Как мы «пришли, увидели и победили» DDoS на IT Merge
На связи команда ОБИТ, которая недавно вернулась с одной из крупнейших региональных ИТ-конференций IT Merge в Казани. Мероприятие приглянулось нам еще в прошлом году, когда мы выступали у ребят на площадке в Сколково. В этот раз мероприятие проходило в казанском Иннополисе, где мы выступали с нашим партнером DDoS-Guard с рассказом про последние тренды DDoS-атак и методов защиты. Как все прошло и самые сочные выдержки выступления — в материале ниже.
Пару слов о концепции мероприятия
IT Merge — площадка, где встречаются эксперты и бизнес, где реальный диалог заменяет демагогические мантры, а опыт имеет больший вес, чем статус. Конференция с правильным фокусом и острым ощущением, что защищать сегодня нужно не только данные, но и само доверие к цифровым продуктам.
Merge охватывает семь тематических направлений (разработка, управление, маркетинг, HR, аналитика и тд) и включает более 30 секций, посвященных актуальным вопросам в различных областях ИТ. Программа ориентирована на профессионалов всех уровней — от разработчиков и ИТ-специалистов до руководителей подразделений и владельцев бизнеса. Темы докладов охватывают широкий спектр вопросов: разработка программного обеспечения, управление ИТ-проектами, новейшие тренды в отрасли и карьерные возможности.
Мы решили выбрать секцию Cyber Security, и по количеству слушателей поняли: безопасность — не просто тренд, это уже личная боль для многих компаний.
На конференции мы впервые решили опробовать практику совместного доклада и выступали вдвоём: Кирилл Тимофеев, руководитель ИТ-департамента ОБИТ, и Дмитрий Никонов, руководитель направления защиты от DDoS-атак на уровне веб-приложений DDoS-Guard. Вместе — получился боевой тандем, за плечами которого десятки отражённых атак, сотни восстановленных инфраструктур и тысячи бессонных часов мониторинга периметра.
Целью нашего выступления было не напугать, а показать реальность: как сегодня выглядит ландшафт угроз для российских компаний, почему многие защитные механизмы морально и реально устарели, и какие стратегии защиты сегодня действительно работают. Для аудитории обозначили тему нетривиальным образом: «DDoS-атаки становятся умнее, а вы»?
Почему сегодня DDoS — не про «уронить сайт», а про «уничтожить бизнес»
Ключевая мысль, которая легла красной нитью в нашем повествовании: DDoS сегодня стал доступнее, а последствия — разрушительнее.
Какие тренды мы наблюдаем прямо сейчас:
- цена атаки падает — ботнеты в аренду порой могут быть дешевле подписки на Netflix;
- трафик из-за рубежа больше не тормозят, вследствие чего атаки длятся сутками вместо минут, без откатов;
- уязвимости живут в распределённой инфраструктуре: SaaS/PaaS/IaaS — защита «на периметре» уже не спасает;
- организаторы атак — все более сильные профессионалы со знанием ИБ;
При этом судя по кратно возросшему количеству инцидентов за последний год российские компании не стремятся усиливать меры по защите бизнеса. Недавно мы провели исследование среди 150 руководителей ИТ-направлений среднего и крупного бизнеса из сфер производства, транспорта, гостинично-ресторанного бизнеса и телекоммуникаций, по результатам которого выяснилось, что 49% российских компаний не используют даже антивирусные программы и средства резервного копирования данных. И это при условии, когда согласно данным DDoS-Guard, мощность DDoS-атак за последний год выросла на 120%, а количество задействованных IP-адресов в одной атаке может превышать 900 000 — это сопоставимо с количеством IP в Исландии. Атаки становятся все более сложными и длительными, что требует от бизнеса новых подходов к обеспечению устойчивости цифровых систем.
Сценарии, которые мы разбирали на кейсах
«Мы видим, как стремительно меняется арсенал злоумышленников, и понимаем, что работать по старым сценариям больше нельзя. Мы хотим поделиться реальным опытом, помочь компаниям выстроить защиту с учетом актуальных угроз и подготовиться к будущим вызовам»
DDoS сегодня практикуется в качестве «дымовой завесы», то есть используется как прикрытие более сложных и изощрённых атак. Есть несколько сценариев потенциального инцидента:
1. Ransomware + DDoS — два удара: зашифровали и затопили
Атака на инфраструктуру сопровождается шифрованием данных и двойным шантажом (требование выкупа за остановку DDoS и расшифровку)
2. Эксплойт + DDoS — игра на внимательность
Атака отвлекает SOC-команды, пока эксплуатируются уязвимости (например, через необновлённое ПО). Это также может быть внедрение вредоносного кода в легитимные обновления,как в случае с SolarWinds.
3. Микро-DDoS — резкий 30-секундный всплеск на 100 Гбит/с
Работает особенно хорошо на финтех-сервисах в моменты пиковых нагрузок.
4. Атаки на API и микросервисы — ахиллесова пята цифровизации
Запросы, крадущие токены, бьют по самым уязвимым звеньям микросервисной архитектуры.
5. IoT-бомбы
Рост сверхмощных ботнетов до миллиона уникальных IP-адресов в одной атаке. Это уже не просто «ботнет», это — цифровая армия.
6.«Бесконечный» DDoS: гибридные атаки на недели
Чередование каналов L3, L4, L7 и возврат к L3. Угадайте, когда закончится? Никогда.
