Атаки, направленные на отказ в обслуживании (DDoS) — серьезная угроза бизнесу, с которой, по статистике, сталкивается каждая вторая компания. Справиться с DDoS-атаками своими силами очень сложно, поэтому в данной области сформировался отдельный рынок оборудования и услуг, о котором мы подробно расскажем в статье.
2. Количество и сложность DDoS-атак растет
4. Рынок программно-аппаратных комплексов для защиты от DDoS
5. Мировой рынок услуг защиты от DDoS (модель SaaS)
5.1. Akamai Technologies (Prolexic)
6. Российский рынок услуг защиты от DDoS (модель SaaS)
6.1 Специализированные сервисы
Введение
Наиболее уязвимыми в любой инфраструктуре являются ресурсы, открытые для доступа извне — веб-сайты, серверы приложений, баз данных и другие. Чтобы атаковать внутренние ресурсы компании, злоумышленнику необходимо найти уязвимости в инфраструктуре и преодолеть сетевую защиту, атака на внешние ресурсы требует гораздо меньше усилий.
Один из наиболее популярных видов атак на публичные сервисы — распределенная атака, направленная на отказ в обслуживании (Distributed Denial of Service, DDoS). Суть ее сводится к генерации большого числа паразитного трафика, направляемого на целевые серверы. В случае если генерируемый трафик превышает пропускную способность каналов, обеспечивающих связь серверов с интернетом, либо если обработка трафика отнимает все ресурсы сервера, нормальное функционирование прекращается. Инфраструктура перестает обрабатывать и отвечать на запросы обычных пользователей, что приводит к отказу в их обслуживании. Такие атаки приносят ощутимые прямые убытки для организаций — заказчики не могут воспользоваться сервисами или получить данные о компании.
Мотивы проведения DDoS-атак могут быть разными, начиная от простого хулиганства и заканчивая политическими протестами, но чаще всего они используются как элемент нечестной конкуренции. DDoS-атаки эффективны, их легко заказать на «хакерских» форумах, а вероятность привлечь злоумышленников к ответственности невелика. Именно потому подобные атаки очень популярны при ведении кибервойны против конкурентов.
Технически атаки проводятся с множества разных устройств, чаще всего зараженных вредоносным программным обеспечением (бот-сети). В последнее время также увеличилось число атак со взломанных домашних роутеров и «умной» бытовой электроники (IoT — интернета вещей). Это обстоятельство существенно затрудняет отражение DDoS-атаки, так как делает невозможными точечные блокировки атакующих компьютеров. Чаще всего попытки отразить атаку силами организации сводятся к отключению информационных сегментов от сети и ожиданию окончания атаки. Но продолжительность атак может исчисляться неделями и месяцами, и подобный сценарий способен привести к полному банкротству компании, особенно если ее бизнес нацелен на онлайн-пользователей и оказание сетевых услуг.
Количество и сложность DDoS-атак растет
Руководство многих организаций неохотно выделяет средства на обеспечение информационной безопасности в целом и на защиту от DDoS в частности. В необходимости защиты топ-менеджеры убеждаются после первой направленной атаки, а шанс столкнуться с данной угрозой очень велик. По данным «Лаборатории Касперского», в 2015 году более 17% российских компаний подверглись массовым DDoS-атакам. В общей сложности специалистами зарегистрировано более 120 тысяч атак за 2015 год. Количество неотраженных и незафиксированных атак неизвестно, но оно может быть в несколько десятков раз больше. Прослеживая тенденцию, можно уверенно говорить о том, что объем атак растет ежегодно на 20-30% и темпы роста только наращиваются.
Рисунок 1. Тенденция изменения длительности DDoS-атак, Radware, 2015 год
Аналитические отчеты по мировому интернету показывают еще более пугающие тенденции. В отчете Global Application & Network Security Report 2014-2015, подготовленном компанией Radware, также прогнозируется ежегодный рост атак на 20%. Дополнительно аналитики Radware уточняют, что растет не только число атак, но и их длительность. Почти 20% атак в 2014 году были «постоянными», то есть продолжались более недели и заканчивались только после выстраивания эффективной системы защиты. Все это отражает тренд на повышение эффективности атакующих технологий, растет сложность атак, атакующий трафик всё чаще подделывается под реальный, что усложняет его фильтрацию и одновременно с этим снижает требования по мощности со стороны атакующего. Кроме того, открываются новые типы уязвимостей для заражения и проведения атак, увеличивается число IoT-устройств с низким уровнем защиты — все это существенно расширяет количество доступных для атаки устройств и снижает себестоимость проведения вторжений.
