Сегодня в программе:

Спикеры вендора:

Сегодняшнее мероприятие ведет Андрей Фролов, «Лаборатория Касперского». Он отвечает за развитие бизнеса по направлению защиты от DDOS-атак. Сегодня он расскажет про то, какие цели преследуют злоумышленники, когда атакуют ресурсы заказчиков, какие есть варианты защиты от атак злоумышленников. Начнем со статистики.

Уже начиная со времен пандемии количество DDOS-атак в мире сильно росло. Если говорить про Россию, то мы видим просто лавинообразное увеличение количества DDoS-атак начиная с 2022 года. Это количество, мне кажется, не планирует уменьшаться, только будет расти. И месяц от месяца, год от года оно постоянно увеличивается. Интересно, что последний тренд, который используют атакующие, это атака на всю подсеть, на все ресурсы заказчика внутри автономной системы.

Не все менеджеры умеют с этим бороться. Для того, чтобы была возможность защититься от этого, вся сеть заказчика и вся подсеть должны быть заведены под защиту. Многие наши заказчики этим пользуются, а те, кто не пользуется, уже в момент атаки приходят к нам и мы их защищаем.

Какие мы видим цели у злоумышленников? Мы видим основные четыре цели при формировании DDoS-атак. Но при этом, надо сказать честно, что последние пару лет основная цель это все-таки «Хактивизм». Хактивизм и какие-то заказные атаки на наши ресурсы со стороны недружественных стран. Почему это так популярно? А всё связано это с тем, что это всё очень дешево.

Есть масса ресурсов, на которых можно заказать DDoS-атаки на любого заказчика. Есть масса сервисов, которые позволяют оплатить DDoS-атаки анонимно. И вы закажете атаки и никто никогда вас не найдет. И не узнает, что вы так вот напакостили какому-то конкуренту или какой-то госструктуре. Но защищаться от этого нужно.

И вариантов защиты не так уж и много, на самом деле их четыре. Начнем, наверное, с защиты для провайдера. Эта защита хороша тем, что в принципе ее достаточно просто подключить. У всех есть свои провайдеры, которые предоставляют каналы передачи данных. Большинство этих провайдеров имеет защиту от DDoS-атак и вы можете ее подключить. Единственное ограничение, что если вы используете решение от провайдера, то у вас с большой долей вероятности не будет защиты на уровне приложения от каких-то медленных, сложных атак. Поэтому это такое ограниченное решение. Этот вариант защищает заказчиков от DDOS-атак. При этом надо сказать, что решение провайдера зависимое. Вам тяжело будет поменять своего провайдера, с которым у вас настроено взаимодействие в плане защиты от DDOS-атак. Ну и самый простой, самый, наверное, правильный метод защиты – это защита облачная. Заказчики получают от провайдера независимое решение, если выбирают облачную защиту. Получают защиту от всех типов атак. Ну и, собственно, точно также могут подключиться достаточно просто. В течение одного часа можно встать под защиту. Время зависит на самом деле по большей части от самого заказчика. Если говорить про наше решение и про те варианты защиты, которые существуют, то мы сейчас покрываем все варианты. У нас есть железное решение для провайдеров, которые можно поставить на территорию, на центр провайдера или партнера. Есть решение с фильтрующими нодами на стороне заказчика. Естественно, есть облачное решение, как основной продукт.

Хочется отметить, что у нас есть встроенная защита от бота. В принципе, многие заказчики уже используют WAF, но мы готовы обогащать эти WAF-ы своими данными. Практически любые WAF-ы. У нас есть условно бесплатная App Protect.

У нас заказчики сами поддерживают это решение. Мы просто передаем все рычаги управления, а они сами управляют им. Соответственно, если у них с WAF будут какие-то проблемы, они сами эти проблемы решат. Есть партнерские WAF, они коммерческие.

