Александр Лямин, руководитель Qrator Labs: Рынок защиты от DDoS в России оценивается в $30-50 млн. в год

Александр Лямин, руководитель Qrator Labs: Рынок защиты от DDoS в России оценивается в $30-50 млн. в год

Александр Лямин

Александр Лямин имеет более чем 20-летний опыт работы в сфере информационных технологий. Александр принимал участие в запуске целого ряда российских интернет-провайдеров (Comstar, Teleport TP, Cityline), работал над первой в России мультисервисной ATM-сетью МГУ им. Ломоносова. Александр был руководителем проектов Astrum Online: занимался архитектурой платформы веб-приложений, консультировал группы внешних разработчиков. Среди исследовательских проектов, в которых участвовал Александр: Mirnet, Net Surveyor, полигон IPv6, исследовательские гранты РФФИ IP QoS, ReiserFS (грант DARPA).
С 2008 года Александр Лямин является руководителем Qrator Labs (ранее Highload Lab). 

...

 На вопросы Anti-Malware.ru любезно согласился ответить Александр Лямин, руководитель Qrator Labs. Это интервью продолжает цикл публикаций "Индустрия в лицах".

 

Расскажите как образовалась Qrator Labs и чем она занимается в настоящее время?

В первую очередь, нужно сказать, что ранее наша компания была исключительно консалтинговой и называлась Highload Lab, поскольку занималась консультированием по построению высокопроизводительных распределенных сетевых приложений. Кроме того, часть команды развивала сервис вертикального продуктового поиска. Однако, на фоне кризиса 2008 года проект был закрыт, и мне пришлось думать о том, что делать дальше. Я решил позаниматься тем, что мне действительно интересно -- и начал изучать проблематику DDoS-атак. В то время у меня уже были некоторые собственные наработки, и в 2009 году мы вместе с моим коллегой создали прототип программы, работа которой была протестирована на базе МГУ. В рамках данного проекта была создана исследовательская команда, задачей которой было «собрать» максимальное количество атак с российской спецификой.

Нашей целью было наработать необходимую экспертизу и затем выходить на федеральный уровень. В то время активно набирала обороты тема электронного правительства, и мне было очевидно, что это очень перспективное направление. В течение полутора лет мы проработали в таком формате, и в то время более 600 организаций, на чьи ресурсы совершались атаки, воспользовались нашим сервисом. Предоставление данной услуги было бесплатным с одним условием: защищаемый бизнес должен был быть абсолютно легальным с точки зрения законодательства. В тот период к нам подключились не только небольшие компании, но также крупные игроки – практически вся московская недвижимость, газета «Ведомости» и пр. В июне 2010 года на одного из участников программы была произведена DDoS-атака, которая вывела из строя всю сеть Университета, и нам стало понятно, что пора отправляться в «самостоятельное плавание». Мы построили распределенную сеть, первые три точки фильтрации были организованы в Москве, и в сентябре 2010 года мы стартовали как коммерческий продукт. Так и начался наш бизнес по защите от DDoS-атак.

Как эволюционировали DDoS-атаки за последние несколько лет?

Эволюция DDoS-атак происходила очень интересно. Попробую разложить ее в хронологическом порядке за последние несколько лет. В 2010 году превалировали атаки с использованием классических ботнетов – это были ботнеты-миллионники, как с HTTP-запросами, так и разного рода Flood-атаки. Осенью 2010 года был зафиксирован достаточно яркий, но короткий эпизод, когда впервые появились атаки типа DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (IP-Spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу. В то время впервые были зафиксированы атаки с пиковой скоростью 100 Гб/сек.

