— Можете для начала немного рассказать о себе? За какое направление вы отвечаете?
— Я отвечаю за продукты безопасности в Yandex Cloud. Основной фокус — это облачная безопасность, но мы также работаем над защитой гибридных инфраструктур и планируем расширяться в этом направлении.
Если говорить обо мне: у меня профильное образование в области кибербезопасности. Я успел поработать в разных сферах — от банков до интеграторов в России. Это дало мне богатый опыт в настройке и использовании самых разных средств защиты, а также в противодействии разным угрозам. Сейчас в моем отделе работает команда специалистов, каждый из которых отвечает за один или два продукта. Вместе мы создаем и совершенствуем решения для защиты данных.
— Давайте начнем с общего плана: что сейчас наблюдается на рынке анти-DDoS? Какие тренды можно выделить?
— Я изучал отчеты за этот год по DDoS-атакам — как от крупных вендоров, так и на основе нашей внутренней статистики (мы анализируем данные, собранные через сервисы «Яндекса», а это весьма обширная база). Можно выделить несколько ключевых трендов.
Во‑первых, большинство атак сейчас довольно короткие. Это связано с тем, что атакующие стремятся минимизировать риск обнаружения. Их цель — нанести удар быстро, чтобы вызывать максимальный дискомфорт, но не «засветиться» слишком сильно.
Во‑вторых, объем атак продолжает расти. Основными целями остаются финансовый и IT-секторы. Причем заметно, что средняя мощность атак увеличивается, — мы фиксируем атаки на уровне сотен тысяч запросов в секунду (RPS).
Участились атаки на уровне приложения (уровень L7). Они становятся всё более изощренными, поскольку такие атаки сложнее отразить: они направлены на непосредственное взаимодействие с сервисами, что требует продвинутой защиты.
Таким образом, мы видим и рост числа атак, и их технологическую эволюцию, что делает анти-DDoS-решения всё более востребованными.
— Пишут, что многофакторные атаки сейчас становятся популярными. Вы это тоже наблюдаете?
— Да, число многофакторных атак постепенно растет. Однако это не совсем новая тенденция — такие атаки существовали всегда, и нельзя сказать, что сейчас происходит какой‑то резкий всплеск. Тем не менее комбинированные атаки действительно становятся сложнее и разнообразнее. Например, мы видим случаи, когда атаки на сетевом уровне (L3) сочетаются с атаками на уровне приложений (L7).
Думаю, такая эволюция обусловлена тем, что все больше компаний используют современные средства защиты от DDoS- и веб‑атак. Простым атакам уже сложнее пробивать защиту крупных инфраструктур, поэтому злоумышленники вынуждены искать новые подходы и комбинировать техники.
— Сокращение времени атак связано с тем, что повысилась скорость их обнаружения, особенно благодаря автоматизированным методам?
— Да, именно так. Современные системы автоматизации и мониторинга позволяют быстрее выявлять и блокировать атаки. Поэтому злоумышленники меняют тактику — вместо длительных атак на истощение они стараются нанести быстрые удары по нескольким целям. Это позволяет им оставаться менее заметными и адаптироваться к более эффективным защитным системам.
— Какие еще тренды наблюдаете?
— Сейчас все больше компаний выбирают облачные средства защиты от DDoS- и веб‑атак. Раньше основное внимание уделялось on-premise-решениям, где использовались аппаратные средства. Сейчас же наблюдается значительный рост использования облачных решений, даже для защиты on-premise-инфраструктуры.
Эта тенденция обусловлена несколькими факторами. Во‑первых, дефицит квалифицированных кадров. Поддерживать собственные железные решения становится все сложнее, а передача этой задачи облачному провайдеру позволяет снизить нагрузку на внутренние ресурсы компании.
Во‑вторых, гибкость оплаты. С облачными решениями не нужно сразу инвестировать в дорогостоящее оборудование на годы вперед. Можно быстро подключить защиту, использовать ее по мере необходимости, а затем отключить, если она больше не нужна. Это делает облачные решения более доступными и удобными для многих компаний.
Эти факторы, на мой взгляд, сильно способствуют популяризации облачных средств защиты.