Перейдём теперь к нашему продукту. На этом слайде, общее описание нашего решения. Как мы себе представляем продукт Kaspersky DDoS Protection или KDP. Он состоит из трех больших групп. Основная, это конечно же, SLA. У любого продукта, связанного с защитой DDoS, это самый важный документ, который описывает зоны ответственности между поставщиком услуги, в данном случае KDP, и самим заказчиком. Описывает, какой уровень доступности сервисов, описывает какие пороги, какое максимальное количество трафика, максимальное количество легитимного трафика, максимальное количество трафика атаки.

Есть у нас еще описание нашего продукта, оно тоже выложено онлайн, это база знаний. Есть клиентские и партнерские порталы, это все относится к нашим интерфейсам.

Если говорить про схемы внедрения, то мы поддерживаем любые схемы внедрения. От простейшего проксирования до сложных маршрутизаций, выстраивания прямых линков с заказчиками. Причем заказчик сам определяет, какая схема подключения ему наиболее интересна, больше всего ему подходит. Мы за это не берем деньги.

Теперь более подробно про наши преимущества. Первое – это любые схемы развертывания. Если заказчик хочет on prem, мы сделаем ему on prem. Заказчику нужно облачное решение, сделаем облачное решение. У нас три дата-центра очистки в Москве, Европе, есть в Канаде. Сейчас прорабатываем вопрос, чтобы сделать центр очистки в  странах нашего бывшего Советского Союза, в Казахстане, Узбекистане или Киргизии. У нас прозрачный SLA, который доступен из Интернета. Есть техническая поддержка. Продукт наш довольно давно в лаборатории, он жил и развивался как решение для Enterprise клиентов. Мы понимаем, что условному Enterprise заказчику иногда легче взять трубку телефона, позвонить нам и попросить что-то сделать или написать письмо. Поэтому с нами можно связываться по телефону, по почте. Многие вопросы можно решить через клиентские порталы, но опять же не все наши заказчики это делают. Защита шифрованного трафика без раскрытия сертификата, защита на уровне приложения без раскрытия сертификата.

У нас большое количество крупных заказчиков. Мы и надеемся, благодаря тому, что у нас сейчас появляются партнерские схемы с разными телекомоператорами, планируем выйти и в сторону SMB-бизнеса. Мы смотрим с оптимизмом в сторону SMB-бизнеса. Надеемся, что этот сегмент тоже вдальнейшем займет большую долю нашего бизнеса. Ну и естественно, самое главное наше достоинство, самое главное наше отличие от конкурентов, это то, что у нас есть сертификат ФСТЭК. Поэтому у нас очень много госзаказчиков, которым как раз этот сертификат в ФСТЭК и нужен.

Далее небольшие скриншоты наших порталов. Для начала это клиентский портал. Заказчик может практически сделать все, обратясь в техническую поддержка и она решит все его проблемы. Но при этом мы сделали очень удобный функциональный клиентский портал. Клиенты могут самостоятельно посмотреть информацию о ресурсах, об атаках, об аномалиях, посмотреть, какой у них трафик, добавить сертификат к ресурсу, сделать так, чтобы сертификат автоматически выпускался

Партнерский портал разрабатывался для схем с партнерами, чтобы партнерский портал предоставлял billing услуг, употребляемых заказчиками, чтобы партнеры могли самостоятельно заводить заказчиков под нашу защиту, не только ресурсы заказчиков, но и всю сеть целиком. Партнеры сейчас, те, с которыми мы подписали соглашения, они это активно используют.

Теперь перейдем к лицензированию. У нас достаточно простое лицензирование, и если говорить про какие-то основные метрики лицензионные, то их на самом деле две. Это резервированная полоса пропускания и количество защищаемых ресурсов. Полоса пропускания – это полоса необходимая для очищенного трафика всех защищаемых ресурсов. Мы считаем только легитимный трафик. Собственно, защищаемые ресурсы – это IP-адреса или инфраструктура интернет-сервисов, определяемая IP-адресами. То есть фактически мы лицензируемся по количеству защищаемых IP-адресов. Мы всегда готовы помочь заказчику выбрать наиболее оптимальный для него вариант. Понятно, что, если к нам приходит заказчик говорит вот у меня есть «автономка», я хочу все что там есть защитить. Мы говорим здорово, но это будет очень дорого. Поэтому давайте мы защитим ваши подсети целиком, заведем их на нас. Они будут как ресурс целиком. И из этих подсетей выберем наиболее важные для вас ресурсы. Их отдельно заведем, чтобы оптимальные решения получить и как-то сэкономить, и не платить каких-то совсем уж гигантских денег.