В совместном отчете компаний Qrator Labs и Wallarm «Тренды 2015 года в области интернет-безопасности в России и в мире» показан широкий охват сфер деятельности компаний — жертв DDoS-атак. По статистике, за два года (2014-2015) наиболее часто атакам подвергались интернет-магазины, социальные сети, финансовые компании, платежные системы, сервисы вызова такси, социальные сети и агентства по недвижимости и рекламе. При этом DDoS-атакам подвергаются практически все компании, деятельность которых связана с предоставлением услуг или информации через интернет — это банки, туристические компании, медицинские центры, правительственные ресурсы, СМИ и многие другие.
Компания DDoS-GUARD в отчете по итогам 2015 года в свою очередь указывает, что Россия вышла на третье место в мире по количеству совершаемых DDoS-атак, что делает проблему актуальной не только в мировом, но и в национальном масштабе.
Все эксперты единогласно отмечают, что растет не только сила DDoS-атак, но и их сложность. Зачастую в рамках одной атаки может использоваться несколько техник. Набирают популярность атаки на уровне приложений, которые тяжело обнаруживать и еще тяжелее блокировать без большего количества ложных срабатываний.
Рынок защиты от DDoS
Защита от DDoS-атак может строиться одним из двух основных способов — заказ услуги по защите в специализированной компании по модели SaaS (Security as a Service) или собственными силами с использованием специализированного аппаратного и программного обеспечения с добавлением организационных мер — расширением каналов, балансировкой нагрузки и так далее. В первом случае заказчику услуг не приходится погружаться в технические детали, нанимать специалистов, выстраивать собственную сложную инфраструктуру и расходовать значительные бюджеты.
Услуги по защите от DDoS оказываются по платной подписке, и их цена зависит от скорости фильтрации и количества защищаемых ресурсов. Такой сервис хорошо защищает от популярных атак, направленных на заполнение канала связи (так называемые Volumetric Attacks), но может не давать защиты от «медленных» атак и атак на приложения.
В длительной перспективе обеспечение защиты собственными средствами может быть выгоднее, особенно если речь идет о крупных проектах и инфраструктурах. В большинстве же случаев это потребует непредсказуемого наращивания количества единиц оборудования и повышения связанности сети. В итоге собственная защита дешевле уже не будет, так как у стороннего сервиса, работающего со многими клиентами, всегда будет синергия использования ресурсов, а значит более выгодная цена.
Если компания принимает решение самостоятельно выстраивать систему защиты от DDoS-атак, на помощь приходят крупные международные вендоры, выпускающие специализированное оборудование. Стоимость оборудования достаточно высока, но применение этих мер на постоянной основе оправданно для крупных организаций из группы риска (электронная коммерция, финансовые услуги, СМИ и т. д.).
Возможен и третий вариант, когда заказчик использует комбинацию из оборудования, устанавливаемого для защиты от «медленных» атак или атак на уровень приложений, и услуги от оператора связи для защиты от атак на каналы связи.
В данном обзоре мы рассмотрим две группы игроков рынка защиты от DDoS-атак:
- производители специализированного оборудования;
- компании, предоставляющие защиту как услугу по модели SaaS.
По данным анализа от IDC, приведенном в документе Worldwide DDoS Prevention Products and Services, объем рынка производителей решений для защиты от DDoS-атак составил $364.7 млн в 2015 году с ростом почти в 20% по сравнению с предыдущим годом. Рынок услуг чуть меньше — $301.5 млн с ростом в 16%. В будущем аналитики IDC предсказывают равномерный рост обоих рынков на 10-15% в год, что говорит о развитии данной области информационной безопасности и дополнительно подтверждает актуальность проблемы для заказчиков.
Рисунок 2. Распределение рынка защиты от DDoS-атак между производителями оборудования и компаниями, предоставляющими SaaS-сервисы по защите, IDC, 2013 год
По подсчетам IDC, доли рынка сервисов и продуктов распределяются в соотношении 45% к 55% и, по прогнозам, в ближайшие пару лет эти цифры сохранятся. При этом важно отметить, что сегменты услуг и оборудования тесно взаимосвязаны, так как провайдеры услуг, за редким исключением, используют в своей работе готовые продукты, таким образом обеспечивая вендорам серьезный процент продаж.
Рынок программно-аппаратных комплексов для защиты от DDoS
Производители аппаратного обеспечения для защиты от DDoS-атак выделены в отдельную группу в данном обзоре, так как эти компании чаще всего сами не оказывают услуг по защите, они являются вендорами, производящими специализированное оборудование. Аналитики Frost & Sullivan в 2013 году оценили вендоров, предлагающих устройства для защиты от DDoS. В отчете Analysis of the Global Distributed Denial of Service (DDoS) Mitigation Market указывается, что по уровню проникновения на глобальный рынок и выполнения запросов заказчиков в лидерах находятся компании Arbor Networks и Radware.
