или организуют on premise решения. Например, у телеком-провайдеров, которые постоянно работают с трафиком, с сетями, – хороший опыт в этой области», – говорит Владимир Зуев.

В «Ростелеком-Солар» тоже идут навстречу даже тем компаниям, которые не являются их текущими клиентами: оказывают консультации и помогают решить проблему по возможности оперативно. Особое внимание уделяется здесь компаниям, атака на которые может вызвать высокий социальный резонанс. «Есть много компаний, которые ранее считали, что атака на их web – это несущественно, и достаточно защитить целиком всю инфраструктуру. В итоге сейчас им нужно, прежде всего, найти подходящее решение, что не всегда просто. Сам процесс интеграции тоже далеко непростой, немногие компании обладают компетенциями для того, чтобы самостоятельно справиться с ним. На это требуется достаточно много времени, которого зачастую нет. Поэтому такие компании вынуждены срочно искать поставщиков, которые могут предоаставить нужные решения на собственной инфраструктуре – по модели MSSP или просто как облачный сервис. Такая модель сокращает временные риски», – поясняет Егор Валов.

В компании «Инфосистемы Джет» готовы помогать в решении актуальных проблем, в том числе и на бесплатной основе, и потенциальным новым клиентам, и существующим. «Наша команда более 15 лет занимается защитой web, в плане ресурсов у нас пока все в порядке, и мы можем помогать заказчикам в «горячем» режиме – на местах или удаленно. Наше услуга по установке и настройке WAF всегда была комплексной, мы встраивали ее в процесс и предлагали заказчику ее сопровождение в разных режимах. Сейчас спрос на такие услуги существенно вырастет, потому что у заказчиков действительно есть некий дефицит кадров высокого уровня в части защиты web. В этом мы видим поле для роста», – уверен Александр Лопатин.

Николай Чураев делит заказчиков на две категории: enterprise и малый бизнес. Первые чаще всего просто расширяют те решения, которые применяли до этого. «Гораздо большую проблему представляют компании малого бизнеса, у которых не только нехватка персонала – они просто не могут себе позволить необходимые средства защиты, поскольку никакого адекватного набора услуг SOC для таких компаний просто не существует. При этом многие из этих компаний – например, СМИ, – являются значимыми для страны. Это как раз проблема, которую необходимо решать, и, вероятно, уже на государственном уровне», – говорит он.

Защита веб-приложений: прогнозы экспертов

Владимир Зуев, МегаФон: «Ситуация показала, что полностью или частично переход на отечественное ПО неизбежен, и вопрос в том, как бизнес-логика компаний соответствует их внутренним компетенциям. Это влияет на выбор on premise или сервисных решений, здесь есть, что взвесить с обеих сторон. Компаниям нужно пересмотреть степень доверия к отечественным облачным провайдерам, к ситуации на рынке специалистов информационной безопасности».

Егор Валов, «Ростелеком-Солар»: «Разумеется, у нас остался неприятный осадок после того, как зарубежные компании покинули рынок. Теперь никакие гарантии, строгие условия договоров не смогут восстановить прежнее доверие к ним. В ближайшее пару лет, скорее всего, российский рынок будет рассматривать варианты исключительно отечественных поставщиков решений. Но при этом целиком без заграничных решений тоже нельзя, они также развивают этот рынок. Хочется верить, что дальнейшее сотрудничество с ними возможно – оно пойдет на пользу обеим сторонам».

Александр Лопатин, «Инфосистемы Джет»: «Конечно мы ожидаем массовый переход на российские решения – где-то резкий, где-то не очень. Со временем большая часть рынка перейдет на них, и даже в случае возврата западных вендоров к ним не будет такого доверия, какое было раньше. Крупные госзаказчики, которых затрагивают требования по импортозамещению, но которые зачастую искали обоснования для отказа от него, больше не станут этого делать. Мы, со своей стороны, активно расширяем портфель российских решений по WAF и защите от DDoS».

Николай Чураев, «Лаборатория Касперского»: «Думаю, что появится какая-то регуляторная инициатива по созданию центра по экспертизе, разработке новых требований, обучению защите веб-приложений. Кроме того, как мне кажется, в ближайшее время должны появиться некие SOC для малых предприятий, с комплексными решениями класса low cost. Этот сегмент будет расти большими темпами».

 

 

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: МегаФон, Инфосистемы Джет, информационная безопасность, Лаборатория Касперского, DDoS-атака, Solar Security