Михаил Хлебунов: Цель лаборатории — не продвигать продукты Servicepipe, а тестировать эшелонированную защиту

Осенью 2024 года компания Servicepipe объявила о планах запустить исследовательскую лабораторию, задача которой — проведение испытаний как собственных решений, так и продуктов сторонних игроков на способность противостоять актуальным киберугрозам — DDoS-атакам на сетевом и прикладном уровне. Мы поговорили с директором по продуктам компании Михаилом Хлебуновым о том, как работает Лаборатория сейчас, какие исследования проводит и каковы дальнейшие планы по развитию проекта.

Servicepipe объявила о планах по открытию исследовательской лаборатории осенью прошлого года. Но Servicepipe — это вендор, а не научная организация. Зачем такая лаборатория в принципе нужна?

М. Х.: Я убежден, что у любой компании, которая занимается разработкой решений по защите от кибератак, должно быть свое исследовательское подразделение (R&D). Такие подразделения исследуют новые векторы атак, а также вырабатывают меры противодействия им. Поэтому лаборатории в том или ином виде есть у многих ИБ-вендоров.

Вы выделили это подразделение в отдельный бизнес-юнит?

М. Х.: Дело не в организационной структуре, а в смыслах, которые мы вкладываем. Лаборатория – это команда, которая включает в себя сотрудников из разных подразделений, а также некоторая материальная база, состоящая из серверов и оборудования. Всё это позволяет моделировать различные атаки и инсталлировать различные продукты. Мы в принципе смотрим широко на возможности реконфигурации команды под задачу за счет создания именно виртуальных команд.

В лаборатории моделируются настоящие DDoS-атаки?

М. Х.: В любой лаборатории, не только в сфере ИБ, моделируются угрозы, с которыми предстоит бороться. В медицинской лаборатории исследуются бактерии и вирусы, производитель автомобилей инсценирует аварии, чтобы проверить безопасность транспортного средства. Мы защищаем от DDoS-атак, потому мы моделируем атаки и тестируем разные решения на способность им противостоять.

Лаборатория работает только с DDoS-атаками и их моделированием?

М. Х.: Основное наше направление исследований – это, конечно DDoS-атаки. Сейчас большое внимание уделяется анализаторам трафика, потому что для выработки эффективной модели противодействия DDoS-атакам нужен глубокий анализ трафика. Здесь мы собираем статистические данные по большому числу источников.

Кроме того, по заказу клиентов мы можем смоделировать атаки фулстек-ботов. Например, имея большое количество клиентов из сферы электронной коммерции, постоянно сталкивающихся с атаками продвинутых ботов, мы можем проверять устойчивость к таким видам атак у тех же B2B-маркетплейсов, для которых также как и в целом для розницы характерен парсинг, смс-бомбинг и т.д.

Есть еще один вектор развития лаборатории – это противодействие целевым атакам и ручным взломам с помощью web application firewall (WAF). Мы также двигаемся в этом направлении.

Тестирование вашего собственного софта и других игроков - единственная задача лаборатории?

М. Х.: Далеко не единственная. Мы также очень внимательно изучаем и современное оборудование, то есть «железо», в том числе российского производства. Нас интересует как оно ведет себя под нагрузками, если на него установить те или иные продукты защиты.

Еще одна немаловажная функция лаборатории – образовательная. Это тренинги для собственных сотрудников, в первую очередь - из технической поддержки. Постоянное обучение персонала, который отвечает за противодействие атакам, это очень важный элемент в борьбе с угрозами, поскольку сокращает время реакции на атаки.

Кроме того, в рамках лаборатории идет образовательный проект для партнеров-интеграторов по работе с нашими продуктами. Например, сейчас – глубокое погружение в DosGate. В нем принимают участие более 40 представителей компаний-партнеров. Учитывая, что на сегодня у Servicepipe чуть больше 200 партнеров, и представители каждой из них знакомятся с нашими продуктами, можете себе представить объем работы. Уже пополняем лист ожидания желающих попасть на следующий летний поток.

Также в лаборатории проверяются mvp (тестовые версии) сервисов и продуктовых функций, которые только планируются к включению в релизы продуктов.

Будет ли лаборатория тестировать решения других вендоров по заказам со стороны?

М. Х.: Да, это одно из направлений деятельности лаборатории. Уже сейчас по запросам внешних заказчиков мы проводим стресс-тестирование установленных средств защиты — не обязательно нашего производства.

То есть вы тестируете и продукты ваших прямых конкурентов? Нет ли здесь конфликта интересов?

М. Х.: Если к нам обращаются клиенты, у которых стоят решения других вендоров, мы тестируем их на прочность обороны, скорость реагирования, устойчивость и ряд других параметров. Клиент хочет проверить свою защиту – мы проводим лабораторные испытания.