— Есть какие‑то особенности защиты от DDoS именно в России?
— Я в основном сосредоточен именно на защите внутри России, а о зарубежных атаках могу судить лишь по отчетам и информации от коллег. Однако можно сказать, что за рубежом уровень внедрения средств защиты выше. Это связано с тем, что массовые DDoS-атаки начались там раньше и компании успели накопить больше опыта и внедрить продвинутые решения.
— Если говорить о секторах — какие компании больше всего страдают от DDoS? Есть ли разница, например, между банковским сектором, e-commerce и другими отраслями?
— Традиционно банки — одна из самых популярных целей для злоумышленников. Атаки на них обычно гораздо мощнее и более продуманны. Если, скажем, атаки на интернет‑магазины часто ограничиваются средней мощностью, то атаки на финансовые организации готовятся дольше, с участием более серьезных и опытных злоумышленников. Когда я работал в банковском секторе, сталкивался с действительно мощными и затяжными атаками. E-commerce и IT-сектор тоже попадают под удары. Однако их атакуют реже и, как правило, с меньшей интенсивностью, чем финансовые учреждения.
— Какие цели преследуют злоумышленники, организуя атаки?
— Как правило, их основные цели — это нарушение бизнес‑процессов и кибершпионаж с последующей выгрузкой конфиденциальной информации. Некоторые инциденты связаны с деятельностью APT-группировок. Они запускают DDoS-атаки, чтобы ослабить защиту компании, отвлечь внимание и в этот момент, например, попытаться похитить средства или атаковать приложения.
— Какие есть подходы к борьбе с DDoS?
— Во‑первых, CDN — это эффективный инструмент защиты. Размещая статический контент на CDN, вы распределяете его по точкам хранения по всему миру. Это делает одновременную атаку на все точки практически невозможной, а значит, ваш контент остается доступным. Правда, не всё можно вынести на CDN, но для статических данных это отличный метод.
Еще один вариант — резервирование. Использование нескольких площадок, multi-cloud или гибридных решений (сочетание on-premise и облаков) значительно повышает устойчивость. Если одна площадка выходит из строя, другая продолжает обслуживать трафик.
Важно не пренебрегать настройками сетевого оборудования. Даже базовые меры, такие как rate limiting, синхронные SYN cookies, SYN proxy и другие минимальные настройки, могут помочь отсечь часть атак. Это своего рода «гигиенический минимум», которым часто пренебрегают.
Ну и балансировка нагрузки играет ключевую роль. Необходимо заранее закладывать дополнительные ресурсы, чтобы справляться с пиковыми нагрузками. В облачных решениях это сделать проще благодаря автоматическому масштабированию балансировщиков. В on-premise-инфраструктуре потребуется закладывать резервные мощности вручную, но это тоже рабочий метод.
Эти меры, дополняя стандартные системы защиты, позволяют эффективно бороться с DDoS и минимизировать влияние таких атак на бизнес.
— Есть ли специфика защиты облачных архитектур?
— Специфика есть, и она довольно интересная. Во‑первых, это скорость работы с инфраструктурой. Облака — это динамичная среда, где можно быстро разворачивать или удалять ресурсы. Например, механизмы автоскейлинга позволяют автоматически увеличивать количество виртуальных машин для обработки трафика, если нагрузка возрастает. Это особенно важно в условиях DDoS-атаки, когда нужно оперативно подключать дополнительные мощности. Если, скажем, команда разработчиков выпускает новый продукт каждую неделю, защита должна быть готова к его моментальному подключению.
Во‑вторых, в облачных средах часто используется подход «инфраструктура как код». Это значит, что вся конфигурация описывается в виде кода с помощью инструментов, таких как Terraform. Например, вы задаете параметры виртуальных машин, балансировщиков и других компонентов, а затем все это автоматически разворачивается через API. Чтобы защита от DDoS- и веб‑атак работала эффективно, она тоже должна поддерживать этот подход, чтобы легко интегрироваться в быстро меняющуюся архитектуру.