Типы лицензии у нас исторически сложились. Сертифицированная версия, у нее есть три тарифа. Стандарт, Ultimate и Ultimate+. Отличаются они уровнем SLA и включенной полосой пропускания легитимного трафика. Стандарт - это до 100 мегабит, ultimate от 100 до 300 мегабит и ultimate plus - это все, что больше 300 мегабит. Соответственно, чем больше ресурсов защищает заказчик, тем дешевле для него становится стоимость защиты одного ресурса.

Наверное, в начале прошлого года мы сделали вторую часть нашего прайс-листа. Мы разместили несертифицированную версию и добавили ее в прайс и с ней сертифицированную версию, сделали большее количество тарифов, там есть тарифы, которые актуальны для SMB-заказчиков, тарифы на 25 и 75 мегабит легитимного трафика. Соответственно, стоимость несертифицированной версии, она естественно ниже, чем сертифицированной. Ну то есть если это госзаказчики, ну скорее всего они хотят сертифицированную версию. Мы предлагаем выбирать заказчикам самим. Обычно считаем несколько вариантов, показываем сколько стоит каждый вариант, какой уровень SLA получают они. Заказчик выбирает решение, а дальше мы пилотируем. Время на пилотный проект дается две недели, пилотный проект – достаточно стандартная процедура. Если у вас есть потенциальные заказчики, которые хотели бы посмотреть, но даже условно говоря не знают, какой у них трафик, мы вместе с вами проведем пилотный проект. Он абсолютно бесплатный для заказчика и для партнера. По итогу мы посмотрим, удовлетворен ли решением заказчик. Понятное дело, что не всегда во время проведения пилотного проекта на заказчика идут DDoS-атаки. Сами мы DDoS-атаки не формируем, если во время пилотного проекта DDoS-атак не было, заказчик сможет понять, что схема собрана, нормально функционирует, нет никаких задержек. Во время коммерческого использования он уже сможет понять насколько она качественно отрабатывает и защищает от DDoS-атак.

На сертифицированные и на не сертифицированные версии мы продаем годовые лицензии. У нас есть помесячные лицензии, они предназначены для MSSP-партнеров. Соответственно, для обычных реселлеров-интеграторов это все-таки помесячные лицензии. НДС не облагаются.

У нас есть такой небольшой опросник. Файл, который мы используем для расчета спецификации, для расчета стоимости подключения для заказчиков. Соответственно, некоторым заказчикам он кажется сложным, поэтому если ваши заказчики говорят, что не готовы заполнить опросник, эти 8 вопросов, которые им нужно отправить, ответы на которые помогут нам сформировать ориентировочную стоимость решений.

Затем презентацию продолжил Вячеслав Кириллов (Technical Account Manager). Он начал свой рассказ про портал, который есть у компании «Лаборатория Касперского», есть у нее и партнерский портал.

Вячеслав начал говорить об интерфейсе партнерского портала. Наши партнеры, в первую очередь, это провайдеры связи, которые хотят перепродавать услугу по защите от DDOS-атак и самостоятельно заниматься подключением клиентов. Для таких партнеров у нас есть партнерский портал, через который они могут непосредственно работать с клиентами: заводить их самостоятельно, создавать объекты защиты и в целом даже оказывается поддержку на уровне 1-2 линии. Если им нужна какая-то экспертная оценка либо экспертный пресейл, мы всегда готовы помочь.