Рисунок 3. Лидирующие производители оборудования для защиты от DDoS, Frost & Sullivan, 2013 год
Важно отметить, что лидирующее положение Arbor Networks на графике основано во многом на инсталляциях мониторинговых систем у операторов для анализа сетевых характеристик и флудов, а не для задачи непосредственно защиты от DDoS.
Из рейтинга Frost & Sullivan в России представлены почти все компании, кроме Rio Rey и Corero Network Security. Из них Arbor Networks и Radware наиболее заметны и занимают существенный объем на отечественном рынке. Следует отметить компанию Check Point, которая не вошла в отчет Frost & Sullivan, но также широко представлена в России.
Российские вендоры на этом рынке представлены слабо. У компании «МФИ Софт» есть вполне конкурентоспособный продукт «Периметр». Компания «Иновентика технолоджес» разрабатывает продукт invGUARD, но его текущий статус не ясен. Остальные российские игроки рынка оказывают услуги по модели SaaS и не производят готовых программно-аппаратных комплексов.
Radware
Компания Radware занимается разработкой сетевого оборудования для обеспечения отказоустойчивости и бесперебойности нагруженных сетевых сервисов, а также информационной безопасностью. Наибольших успехов эта международная компания, имеющая офисы по всему миру, добилась на рынке балансировщиков нагрузки и средств защиты от DDoS-атак.
Radware DefensePro является линейкой сетевых устройств, предназначенных для обеспечения защиты от DDoS-атак для любых инфраструктур, — производительность младших моделей начинается от 200 Мбит/с легитимного трафика, а старшие модели обеспечивают прохождение трафика на скорости до 160 Гбит/с.
Помимо DefensePro в портфеле Radware имеются услуги защиты от DDoS-атак по модели SaaS — DDoS Attack Mitigation Service, DefensePipe и DefenseFlow. Поэтому Radware можно одновременно считать и продуктовой и сервисной компанией.
Преимущества:
- Широкая линейка продуктов. Есть защита как от сетевых атак, так и атак на приложения, включая атаки на уровне веб-приложений. Поведенческий анализ до 7 уровня.
- Комплексное автоматизированное решение для защиты дата-центров в одном устройстве.
- Лицензирование по легитимному трафику. Минимальный ущерб легитимному трафику.
- Возможность обеспечения защиты от большинства атак с настройками по умолчанию без необходимости сложного конфигурирования продукта во время атаки.
- Автоматическая генерация сигнатур (18 секунд), подстраивающихся под конкретные атаки без вмешательства персонала.
Подробнее о Radware DefensePro
Arbor
Компания Arbor — подразделение холдинга NetScout Systems, специализирующееся на защите от DDoS-атак. Arbor выпускает устройства высокого класса защиты Pravail, предназначенные для дата-центров, а также устройства Peakflow для дополнительной установки непосредственно у конечного заказчика. По этой причине устройства Arbor наиболее популярны у российских компаний, предлагающих свои услуги по защите от атак. Arbor производит не только автономные защитные комплексы, но и гибридные — использующие облако Arbor для поддержки в фильтрации трафика.
Arbor Network TMS — решение для независимого функционирования, позволяющее обеспечить автономную защиту от DDoS-атак. Линейка TMS насчитывает три уровня устройств для разных инфраструктур, скорости работы — от 1.5 Гбит/с до 100 Гбит/с.
Arbor Network APS — гибридное решение, использующее облако Arbor для повышения точности и скорости работы. Линейка APS также насчитывает разные серии моделей и позволяет обеспечить производительность до 40 Гбит/с, при этом максимальная скорость регулируется не только аппаратными ограничениями, но и лицензией, которая включает в себя облачные услуги. Отдельно в линейке APS представлено виртуальное решение (appliance), которое может быть развернуто в Hyper-V или KVM-инфраструктуре и обеспечивает фильтрацию до 1 Гбит/с.
Преимущества:
- Наличие гибридных решений, использующих общее облако для улучшения качества защиты от атак.
- Возможность развернуть защитные механизмы в виртуальной инфраструктуре без приобретения дополнительных устройств.
- Широкая линейка продуктов для автономной защиты от DDoS-атак.
Подробнее о продуктах Arbor Network
Fortinet
Компания Fortinet охватывает многие области информационной безопасности, в числе продуктов компании есть и специализированная линейка устройств для защиты от DDoS-атак — FortiDDoS.
FortiDDoS — это аппаратные устройства, осуществляющие фильтрацию сетевого трафика и предотвращающие DDoS-атаки различных видов. В составе продукта присутствуют эвристические анализаторы и модуль предсказания поведения легитимных пользователей. Благодаря этим механизмам устройство способно отличать нормальный трафик от атакующего. Кроме того, устройство обеспечивает базовую защиту от других типов сетевых атак.