И конечно, есть особенности, связанные с автомасштабированием. В случае DDoS-атаки облако может автоматически увеличивать ресурсы до определенного предела, что позволяет выдерживать нагрузку. Однако важно следить за лимитами и оптимизировать защиту, чтобы не допустить чрезмерного расхода ресурсов.
Таким образом, защита в облаке требует гибкости, автоматизации и способности интегрироваться с динамической инфраструктурой.
— Другими словами, нужно позаботиться о том, чтобы атакующие не сожгли все деньги?
— Именно так. За использование дополнительных ресурсов в облаке нужно платить. Если защита настроена неправильно, атака может привести к тому, что ресурсы масштабируются бесконтрольно, и в итоге счета вырастают до огромных сумм.
Это особенно важно, если используется сторонний вендор для защиты от DDoS. Например, если провайдер пропустил какую‑то атаку, это может привести к серьезным последствиям для клиента. Поэтому важно, чтобы провайдер учитывал особенности облачной инфраструктуры и предлагал механизмы, позволяющие минимизировать подобные риски. Защита должна быть адаптирована к облачным реалиям и эффективно отрабатывать все возможные кейсы, чтобы не допустить ни пробоев, ни избыточного расхода ресурсов.
— Почему «Яндекс» занялся этой проблемой?
— Мы начали заниматься этим, можно сказать, вынужденно. У «Яндекса» одна из самых крупных инфраструктур в России, с огромным количеством сервисов, которыми ежедневно пользуются миллионы людей. Стандартные средства защиты просто не выдерживают таких нагрузок.
Поэтому нам нужно было свое решение. Внутри мы называем этот проект «Антиробот». Над ним трудится целая команда разработчиков и аналитиков, которые специализируются на защите от DDoS- и веб‑атак. Этот проект включает как технологическую, так и процессную часть, и уже многие годы он защищает сервисы «Яндекса», анализируя паттерны трафика, поведение нарушителей и легитимных пользователей. Технологии и опыт продукта «Антиробот» легли в основу сервиса Smart Web Security, который мы предлагаем нашим облачным клиентам.
Если заглянуть немного глубже, система состоит из нескольких слоев. Первый — защита на низком уровне, L3 и L4, чтобы предотвратить перегрузку каналов. Далее идет балансировка трафика, с использованием как облачных, так и локальных балансировщиков, поскольку у нас гибридная инфраструктура.
Следующий этап — rate limiting, позволяющий быстро отсечь явно нежелательный трафик. А чем глубже мы погружаемся в обработку, тем больше используется интеллектуальных технологий. Здесь применяется машинное обучение, включая модели на базе CatBoost.
На первом этапе ML помогает быстро анализировать огромные потоки трафика. Для этого система работает с тысячами факторов, что позволяет оперативно и точно отсекать подозрительный трафик. Такой подход помогает «Яндексу» справляться с нагрузками и эффективно защищать свои сервисы.
На второй фазе происходит более глубокая интеллектуальная оценка. Здесь уже анализируются свыше 10 тысяч факторов. Этот этап занимает больше времени, но он позволяет максимально точно классифицировать трафик.
Если мы уверены, что это атака, запросы сразу блокируются. Если же остаются сомнения — например, есть вероятность, что это легитимный пользователь, — запросы перенаправляются на проверку через CAPTCHA. У нас в «Яндексе» используется Yandex SmartCaptcha, которая помогает убедиться, что перед нами действительно человек.
— Это всё разные продукты или для клиента это единое решение?
— Мы подходим к этому комплексно и не делим строго на DDoS, веб‑атаки или ботов. Smart Web Security — это единая система защиты, которая покрывает сразу все аспекты. Она включает анти-DDoS, WAF (защита веб‑приложений), Yandex SmartCaptcha, rate limiting и другие механизмы.
Почему так? Потому что в современном мире угрозы редко ограничиваются чем‑то одним. Например, клиент может сначала столкнуться с DDoS-атакой L3 или L4, затем с атакой L7, потом с SQL-инъекцией, а параллельно его могут атаковать парсеры или нежелательные роботы.