Цель лаборатории - не только продвигать и развивать продукты Servicepipe, но и проверять надежность уже действующих систем эшелонированной защиты у наших клиентов. Ни одна система защиты не строится на базе единственного решения, ни один продукт не может закрывать все векторы киберугроз и быть универсальным решением всех задач рынка. 

Заказчику может потребоваться встроить еще один эшелон, заменить продукт в уже выстроенной системе или подобрать какой-то узкопрофильный продукт, закрывающий специфические требования безопасности. Важен комплексный подход и диверсификация киберрисков, а не выяснение чья продукция круче.

Можете объяснить, что называется «на пальцах», как работает лаборатория?

М. Х.: У нас есть определенное количество технических средств — набор сетевого оборудования и серверов, которые позволяют генерировать нагрузку с применением различных векторов и различной мощности. В лаборатории мы моделируем атаки и направляем их на средства защиты и на оборудование, которые тестируем. Например, мы берем сервер какого-либо отечественного вендора, на него ставим свое программное обеспечение и направляем туда атаку. Дальше смотрим, какой объем трафика способна выдержать такая конфигурация.

Если мы видим, что на одного из наших клиентов был направлен новый тип атаки, для отражения которой требуется привлечение наших старших аналитиков, мы создаём некий слепок этой атаки. После этого на наших инструментах генерации трафика мы воспроизводим такой же трафик по структуре, что и был во время заинтересовавшей нас атаки: с такими же последовательностями, с теми же параметрами сетевых пакетов… Впрочем, сейчас чаще всего используются последовательности пакетов при атаке. Некоторые виды атак связаны с созданием таких последовательностей, чтобы система обнаружения атак (IDS) принимала их, а целевая система отвергала. Это позволяет атакующему скрыть факт проведения атаки. Единичные пакеты уже никого не интересуют. Сегодня мы оперируем в терминах потоков и повторяемости.

У нас есть какое-то количество самописных инструментов, которые мы используем для моделирования атак, есть также такие знаменитые генераторы трафика как TRex. Они нам позволяют создавать лавинообразный трафик как в stateless, так и в stateful режимах.

Вы получаете информацию о новых типах атак, когда они направлены на клиентов. Но как вы узнаете о новых угрозах, с которыми сами не столкнулись?

М. Х.: Во-первых, у нас достаточно большая база клиентов – более 500 компаний. Во-вторых, если есть новая атака, с которой пока наши клиенты не столкнулись – мы узнаем об этом от коллег. Например, на профильных форумах, где специалисты обмениваются информацией, мнениями. Сами тоже охотно делимся информацией. Мы всегда поддерживали и продолжаем поддерживать налаженный обмен информацией о новых типах DDoS-атак на постоянной основе между вендорами защитных решений. Это способствует росту защищенности.

Новые виды атак стали часто появляться?

М. Х.: Чаще чем раньше. Еще совсем недавно DDoS-атаки были что называется классическим флудом на сетевом уровне. Ковровые мультивекторные атаки были редкостью. Сейчас же ковровые атаки стали распространённым явлением. Кроме того, атаки переходят на уровень приложений, на уровень сервисов хостинга доменных имен (DNS). Также участились атаки на поиск уязвимостей у операторов связи. Корпоративных клиентов больше всего задевают атаки на VPN-сервисы. Не секрет, что сейчас все сидят в корпоративных VPN.

Атаки стали сложнее?

М. Х.: Скажем так — атаки стали более интеллектуальными и комплексными. Используются не просто определенные пакеты и методы, а целые цепочки или последовательности методов. Если раньше достаточно было просто проанализировать пакеты друг за другом, чтобы найти какую-то корреляцию и заблокировать трафик статистическими методами, то сейчас нужен другой анализ.

Например, три года назад можно было отбить атаку с помощью геофильтров, которые обрезают трафик из-за рубежа. Сейчас это сделать невозможно, потому что при анализе источников атак мы видим тенденцию к переносу ботнетов на ip адреса РФ. В некоторых атаках мы видим более 70% таких адресов. Злоумышленники арендуют виртуальные мощности у российских облачных провайдеров и атакуют с территории страны, обходя геофильтрацию.

Это постоянная гонка: атакующая сторона совершенствует инструменты, а защищающая – адаптирует свои меры в ответ. И так по спирали. Для того, чтобы обогнать в этой гонке злоумышленников, и была в Servicepipe создана лаборатория.

Вы говорили, что тестируете и железо. Можете чуть подробнее рассказать, что делается в лаборатории в рамках таких испытаний?