Линейка устройств FortiDDoS насчитывает семь устройств, младший продукт в серии — FortiDDoS 200B способен обеспечить пропуск трафика на скорости до 4 Гбит/с, старший — FortiDDoS 2000B поддерживает производительность до 16 Гбит/с.
Преимущества:
- Низкая стоимость по сравнению с конкурентами.
- Широкий набор защитных функций.
- Поддержка модулей расширения, позволяющих увеличить аппаратную функциональность устройств.
- Обучение поведению легитимных пользователей и автоматическое отражение атак, основанное на распознавании аномалий.
Check Point
Признанные лидеры рынка сетевого оборудования стремятся охватить все ниши, включая и защиту от DDoS-атак. Большинство решений являются «побочными» для крупных вендоров, поэтому их продукты редко попадают в лидеры узкоспециализированных рынков. Продукт DDoS Protector от компании Check Point — редкое исключение.
Check Point DDoS Protector — серия специализированных устройств, которая не входит в общую концепцию NGFW-устройств от Check Point. На данные устройства нельзя установить программные блейды или добавить другую функциональность, но это не является недостатком — наоборот, это основной фактор, позволивший Check Point встать в один ряд с лидерами рынка устройств для защиты от DDoS.
Линейка Check Point DDoS Protector насчитывает десять устройств, младшая модель обеспечивает фильтрацию трафика на скорости до 500 Мбит/с, старшая тоже не отличается высокой производительностью — всего до 40 Гбит/с. Решения Check Point для защиты от DDoS-атак уверенно занимают места в малых и средних инфраструктурах.
Преимущества:
- Интеграция управления, мониторинга и работы с журналами в общую инфраструктуру Check Point.
- Общее управление с другим оборудованием Check Point через программный комплекс SmartConsole.
- Большое число модификаций, что позволяет найти подходящее решение без необходимости переплачивать за старшие модели устройств.
- Наличие как эвристических, так и обновляемых сигнатурных анализаторов.
Подробнее о Check Point DDoS Protector
«МФИ Софт»
Это единственная отечественная компания, преуспевшая в разработке устройств для защиты от DDoS-атак. АПК «Периметр» является аппаратно-программным комплексом и предназначен не только для защиты инфраструктуры заказчиков, но и для защиты ЦОДов, он также предоставляет услуги по защите для провайдеров. Для корпоративной инфраструктуры выпускается отдельная версия комплекса — АПК «Скаут», специализированный для быстрого реагирования на медленные атаки и атаки на приложения.
АПК «Скаут» может быть использован совместно с сервисом оператора связи для комбинированной защиты от атак на приложения и атак на канал. Такой комплекс считается наиболее надежной защитой от DDoS-атак всех видов.
«МФИ Софт» декларирует анализ трафика и детектирование DDoS-атак в АПК «Периметр» на скоростях до 1 Тб/с. Очистка трафика производится на скоростях до 640 Гбит/с. Заявленная мощность достигается за счет масштабирования системы. Максимальная скорость, как и у продуктов Arbor, регулируется не только аппаратными лимитами, но и лицензией, при этом перейти на более производительную лицензию можно в любой момент и таким образом обеспечить плавное наращивание пропускной способности.
Управление продуктом осуществляется через современный веб-интерфейс, встроенные системы отчетов и аналитика позволяют следить за состоянием сетевой инфраструктуры и обеспечивают возможность выявления «узких мест» в сети.
Преимущества:
- Низкая стоимость и гибкая система лицензирования.
- Продукт полностью локализован — интерфейс и документация на русском языке.
- Наличие отдельных версий продукта для корпоративных заказчиков и крупных ЦОДов провайдеров.
- Возможность комбинированной защиты — корпоративный АПК защитит от целевых атак, сервис на уровне оператора связи — от атак на канал.
- Наличие российского центра компетенции — лаборатории «МФИ Софт», оказывающей практическую помощь в использовании продукта и повышении эффективности защиты.
Мировой рынок услуг защиты от DDoS (модель SaaS)
По данным аналитиков Forrester, лидерами мирового рынка услуг по защите от DDoS-атак по модели SaaS являются компании Akamai, CloudFlare, CenturyLink и Imperva. Данные компании предлагают разные виды услуг, отличаются по мировому охвату и перечню дополнительных услуг. Посмотрим внимательнее на мировых игроков.
Рисунок 4. Лидеры рынка услуг защиты от DDoS, Forrester, 2015 год
Akamai Technologies (Prolexic)
Akamai Technologies — компания, специализирующаяся на поставке услуг для ускорения веб-сайтов, доставки контента и поддержки высоконагруженных публичных сервисов. В 2014 году Akamai приобрела компанию Prolexic, занимающуюся закрытой разработкой технологий защиты от DDoS-атак и предоставлению услуг по защите. На данный момент Akamai Technologies является лидером международного рынка услуг по защите от DDoS-атак, по версии аналитиков Forrester.