Кроме того, клиенты часто хотят настроить исключения для «дружественных» роботов, например поисковых систем или своих собственных инструментов. Поэтому мы разработали комплексное решение, которое позволяет защищаться от всего этого сразу, предоставляя гибкость для настройки под конкретные нужды.
Конечно, мы создаем эти решения, чтобы помочь нашим клиентам, улучшить их защиту и закрыть их потребности. Но есть и обратная сторона — мы тоже извлекаем из этого пользу.
Выпуская продукт наружу, мы получаем доступ к разнообразному фидбэку и реальным паттернам трафика, атакам, специфике использования. Это помогает нам улучшать наши модели и насыщать их новыми данными. В итоге мы не только совершенствуем защиту клиентов, но и усиливаем собственные системы, делая их еще более эффективными.
Кратко о Yandex Smart Web Security
Yandex Smart Web Security — это сервис облачной платформы Yandex Cloud, предназначенный для защиты веб‑приложений от DDoS-атак уровня L7 (уровень приложений по модели OSI), автоматизированных бот‑атак, таргетированных веб‑атак. Сервис использует алгоритмы машинного обучения и поведенческий анализ пользователей для выявления и блокировки нелегитимных запросов.
Одна из ключевых особенностей Smart Web Security — интеграция с Yandex SmartCaptcha, что позволяет дополнительно проверять, является ли посетитель человеком или ботом, и эффективно предотвращать сложные атаки, имитирующие поведение реальных пользователей.
Smart Web Security нативно интегрирован с другими продуктами Yandex Cloud, такими как Yandex Application Load Balancer, Certificate Manager, Cloud Logging, Audit Trails и Yandex Monitoring, что обеспечивает комплексный подход к безопасности и упрощает его внедрение в существующую инфраструктуру.
В мае 2024 года пользователям стал доступен модуль Web Application Firewall (WAF) — межсетевой экран для анализа трафика и выявления сложных угроз.
Использование Smart Web Security позволяет компаниям повысить стабильность работы своих приложений в облаке и защититься от растущего числа атак на уровне приложений, обеспечивая надежную и современную защиту веб‑ресурсов.
— Давайте подробнее поговорим о Yandex SmartCaptcha. Какие у нее есть интересные фишки?
— Один из самых интересных элементов нашей SmartCaptcha — это так называемая невидимая CAPTCHA. Она позволяет проверять пользователя незаметно для него. То есть человек может даже не осознавать, что проходит какой‑то челлендж.
В целом мы стараемся найти баланс между удобством для человека и эффективностью защиты. Нам важно, чтобы CAPTCHA не раздражала пользователей, но при этом была сложной для злоумышленников. Многие сталкивались с капчами, где нужно бесконечно выбирать светофоры или другие объекты, — это утомляет.
Поэтому мы движемся в сторону геймификации. Например, у нас есть челленджи с силуэтами или калейдоскопами. Они выглядят интереснее, легче воспринимаются пользователями, но при этом эффективно отсекают ботов. Такой подход делает защиту не только надежной, но и более дружелюбной для людей.
— Можете припомнить какие‑нибудь интересные кейсы, когда борьба с DDoS и ботами ощутимо помогла бизнесу?
— Например, такая история: у клиента был сервис, где пользователи могли регистрироваться, после чего отправлялись SMS для подтверждения. Злоумышленники использовали ботов для массовой атаки на этот сервис. Боты регистрировались в огромных количествах, вынуждая клиента тратить значительные суммы на отправку SMS. Это оказалось довольно дорого. Система защиты, которая была у клиента до нас, не справлялась — боты проникали и продолжали генерировать расходы.
После внедрения нашего решения — комбинации SmartCaptcha и Smart Web Security — такие атаки прекратились, и финансовые потери удалось минимизировать. Это хороший пример того, как автоматизированная защита может справляться с ботовой активностью.
Еще один интересный и более сложный кейс. В некоторых случаях нанимают людей, которые за небольшую плату вручную проходят CAPTCHA или выполняют другие челленджи, пытаясь обойти автоматические системы. Здесь борьба сложнее, потому что противостоять реальным людям труднее, чем ботам.
