В России строят национальную систему защиты от DDoS-атак: почему она не спасет от хакеров

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) собирается запустить в России государственную систему защиты от DDoS-атак. Издание Forbes выяснило подробности у экспертов.

Как рассказали источники, близкие к Роскомнадзору и Администрации президента РФ, идея возвести систему защиты возникла после того, как зарубежные хакеры начали массово атаковать российские онлайн-ресурсы с начала вторжения в Украину. Многие госструктуры и частные компании не смогли устоять перед киберугрозами и были взломаны, в том числе сайт Кремля.

Для ее реализации своей инициативы власти намерены до осени 2022 года обновить оборудование для глубокой фильтрации трафика (Deep Packet Inspection, DPI).Оно позволяет реализовать закон о суверенном Интернете, который действует с 2019 года и предусматривает обеспечение работоспособности российского сегмента после отключения от всемирной сети. С его помощью в РФ замедлял работу социальной сети Twitter, а также заблокировали доступ к Facebook и Instagram.

Сотрудник одной из компании по информационной безопасности рассказал Forbes, что DPI-технология имеет встроенные механизмы для защиты от DDoS-атак, но Главный радиочастотный центр подготовил мало образцов киберугроз, на которые она может реагировать, из-за этого оборудование не сможет надежно защищать от хакерских атак.

Эксперт по кибербезопасности Алексей Лукацкий заявил, что на действующем DPI оборудовании теоретически можно запустить систему защиты от киберугроз, но ее действие очень сложно распространить на все российские каналы связи. Роскомнадзору придется защищать ресурсы страны от двух видов DDoS-атак: использование уязвимостей в веб-приложениях и отправка большого количества трафика. В первом случае оборудование должно уметь распознавать такие атаки, а во втором DPI не поможет — необходимо создавать специальные центры для мониторинга и очистки вредоносного контента, что тоже требует денежных вливаний.

Алексей Лукацкий добавил, что услуги по защите от DDoS-атак стоят недешево, поэтому некоторые компании просто не хотят их оплачивать. Роскомнадзор может обязать операторов связи отсеивать "мусорный трафик", однако те откажутся бесплатно защищать сеть на национальном уровне и потребуют компенсировать расходы за счет государственного бюджета.

Два источника заявили, что Роскомнадзор собирается увеличить пропускную способность DPI-оборудования в несколько раз, чтобы добавить больше сигнатур (образцов угроз) для распознавания вредоносного трафика, в настоящее время одновременно фильтруется до 100 ГБ в секунду. Регулятор не хочет вкладывать в этот проект дополнительные деньги, пытаясь модернизировать технологии "в рамках действующих контрактов", но после введения международных санкций производство подорожало примерно на 40%.

Гендиректор аналитического агентства TelecomDaily Денис Кусков предполагает, что пропускную способность решили увеличить в связи с ростом трафика у операторов связи. По итогам 2021 года его объем вырос на 31%, основны источником стал видеоконтент. В 2022 году многие иностранные сервисы свернули свою деятельность в России, поэтому в ближайшем будущем резкого роста трафика не предвидится.

1 апреля "Лаборатория Касперского" сообщила, что количество кибератак на РФ увеличилось в 8 раз. Уровень подготовки хактивистов в марте значительно увеличился по сравнению с февралем.

В марте компания Netscout отказалась защищать Россию от DDoS-атак из-за вторжения в Украину и закрыла им доступ к сервису Arbor. В связи с этим хакерам стало проще атаковать российские сайты.