C покупкой Prolexic защитная инфраструктура Akamai приобрела технологию Kona Site Defender для защиты веб-приложений не только от DDoS-атак, но и от эксплуатации различных уязвимостей — услуга обладает функциональностью Web Application Firewall (WAF). Комбинация двух продуктов позволяет Akamai предоставлять высокий уровень защиты для любой категории заказчиков в рамках пакета услуг Akamai Cloud Security.
Дата-центры Akamai расположены в Серверной Америке, Западной Европе и Азии, поэтому доступ к данным для большинства пользователей осуществляется без существенных задержек.
Преимущества:
- Признанное лидерство на рынке, высокое качество защиты.
- Широкая сеть дата-центров обеспечивает низкие задержки и высокую производительность для всех пользователей.
- Отсутствие необходимости установки какого-либо дополнительного оборудования или программного обеспечения в защищаемую инфраструктуру.
Подробнее об услугах Akamai Cloud Security
CloudFlare
CloudFlare, как и Akamai, специализируется на ускорении веб-сайтов и доставке контента, оказывая при этом и услуги по защите инфраструктуры. CloudFlare использует собственные закрытые разработки и кроме защиты от DDoS-атак предлагает встроенную функциональность WAF и защиту от SQL-инъекций.
Как и в случае с Akamai, переключение инфраструктуры для перенаправления трафика через облако CloudFlare не требует дополнительного программного или аппаратного обеспечения.
Мировой охват дата-центров CloudFlare больше, чем у всех конкурентов — Северная и Латинская Америка, Европа, Северная и Южная Азия. Пул заказчиков CloudFlare включает такие известные компании, как Google, Microsoft и IBM, поэтому сомневаться в репутации компании не приходится.
Преимущества:
- Подробная аналитика и отчеты по нагрузкам и атакам на инфраструктуру.
- Ряд дополнительных функций, включая возможность добавления SSL-защиты трафика, поддержку белых списков IP-адресов, защиту каналов управления и другие.
- Защита от эксплуатации уязвимостей и SQL-инъекций.
- Фиксированные тарифные планы и низкая стоимость услуг по сравнению с конкурентами.
- Наличие бесплатной подписки с базовой защитой от DDoS-атак.
Подробнее об услугах CloudFlare
CenturyLink
CenturyLink не специализируется на предоставлении услуг по защите от DDoS-атак, поэтому компания не занимается собственными разработками, а предоставляет защиту по подписке CenturyLink DDoS Mitigation Service на базе оборудования Arbor.
Никаких дополнительных услуг в комплекте к защите от DDoS компания CenturyLink не предоставляет, однако заказчики могут воспользоваться широким спектром других услуг этого вендора — облачный хостинг, IP-телефония, доступ к бизнес-приложениям и многое другое.
CenturyLink размещает собственные серверы только в Северной Америке, Западной Европе и Японии, поэтому пользователи из Азии и других стран могут испытывать значительные задержки в прохождении трафика даже при отсутствии активных атак.
Преимущества:
- Широкий набор оказываемых услуг в области ИТ и ИБ, возможность получить DDoS-защиту как дополнение к другим услугам.
- Использование оборудования от известного вендора обеспечивает высокий уровень защиты от атак.
Подробнее об услуге CenturyLink DDoS Mitigation Service
Imperva
Imperva предлагает специализированную услугу по защите от DDoS-атак — Incapsula Website DDoS Protection. Дополнительно компания предоставляет защиту DNS-серверов и комплексной инфраструктуры заказчиков. Такое разделение предложений позволяет сэкономить средства и сконцентрироваться только на защите необходимых сервисов.
Вся защита Imperva строится на внутренних разработках и технологиях дочерней компании Incapsula. Дополнительно заказчикам предлагаются услуги по защите веб-сайтов от эксплуатации уязвимостей.
Дата-центры компании расположены по всему миру, и — конкурентное преимущество — у Imperva есть собственные дата-центры в Восточной Европе, доступ к которым из России осуществляется с меньшим временем отклика, в отличие от других географически удаленных стран.
Преимущества:
- Специализированные сервисы по защите веб-сайтов и DNS-серверов.
- Постоянный внешний мониторинг со стороны представителей Imperva за обеспечением защиты для сервисов заказчиков.
- Распределенные защитные механизмы, работающие по принципу «многие ко многим», обеспечивают прозрачную балансировку нагрузки и распределение входящего трафика по различным облакам и серверам Imperva.
- Быстрое переключение инфраструктуры в режим защиты без необходимости установки дополнительного программного и аппаратного обеспечения.