Для таких ситуаций мы используем машинное обучение. Оно помогает выявлять подозрительное поведение, анализируя динамику взаимодействия с сервисом. Статические методы в таких случаях малоэффективны, а вот динамическая защита, основанная на ML, позволяет находить закономерности и блокировать таких пользователей.
— Традиционный теперь в каждом интервью вопрос. Какие еще применения ML в целом и языковых моделей вы видите?
— С точки зрения защиты я всегда немного скептически отношусь к заявлениям вендоров, что у них все построено исключительно на ML и все идеально работает. Чаще всего это больше маркетинг, чем реальность. Но могу рассказать, где мы реально используем или планируем применять AI и большие языковые модели (LLM).
Первое — это анализ больших объемов данных и поведенческих паттернов. Например, в защите от DDoS-атак, веб‑атак и в CAPTCHA. Здесь применение ML действительно полезно, потому что обрабатывать вручную такие объемы данных и трафика было бы слишком трудозатратно. AI помогает находить закономерности и быстро принимать решения.
Второе направление — анализ персональных данных в S3-бакетах. У нас есть продукт класса DSPM, который помогает проверять загруженные данные, например определять, содержат ли они паспортные данные или другую конфиденциальную информацию. Регулярные выражения часто дают слишком много ложных срабатываний, поэтому мы используем AI, который более точно распознаёт, что действительно является паспортом, а что — нет. Это сильно повышает точность.
Третье — упрощение взаимодействия с системами через большие языковые модели. Например, в SIEM-системах часто нужен высокий уровень квалификации, чтобы писать запросы к данным. Сейчас рынок испытывает дефицит таких специалистов, поэтому мы экспериментируем с тем, чтобы снизить порог входа. LLM может позволить пользователю написать запрос простыми словами, вроде «Покажи все данные за неделю по такому‑то устройству», а модель сама преобразует это в сложный SQL-запрос и отправит его в систему. Это упрощает работу и ускоряет процессы.
— Есть ли опасения, что и злоумышленники поставят ИИ себе на службу? Как это может произойти?
— Опасения, безусловно, есть. С помощью GPT-моделей злоумышленники могут быстрее генерировать вредоносные нагрузки, создавать сложные фишинговые атаки или даже автоматизировать сбор ботнетов. Так что развитие технологий в этом направлении определенно влияет на снижение порога входа для атаки. Но пока это больше перспектива, а не реальность, с которой мы сталкиваемся каждый день.
Но и защитные механизмы не стоят на месте. Уже сейчас ведется работа по внедрению фильтров и ограничений в больших языковых моделях, чтобы предотвратить их использование для злонамеренных целей. Например, такие системы обучают игнорировать запросы на создание вредоносного кода или помощь в мошенничестве. Кроме того, законодательство в этой области тоже будет развиваться. Это позволит ограничить использование AI в преступных схемах. Так что у меня скорее позитивный настрой: технологии развиваются, но вместе с ними развивается и защита.
— Вы упомянули регулирование и законы. В плане DDoS и ботов возможно какое‑то регулирование, которое приведет к снижению вредоносной активности?
— Если говорить конкретно о борьбе с DDoS, веб‑атаками или ботами, я не припомню значительных изменений в законодательстве за последнее время. Однако есть другой важный тренд — ужесточение законов, связанных с утечками данных, и увеличение оборотных штрафов за такие инциденты.
Это, на мой взгляд, существенно влияет на распространение средств защиты. Компании, которые раньше могли сомневаться или откладывать внедрение ИБ‑продуктов, теперь начинают действовать заблаговременно. Угроза серьезных штрафов побуждает их приобретать средства защиты или хотя бы настраивать базовые параметры, чтобы минимизировать риски. Также сотрудники компаний проходят специальные курсы по ИБ — их уже много в открытом доступе. Например, мы в Yandex Cloud также опубликовали курсы по основным облачным сервисам безопасности.
В итоге это стимулирует развитие отрасли кибербезопасности в целом. Даже косвенные изменения в регулировании, такие как законы об утечках данных, создают предпосылки для более активного применения защитных технологий, в том числе и против DDoS- и веб‑атак.
Реклама. ООО "Яндекс.Облако". ИНН 7704458262