В 2011 году мы обнаружили первый ботнет с применением технологии Full-browser stack, когда ботнет совершает все операции посредством «честного» браузера. Такие ботнеты обнаружить и блокировать существенно сложнее, поскольку это даже не мимикрия под браузер, а полноценный браузер. В таком случае работают сугубо аналитические методы и поведенческий анализ. В 2012 году ботнеты становились все более хитроумными и сложными, но в 2013 их развитие прервалось, поскольку к нам вернулись атаки DNS Amplification. Эти атаки впервые перешагнули порог скорости в 120 Гб/сек, что стало доставлять серьезные проблемы операторам связи. Соответственно, весь 2013 год прошел «под флагом» DNS Amplification, а с 2014 атакующие переключились на технологию NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени NTP. В этом году произошло большое количество инцидентов с использованием NTP Amplification, однако постепенно операторы научились решать эту проблему, устранять уязвимости, и количество амплификаторов в сети снизилось практически в два раза за квартал. С августа этого года вместо NTP атакующие начали использовать протокол SSDP, что и стало основным трендом в последние месяцы.

Какова статистика DDoS-атак (частота, мощность, страны и т.п.)?

По нашим данным, в первой половине 2014 года было нейтрализовано 2 715 DDoS-атак. В аналогичном периоде 2013 года эта цифра составила 4 375. Максимальное число атак в день сократилось со 151 в первом полугодии 2013 до 38 в 2014 году. Также уменьшилось и среднее количество DDoS-атак в день ­ — c 23,9 до 14,8 соответственно. Значительное сокращение числа DDoS-атак обусловлено тем фактом, что сегодня все больше компаний начинают использовать превентивные меры для противодействия DDoS.

Максимальный размер ботнета, задействованного в одной атаке, вырос со 136 644 до 420 489 машин. Увеличилась также доля Spoofing-атак – с 57,12% до 57,35%. С начала 2014 года наметился тренд к «укрупнению» атак – то есть их стало меньше, но скорости существенно выросли. Так, доля атак со скоростью более 1 Гб/с возросла с 1,65% в первом полугодии 2013 до 7,29% в аналогичном периоде 2014. Пиковые значения атак в 2014 году составляли 120-160 Гб/с. Максимальная длительность атаки увеличилась с 21 дня в первой половине 2013 года до 90 дней в 2014.

Какие наиболее крупные DDoS-атаки фиксировались вашей компанией (примеры)?

Один из ярких примеров — это обнаружение крупной бот-сети, объединяющей более 700 тысяч компьютеров, которая проявила активность с октября по декабрь 2013 года. У этого ботнета была крайне необычная география –  Южная Америка и Юго-Восточная Азия. В странах этих регионов плохой доступ в интернет, и высокоскоростную атаку организовать сложно. Однако злоумышленники решили воспользоваться этой «слабостью», превратив ее в свое преимущество. Они сделали атаку очень медленной – несколько запросов в минуты, но за счет размеров ботнета и правильно выбранной цели – банки среднего размера – хакеры добились отличных результатов. Эта активность совпала с действиями ЦБ РФ по отзыву лицензий у ряда банков. В тот период обострилась конкурентная борьба, и хакеры явно неплохо на этом заработали.

Какие компании наиболее подвержены DDoS-атакам? Кто находится в группе риска?

Сегодня под ударом может оказаться любая компания, но в зоне повышенного риска всегда находятся кредитные организации, электронная торговля и средства массовой информации. По нашим данным, в первой половине 2014 года основной целью хакеров стали сайты платежных систем, сайты по недвижимости, СМИ, ресурсы биржевых компаний.

Исходя из того, что пишут в прессе, у многих складывается впечатление, что больше всего атак сегодня приходится на СМИ. На самом же деле это не так, и наши цифры это подтверждают. Все дело в том, что в России DDoS – «тема табу», об этом не принято говорить вслух. Это особенность русского менталитета — слабым нельзя даже выглядеть. Поэтому тему DDoS бизнес, как правило, не обсуждает и старается не предавать огласке происходящие инциденты.

Что движет злоумышленниками в первую очередь?