Подробнее об услугах Imperva Incapsula
Российский рынок услуг защиты от DDoS (модель SaaS)
Российский рынок не отстает от мирового по количеству игроков, предлагающих услуги по защите, но большая их часть — реселлеры услуг или специализированные веб-хостинги, зачастую размещающие серверы заграницей. А ведь именно расположение дата-центров на территории России делает отечественных игроков интересными для заказчиков. Ни одна международная компания, предоставляющая услуги по защите от DDoS-атак, не обладает мощностями на территории России, что затрудняет предоставление доступа к сервисам заказчиков для пользователей из России. Поэтому наибольшее доверие здесь заслужили компании Qrator и «Лаборатория Касперского». Есть и более молодые сервисы - DDoS-Guard и IP PIER (победитель Skolkovo Cybersecurity Challenge 2015).
Помимо специализированных компаний, предлагающих защиту от DDoS по модели SaaS, многие операторы связи также предлагают услуги по защите для своих клиентов. Такие компании закупают оборудование для фильтрации DDoS-атак и сдают его мощности в аренду для клиентов, обеспечивая защиту всего канала связи без необходимости перенаправления трафика через SaaS-провайдеров. Крупнейшими операторами связи, предлагающими такие услуги, являются компании «Ростелеком», МТС, «Вымпелком», «Мегафон» и другие.
Специализированные сервисы
Qrator Labs
Qrator Labs — российская компания, основанная в 2009 году выпускниками МГУ и специализирующаяся на услугах по защите от DDoS-атак и обеспечению доступности интернет-ресурсов в целом. Также в портфеле компании представлены услуги по проведению аудита инфраструктуры, нагрузочному тестированию, защите сайтов от взлома и другие дополнительные сервисы.
Помимо вышесказанного, с 2014 года компания развивает собственную систему глобального мониторинга взаимодействия AS (автономных систем) в интернете — Radar.Qrator. Система моделирует глобальную сеть и путем сравнения результатов мониторинга с моделью делает выводы о наличии инцидентов доступности (DoS) отдельных AS. Это позволяет выявлять как непреднамеренные, так и специально организованные ошибки маршрутов прохождения трафика в сети, которые приводят к недоступности отдельных сегментов интернета или даже к тайному контролю трафика целевых сетей. Сегодня подписчики системы — более 2000 интернет-провайдеров по всему миру.
Qrator Labs использует собственные технологии и предоставляет заказчикам облачные услуги по фильтрации трафика от DDoS. Мощность собственной сетевой структуры Qrator Labs позволяет обеспечивать анализ и фильтрацию трафика со скоростью свыше 1000 Гбит/с.
Компания предлагает фиксированные тарифные планы и онлайн-кабинет для самостоятельной регистрации и подключения защиты. Базовая стоимость услуг относительно низкая, но пропущенный сверх определенного лимита легитимный трафик оплачивается дополнительно. Подобная схема тарификации не всегда прозрачна и предсказуема для заказчиков и может обернуться неожиданными расходами.
Преимущества:
- Собственные технологии фильтрации и экспертиза в области защиты от DDoS-атак с акцентом на уровень интернет-приложений (L7).
- Разные уровни защиты: защита конечного ресурса, защита инфраструктуры оператора, защита DNS-серверов.
- Собственный центр исследований и разработок, расположенный в России, техническая поддержка на русском языке.
- Защита реализована на базе облачного решения, при этом узлы облака распределены по всему миру, так что качество защиты не зависит от географии защищаемых ресурсов.
- Уникальные алгоритмы фильтрации шифрованного трафика (HTTPS) без использования ключей шифрования.
- Интеграция с системами управления и мониторинга заказчика.
- Широкий набор тарифных планов, прозрачные гарантии качества и зафиксированные в договоре обязательства перед заказчиками.
- Тарифы в российских рублях, что является страховкой от скачков курсов мировых валют.
- Большой выбор дополнительных услуг, в том числе защита сайта от взлома (WAF).
Лаборатория Касперского
Kaspersky DDoS Prevention — комплексное решение для защиты инфраструктуры заказчиков от DDoS-атак. В отличие от многих конкурентов, «Лаборатория Касперского» предлагает подход к фильтрации DDoS-атаки on-demand, при котором трафик переводится на центр очистки только в случае обнаружения DDoS-атаки. Это исключает ложные срабатывания системы фильтрации в период отсутствия атаки. Отслеживание трафика на предмет любых DDoS-атак, включая атаки на прикладном уровне, осуществляет приложение-сенсор, которое должно быть развернуто в инфраструктуре клиента. Детектирование злонамеренной активности осуществляется дежурной сменой специалистов «Лаборатории Касперского», которая уведомляет клиента об атаке и предлагает перенаправить трафик на центр очистки с помощью механизмов перенаправления DNS и BGP. Кроме защиты on-demand «Лаборатория Касперского» предоставляет решение always-on с однократным перенаправлением трафика на центр очистки на весь период обслуживания. В случае защиты always-on никакого дополнительного оборудования клиенту устанавливать не требуется.