Теперь в почёте не просто DDoS как таковой, а комбинации из нескольких векторов с целью «залить» основной поток вредоносного трафика по наиболее уязвимым местам, тем самым отвлечь внимание ИБ-специалистов и нанести сокрушительные удар, пока этого никто не ждёт.
Кто и что на прицеле: карта целевых секторов
1.ISP (поставщики интернет-услуг).
Как показал 2024 год, началась охота на региональных игроков и новых операторов.
Атаки на операторов приводят к отключениям связи для тысяч абонентов, создавая эффект домино — бизнесы теряют доступ к интернету, пользователи — к сервисам.
2. Банковский сектор и платёжные сервисы.
Атаки направлены на создание сбоев в платёжной инфраструктуре, чтобы нарушить транзакционную активность и ударить по доверию клиентов. Каждая секунда простоя — это прямые финансовые потери.
3. Cистемы учёта.
Атаки на CRM и ERP-системы парализуют работу отделов продаж, логистики, бухгалтерии. Это особенно критично для крупных компаний, где ежедневная операционка завязана на этих решениях.
4.Атака через подрядчиков.
Например, в ИТ или логистике, — перегруз систем GPS-трекинга = остановка поставок.
Подрядчик в большинстве случаев не имеет собственных обязательств по персональным данным и другой чувствительной информации и не уделяет должного внимания своей безопасности. При этом если это ИТ-подрядчик, то он нередко имеет серьезные права и привилегии в системе заказчика.
Когда бизнес решил «пока не надо»
DDoS-инциденты — частая история среди наших заказчиков. В среднем перегруз трафика продолжается от 20 минут до нескольких недель.
Примечательная история, случившаясяы недавно с одним из наших клиентов из энергетического сектора. Мы провели комплексный аудит внутреннего и внешнего периметра, составили рекомендации, обсудили их с ИТ-директором. Он с ними согласился и… отправился за бюджетом на реализацию дополнительных мероприятий по безопасности. Но бюджет так и не утвердили.
Буквально через месяц — атака. Под удар попал основной сайт и 6 поддоменов компании. Мы подключились, перевели ресурсы на фильтрацию, включили L3-L7-защиту, подключили личный кабинет. Восстановление инфраструктуры до состояния «без потерь» заняло сутки.
Кейс показательный: ИБ-бюджет сложно обосновать, пока всё работает. Но как только что-то ломается и грозит серьезными убытками для бизнеса — вопрос «почему мы не позаботились об этом раньше?» звучит уже не от ИТ-директора, а от топ-менеджмента. Безопасность становится приоритетом только после потерь.
Как выглядит многоуровневая защита от DDoS в 2025 году
Секрет мы не откроем, но «чеклиста из трёх и даже десяти пунктов» недостаточно. На передовую защиты выходит многоуровневая эшелонированная оборона, где каждое звено ��� важное и равноценное: Как это устроено:
1. Защита на уровне глобальных операторов
На этом уровне трафик фильтруется ещё до того, как он достигнет компании. Используются технологии маршрутизации и совместная работа с крупными провайдерами и государственными дата-центрами. Это позволяет отсеивать массовые атаки, такие как UDP Flood, на самых дальних подступах.
2. Региональная защита через CDN и провайдеров
Трафик дополнительно фильтруется ближе к источнику, через облачные CDN-сети и точки присутствия провайдеров. Это снижает нагрузку на основную инфраструктуру. Также здесь применяются технологии, защищающие DNS-сервисы от атак через поддельные запросы.
3. Защита на границе сети компании
Перед тем как трафик попадёт во внутреннюю сеть, он проходит через системы анализа и маршрутизаторы. Они отслеживают аномалии и фильтруют подозрительные подключения. При необходимости трафик перенаправляется в резервные каналы.
4. Очистка у DDoS-провайдера
Если атака всё же проходит дальше, её фильтрует специализированная инфраструктура. Системы на основе ИИ анализируют поведение запросов, блокируют ботов и ограничивают скорость подозрительных соединений. Это особенно эффективно против целевых и медленных атак.
5. Защита серверов и приложений
Когда трафик доходит до серверов, работают уже классические средства: современные межсетевые экраны, системы обнаружения вторжений и инструменты проверки подозрительных запросов. Это последний барьер, который защищает приложения и данные.
6. Защита на уровне сервисов
На последнем уровне происходит сбор логов, автоматический анализ инцидентов и быстрое восстановление работы сервисов. Также координируются действия всех компонентов защиты, чтобы система работала как единое целое.
Такая модель защиты — это не просто набор инструментов, а продуманная архитектура, в которой каждый уровень усиливает предыдущий. Такой подход позволяет не только эффективно отражать атаки разных классов, но и минимизировать потенциальный ущерб. Главный принцип здесь — чем раньше атака будет идентифицирована и нейтрализована, тем меньше нагрузка придётся на внутренние ресурсы компании.
Вместо вывода
DDoS-атаки — это уже не гипотетическая угроза, а вполне реальный и ощутимый риск для любого цифрового бизнеса. Базовые меры можно и нужно внедрять самостоятельно, но они дадут лишь частичную защиту. Настоящую устойчивость обеспечивает только синергетический подход с участием тех, кто знает, как это делать правильно: вендор + провайдер/оператор ИТ-решений.
Если вы дочитали до этого места — скорее всего, вам действительно важно, как обезопасить свои ИТ-системы. Подробнее об информационной безопасности от ОБИТ можно узнать по ссылке.
Подписывайтесь на наш VC-блог, чтобы регулярно получать полезную информацию об ИТ для бизнеса.