В Сочи завершился очередной всероссийский форум по вопросам регулирования в сфере ИКТ — «Спектр-2022». Рапортуя о готовности рунета к автономной работе, директор ЦМУ ССОП (Центр мониторинга и управления сетью связи общего пользования, работает под эгидой Роскомнадзора) Сергей Хуторцев заявил, что национальную систему противодействия DDoS-атакам планируется запустить в конце 2024 года.
Необходимость создания подобной системы в масштабах всей страны продиктована резким ростом числа DDoS-атак в рунете. Общероссийский заслон будет выстроен на основе ТСПУ — технических средств противодействия угрозам, предназначенных для анализа и фильтрации трафика. Это оборудование находится в ведении РКН и помогает регулятору блокировать доступ к запрещенному контенту и ресурсам, попавшим в опалу.
«Планируется расширить возможности нашей системы ТСПУ — создать глобальную национальную систему противодействия DDoS-атакам, — цитирует РИА Новости слова Хуторцева. — Последние события показали, что мы уже эффективно с этой функцией справляемся. Но нужно обеспечить более многоуровневый мониторинг и отражение более сложных, специфичных атак».
По данным Главного радиочастотного центра (ГРЧЦ, входит в состав профильной службы Роскомнадзора), в текущем году ТСПУ помогли отразить DDoS-атаки 65 организациям, в том числе «Почте России», Минкульту, РЖД. С помощью этих комплексов устранено 6 630 нарушений маршрутизации трафика, защищено более 6 тыс. ресурсов от внешнего деструктивного воздействия.
Создание единой системы противодействия DDoS на базе ТСПУ невозможно без распространения этих технологий на весь рунет. Сейчас доля фильтруемого интернет-трафика в России, по данным ГРЧЦ, составляет 98% для широкополосного доступа и 100% для мобильного. В конце 2023 года планируется достичь полного покрытия, в том числе сетей связи Донецкой и Луганской республик, Херсонской области и Запорожья. К концу этого года ТСПУ-средствами оснастят 860 узлов связи, к концу следующего — 1,3 тыс. узлов.
Национальный анти-DDoS также требует наличия технологий DPI, позволяющих настраивать фильтры в соответствии с текущими нуждами, будь то ограничение доступа к ресурсам или снижение количества кибератак. Устройства DPI обычно устанавливаются на стороне провайдера; на уровне магистрали их можно использовать для управления скоростью передачи пакетов и выполнения различных блокировок, однако включение этой опции грозит усложнением проверок и ростом числа задержек в сети.
Эксперты сомневаются в эффективности использования связки ТСПУ – DPI для защиты рунета от DDoS-атак — даже при успешном решении всех проблем, связанных с масштабностью проекта. Так, главный аналитик центра IZ:SOC «Информзащиты» Ильназ Гатауллин отметил, что ТСПУ в силу своей специфики неспособны справиться со всеми задачами по защите от DDoS; эффективное решение проблемы могут обеспечить только вендоры рынка, такие как Arbor или Radware (заметим, в России такие компании тоже есть).
Гатауллину вторит Алексей Лукацкий, бизнес-консультант Positive Technologies по вопросам ИБ:
«Нельзя утверждать, что данная система, после ввода ее в конце 2024 г., окончательно решит эту проблему. Дело в том, что существующий подход, реализуемый решениями ТСПУ, базируется преимущественно на выявлении и блокировании IP-адресов и их диапазонов, с которых осуществляется вредоносная активность. В то же время есть и прикладные DDoS-атаки, для борьбы с которыми нужны фокусные решения, использующие иные методы обнаружения и блокирования атак. Поэтому у отдельных заказчиков будет спрос и на более продвинутую защиту от DDoS».