В облаке Kaspersky DDoS Prevention реализованы механизмы статического анализа трафика для формирования профилей нормальной активности и поведенческий анализ для отслеживания отклонений в поведении пользователей и блокировки нестандартной активности. Дополнительно уровень обнаружения повышают принципы экспертного анализа Kaspersky DDoS Intelligence.
Отдельно стоит отметить «Сертификат качества» — подробное описание SLA по качеству предоставления услуг. «Лаборатория Касперского» полностью берет на себя все обязательства по оперативной и эффективной защите от DDoS-атак, максимальной скорости прохождения трафика, а также по выполнению сроков ответа на обращения к экспертам технической поддержки.
Преимущества:
- Возможность использования услуг «Лаборатории Касперского» по защите от DDoS-атак как по запросу, так и постоянно, в зависимости от потребности клиента.
- Наличие системы раннего предупреждения DDoS-атак, генерируемых ботнетами — Kaspersky DDoS Intelligence.
- Высокий уровень защиты и документально зафиксированные обязательства «Лаборатории Касперского» перед заказчиками.
- Единственное подобное решение, обладающее сертификатом ФСТЭК.
- Собственный центр исследований и разработок, расположенный в России, техническая поддержка на русском языке.
- Тарифы в российских рублях, что является страховкой от скачков курсов мировых валют.
Подробнее о сервисе Kaspersky DDoS Prevention
Обзор сервиса Kaspersky DDoS Prevention
Операторы связи
Ростелеком
Оператор связи с государственным участием «Ростелеком» — без преувеличения крупнейший магистральный и локальный провайдер и серьезный игрок на рынке операторов ЦОД. Оператор оказывает дополнительные услуги по защите от DDoS-атак для заказчиков, подключенных к интернету через «Ростелеком», и для операторов связи, использующих магистральные каналы «Ростелекома».
Для обеспечения защиты используется оборудование Arbor. Услуга доступна практически по всей стране и, в отличие от конкурентов, защита осуществляется не в облаке компании, а непосредственно на каналах связи между внешней сетью и заказчиком. Данный подход позволяет не только использовать DDoS-защиту без перенастройки инфраструктуры, но и помогает свести к минимуму задержки в прохождении легитимного трафика от пользователей к заказчику.
Все заказчики «Ростелекома», подключившие услугу по защите, получают доступ к клиентскому порталу, где могут самостоятельно отслеживать сетевую активность и наличие DDoS-атак, а также управлять базовыми настройками защиты и вручную включать и отключать защитные механизмы.
Преимущества:
- Фильтрация трафика непосредственно в сети оператора без дополнительных задержек и снижения времени доступа для пользователей.
- Возможность ручного и автоматического управления системой защиты от DDoS-атак. В автоматическом режиме локальная защита, в случае невозможности справиться с атакой заказчик может подключать услуги защиты от оператора.
- Автоматизированные отчеты по нагрузкам и отраженным DDoS-атакам.
- Использование качественного оборудования Arbor Peakflow.
Подробнее об услуге защиты от DDoS от «Ростелеком»
Важно! Аналогичные «Ростелекому» услуги защиты от DDoS оказывают и другие крупнейшие операторы связи: «МегаФон», МТС, «Вымпелком» («Билайн»), Orange Business Services (услуга Internet Umbrella).
Новые сервисы
DDoS-GUARD
DDoS-GUARD — довольно молодая компания, основанная в 2011 году. Изначально это лицензированный специализированный хостинг-провайдер, который использует для фильтрации клиентского трафика оборудование собственной разработки. Фильтрующее оборудование располагается в дата-центрах в России, Германии, Нидерландах, Японии, планируется организация точки фильтрации в США. Общая канальная емкость сети, анонсируемая компанией, — более 1.5 Тб/с. Компания заявляет о возможностях отражения атак на скорости более 240 Гбит/с.
Компания делает ставку на геораспределение точек фильтрации, так как это позволяет эффективно нивелировать негативное влияние атак.
Особенности услуги DDoS-GUARD:
- Постоянный мониторинг всего входящего и исходящего трафика защищаемого ресурса 24/7, а не только при атаках.
- Возможно подключение защиты удаленно (проксирование, виртуальный туннель) или физическим линком.
- Гибкая система лицензирования.
- Личный кабинет с доступом к статистике трафика.
Подробнее об услуге DDoS-GUARD
IP PIER
IP PIER — молодая российская компания, основанная в 2015 году выходцами из Яндекс и Mail.ru. Компания специализируется на комплексной защите от DDoS атак и защите от ботов, фокус компании направлен на защиту интернет-ресурсов на уровне приложений.