На сайте указана в первую очередь информация о клиенте, то есть просто обычное описание и название. У каждого клиента есть объект защиты. Это сущность, которая отвечает непосредственно за защиту от DDOS-атак. Объект защиты – это не обязательно один IP-адрес, это может быть группа IP-адресов. Важно понимать, что объект защиты – это в первую очередь ресурс, по которому будет применяться фильтрация. То есть, если заказчик хочет применять какие-то уникальные настройки для определенного IP-адреса, он должен создать несколько объектов защиты.

Сейчас посмотрим более подробно, какие настройки доступны партнерам. В первую очередь, это ограничение трафика, который доступен по количеству битов в секунду и по количеству пакетов. Обычно партнер вставляет значение равной лицензии для того, чтобы клиент не переплачивал за превышение полосы пропускания. Дополнительно можно для улучшения защиты открыть определенные порты. То есть, если установлены определенные порты, то защита будет работать лучше, будут применяться особые фильтры для данного сервиса и защита будет точнее отфильтровывать трафик и будет меньше негативного влияния на все остальное при фильтрации. Дополнительно можно отключить обнаружение атак, доступны также настройки перенаправления трафика на локальный центр очистки, можно установить определенные пороги, включить и отключить фильтрацию. Все это можно настроить непосредственно через партнерский портал. Также партнерам доступна информация об атаках по всем ресурсам, по всем их клиентам.

То есть партнер может получить отчеты, скачать их за периоды и, соответственно, оказать поддержку по тому или иному вопросу для клиента. Точно также доступна биллинговая информация по каждому клиенту, сколько изучаемых ресурсов и лицензий утилизирует тот или иной клиент, какое количество трафика проходит через систему.

Есть у нас точно так же личный кабинет непосредственно для клиентов, то есть обычно этот кабинет мы разрабатывали под Enterprise заказчиков. Здесь уже доступна более глубокая аналитика по непосредственно изучаемым ресурсам. Можно, здесь и управлять конфигурацией ресурсов.

В принципе, все основные задачи, которые необходимы более-менее в подгруженном проекте, они доступны непосредственно на портале, если необходимо добавить какие-то более-менее сложные настройки, которые не доступны через портал, всегда это можно сделать через нашу техническую поддержку. Повторюсь, мы разрабатывали этот портал под Enterprise, и он у нас заточен под инженеров, которые разбираются в Onshinx и могут самостоятельно управлять ресурсом. Но если есть какие-то вопросы, всегда можно обратиться в поддержку, наша команда всегда подскажет, что можно сделать в той или иной ситуации. Это что касается параллельной фигурации. Для исключения влияния системы фильтрации у нас разработаны списки разрешенных и запрещенных IP-адресов. Если IP-адрес есть в списке разрешенных, он будет всегда пропускаться через систему фильтрации, если он всегда запрещен, он будет блокироваться. Также у нас есть услуга, когда можно с помощью определенного кода блокировать запрос. Обычно данную услугу используют заказчики, которые хотят интегрироваться совместно с неким WAF-решением и снизить нагрузку при атаках на WAF, чтобы блокировать IP-адреса и запрос. У нас есть возможность проверять уникальность IP-адресов, то есть блокируется ли IP-адрес или нет, как мы его классифицируем и классифицируем по нашим базам. Сейчас в основном среди заказчиков очень популярно использования geo-фильтра. Все любят фильтровать трафик и атаки с помощью геофильтрации, поэтому у нас доступны широкие настройки по управлению таким фильтром. Можно указать список разрешенных стран для каждого протокола, список запрещенных стран для каждого протокола и ограничить полосу пропускания для стран, которые не входят ни в один из списков. Соответственно, можно выстроить определенные настройки для атаки. То есть в случае атаки будут применяться определенные настройки геофильтрации. Также у нас есть вкладка с капчей.

Можно использовать обычную стандартную капчу, можно использовать GS-Challenge. Можно включать капчу для определенной страны, для определенной категории. То есть, допустим, если заказчик хочет, чтобы у него срабатывали капчи для IP-адресов, которые ранее участвовали в DDoS-атаках, он может также настроить это через личный кабинет. Таким образом, IP-адреса, которые представляют определенную угрозу, будут проверяться системой.