М. Х.: Любой софт ставится на железо и проявляет свои свойства в зависимости от технической конфигурации. Наш софт не имеет ограничений по производительности, но приземляя его на железо, которое имеет ограничение по процессорам или другим параметрам, мы понимаем, что совокупная производительность программно-аппаратного комплекса, который получился, имеет ограничения. Например, процессор на 100% утилизируется, или потребляется вся память. 

Мы живём в условиях, при которых мощность доступных вычислительных ресурсов (серверов из реестра Минпромторга) часто уступает вычислительным возможностям серверов от мировых лидеров. Это является стимулом к оптимизации алгоритмов в нашем ПО, в том числе сокращая число используемых пакетов правил, чтобы даже на железе с меньшими вычислительными мощностями обеспечить надлежащую защиту.

То есть вы даете клиентам рекомендации по железу, что у них должно стоять, чтобы успешно отражать атаки?

М. Х.: Мы в первую очередь рассказываем нашим заказчикам, как выстроить эшелонированную защиту, которая должна выдерживать атаки определенной мощности. Например, заказчик хочет использовать железо от вендора №1, №2 или №3. Мы, в свою очередь, говорим ему: если необходим эшелон, который будет отбивать атаки такой-то мощности, вам нужно использовать, к примеру, 10 серверов вендора один или 15 – вендора два.

Все это зависит от той матрицы производительности, которую обеспечивает железо в сочетании с продуктами (софтом) под определенными атаками. То есть существует три измерения: железо, продукт и атака.

Подводя итоги, вы говорили, что Лаборатория будет работать и для нужд компании, и во внешний рынок. Есть какие-то планы по распределению усилий?

М. Х.: Я бы сказал, что 40% будет составлять развитие и совершенствование продуктов Servicepipe. Еще 30% — это тестирование систем эшелонированной защиты наших клиентов. И оставшиеся 30% — это работа с сотрудниками наших партнеров, которые внедряют наши решения.

У лаборатории есть коммерческая составляющая? Она будет самоокупаться? Или для нее финансовые показатели не важны?

М. Х.: Любое бизнес-подразделение должно быть прибыльным. Если подразделение только потребляет ресурсы и не генерирует ценность, это неэффективная модель. Собственно, потому и получилась такая структура по направлениям - 40-30-30. Таким образом, 60% лаборатории должны зарабатывать деньги, только 40% обслуживают нужды Servicepipe.

Какие-то еще услуги внешним заказчикам Лаборатория будет оказывать?

М. Х.: Кроме названного ранее, лаборатория по запросам будет предоставлять фиды с актуальными векторами атак и рекомендации, каким образом выстраивать защиту на наших продуктах. Здесь будет действовать подписная модель, где клиент регулярно получает преднастроенные наборы актуальных правил для отражения самых современных видов атак.

Еще у нас скоро появится портал, на котором можно будет загрузить слепок атаки, и посмотреть, как эта атака могла бы быть отражена на наших инструментах.

На какие сегменты бизнеса как заказчиков ориентирована лаборатория?

М. Х.: В первую очередь мы ориентируемся на средний и крупный бизнес. Но учитывая будущие возможности портала с подписками на наши продукты и сервисы, думаю, что мы найдем способы помощи всем видам бизнеса, в том числе и небольшим по масштабам.

Планируете ли вы дополнительный наем сотрудников под нужды лаборатории?

М. Х.: Сейчас нет конкретного плана по найму. У нас, безусловно, открыт наем на исследовательские позиции, но очевидно, что это не массовая история. Это работа, требующая высокой квалификации и глубоких знаний, где нужно глубоко знать специфику интернет-трафика и работы браузеров.

А сколько сейчас человек работает в лаборатории?

М. Х.: Как я уже говорил, это виртуальная команда, которая состоит из людей, занимающихся проектной деятельностью. То есть из команды Servicepipe мы в рамках лаборатории привлекаем специалистов под конкретные задачи. Таким образом, сейчас в лаборатории трудится порядка 15 человек.

Какие испытания в лаборатории в настоящее время вы проводите? Какие задачи решаете?

М. Х.: Прямо сейчас в работе кейс с выработкой более успешного метода противодействия DNS-атакам. Кроме того, лаборатория тестирует оборудование двух российских вендоров – мы с этими вендорами находимся в плотном контакте, взяли тестовые образцы их серверов и проверяем их.

Кроме того, раз в две недели проходят учения технической поддержки Servicepipe на противодействие атакам. Это также необходимо, потому что к нам в техподдержку приходит много новых сотрудников, и мы их должны обучить, чтобы успешно отражать атаки.

Сейчас мы также проводим стресс-тестирование эшелонированной защиты одного крупного заказчика. Сейчас у лаборатории большой пул задач в работе.

Михаил, благодарю за интересное интервью. Желаю удачи и развития вашим проектам!