IP PIER делает упор на свою технологию Active Bot Protection, которая позволяет с высокой вероятностью определять ботов и блокировать их.
В конце 2015 года IP PIER совместно со SkyparkCDN запустили облачный сервис, который объединил технологии по защите от DDoS-атак и CDN, что позволило заказчикам минимизировать расходы на защиту, при этом быть ближе к своим клиентам. Общая канальная емкость сети составляет более 2 Тб/с.
Преимущества:
- Защита от DDoS-атак и обеспечение высокой доступности защищаемых интернет-ресурсов;
- Защита от кражи контента и автоматического парсинга;
- Выявление и блокирование единичных обращений ботов;
- Блокирование запросов ботов, без блокирования по IP-адресам;
- Расширенные возможности по защите https без раскрытия трафика;
- Оптимизация затрат при использовании CDN.
Подробнее об услугах IP PIER
Подробнее об SkyparkCDN
Выводы
Защита от DDoS-атак необходима любой компании, предоставляющей доступ к онлайн-сервисам, поскольку подобные угрозы могут существенно навредить бизнесу и нанести серьезный финансовый и репутационный ущерб. Рынок предлагает широкий ассортимент методов и способов обеспечения защиты.
Если инфраструктура компании не ограничивается веб-сайтом и постоянно подвергается внешним атакам, следует рассмотреть вариант приобретения и внедрения аппаратного решения по автономной защите от DDoS-атак или заключить договор на защиту веб-сайта с оператором связи. Дополнительно необходимо позаботиться о резервировании каналов связи, что усложняет задачу. Универсальным вариантом является использование услуг облачной защиты от DDoS-атак — это подходит как для небольших компаний, эксплуатирующих только веб-сайты без большой нагрузки, так и для компаний, не имеющих достаточных средств, желания или квалифицированного персонала для самостоятельной защиты и решения проблем с дублированием каналов связи.
При выборе услуги по защите от DDoS в первую очередь следует оценить собственную аудиторию онлайн-сервисов. Если большая часть пользователей находятся на территории России — предпочтение стоит отдавать отечественным поставщикам услуг. Если клиентами являются пользователи из разных стран, выбор делается в пользу транснациональных компаний. Важно отметить, что российские специализированные компании, например, Qrator Labs и «Лаборатория Касперского» и другие, имеют центры очистки трафика зарубежом и в техническом плане их могут рассматриваться в качестве глобальных игроков.
Qrator Labs и «Лаборатория Касперского» предлагают похожие услуги, но отличаются по технической реализации и фокусом на целевой аудитории. Сервис «Лаборатории Касперского» изначально ориентирован на крупные компании и работает в высоком ценовом сегменте. В то время как Qrator Labs оптимален для среднего бизнеса и занимает средний ценовой сегмент. Относительные новички рынка — DDoS-GUARD и IP PIER — в свою очередь пока ориентированы на низкий и средний ценовой сегмент.
Также на российском рынке услуг защиты от DDoS активно работают крупные операторы связи, такие как «Ростелеком», МТС, «Билайн», «Мегафон» и Orange Business Services. Они оказывают услуги на базе оборудования Arbor, Radware и «МФИ Софт». В отличие от специализированных компаний, операторы обеспечивают защиту на уровне собственной сети, без подключения сторонних облаков и без накладных потерь на транспортировку трафика.
DDoS-GUARD с одной стороны является хостинг-провайдером, но с другой стороны оказывает услуги фильтрации трафика на базе своего собственного решения, аналогично Qrator Labs и «Лаборатории Касперского».
Среди мировых игроков рынка услуг по защите от DDoS выбор следует делать основываясь на размере инфраструктуры и бюджета. Лучшее качество защиты обещает компания Akamai Technologies, но их услуги обходятся откровенно дорого. CloudFlare является лидером в низком ценовом сегменте, а Imperva и CenturyLink занимают средние позиции.
При выборе аппаратных решений стоит обратить внимание на их стоимость, технические характеристики и эффективность. Признанными лидерами рынка являются компании Arbor и Radware, но решения от этих вендоров нельзя назвать бюджетными. Российский аналог «МФИ Софт» подойдет любому заказчику, желающему работать с отечественным продуктом и получать техническую поддержку на родном языке. Компромиссным вариантом является покупка устройства от неспециализированных вендоров — Fortinet, Check Point и других. Следует также принять во внимание существующую сетевую инфраструктуру: некоторые вендоры, например Check Point, объединяют управление и мониторинг устройств с разной функциональностью в общую консоль управления, что помогает сэкономить средства на обслуживании устройств и повышает удобство работы с ними.