Основные причины DDoS — это вымогательство, личная неприязнь. Часто атаки устраиваются для того, чтобы потребовать деньги за их прекращение. Хакеры начинают атаковать сайт, а затем пишут его владельцам с анонимных адресов, что готовы остановить атаку за определённое вознаграждение.

DDoS достаточно активно используется в конкурентной борьбе. Компании малого и среднего бизнеса регулярно оказываются под ударом. Чем больше обороты онлайн-бизнеса компании и чем больше прибыли можно извлечь, убрав ее с рынка на какое-то время, тем больше конкуренты готовы в это «инвестировать». DDoS по политическим мотивам также нередкий случай сегодня. Блокировка неугодной информации означает контроль над обществом, и DDoS-атаки становятся для этого очень эффективным инструментом.

Можете привести примеры наиболее интересных с технической точки зрения DDoS-атак в 2014 году?

В качестве интересного примера могу привести атаку, организованную на одного из наших клиентов, которому мы предварительно предлагали организовать выделенный закрытый канал до его дата-центра. Клиент уверил нас, что никакие атаки ему не страшны, поскольку у дата-центра 600 Гб полосы.

Действительно, 600 Гб имели место, но они были не единой полосой, а представляли собой некоторое количество 10-ти и 40-ка гигабитных портов. При этом самые важные порты оказались наиболее нагруженными. Для того чтобы их перегрузить, понадобилось чуть меньше, чем 100 Гб атаки. И для большинства населения России этот дата-центр стал недоступен. Пришлось в срочном порядке прокладывать выделенный канал до стойки заказчика, и то, что мы делаем в течение двух недель, у нас получилось организовать за 24 часа. Вывод из этого случая таков, что подобного рода защитные меры необходимо обязательно планировать заранее.

Многие из последних громких атак проводились из политических мотивов. Есть ли в этих атаках что-то особенное или примечательное?

Действительно, в 2014 году тысячи сайтов крупных компаний и ведущих СМИ захлестнула волна разрушительных DDoS-атак. Подобному повышению DDoS-активности способствовало вначале проведение Олимпиады, а затем нарастающий конфликт в отношениях между Россией и Украиной. Судя по почерку и характеристикам атак, работали профессионалы. Проводили атаки не одни и те же люди – хакерских групп было несколько. При этом некоторые команды работали на российской стороне, некоторые – на украинской. Довольно интересно, что часть этих групп атаковала и российские, и украинские ресурсы, и очевидно, что в конфликте была некоторая «третья» сила, которая устраивала провокации.

Здесь нужно также заметить, что к подобному развитию событий не был готов никто: ни хостинг-провайдеры, ни операторы связи, ни СМИ. По нашим данным более 90% российских Интернет-провайдеров не обладают средствами фильтрации запросов от поддельных IP-адресов, что делает возможным осуществление DDoS-атак, затрагивающих тысячи сайтов. При этом технологии защиты от такого рода нападений известны уже давно.

Насколько компании в России и в мире понимают угрозу DDoS-атака и заинтересованы в мерах защиты?

За последние два года восприятие проблемы DDoS поменялось радикально и у всех. Если раньше многие компании не представляли себе всей опасности DDoS и страдали различными иллюзиями, говоря «Да кому мы нужны, нас не будут атаковать», то сейчас ситуация в корне изменилась. На рынке уже не осталось организаций, которые имели бы бизнес в Интернете и, что называется «на своей шкуре» не познакомились с DDoS-атаками. Это явление приобрело массовый характер, и уже довольно большое число компаний стараются быть готовыми к атакам заблаговременно, некоторые даже предпринимают профилактические меры защиты, что не может не радовать.

Как вы оцениваете объем и перспективы развития российского и мирового рынка защиты от DDoS-атаки?

Что касается объёма рынка, то, по нашим оценкам, в России он составляет $30-50 млн. в год. В нашей стране рынок защиты от DDoS только начал формироваться, и мы оцениваем, что он будет расти на четверть ежегодно в 2015 и 2016 годах. Мировой рынок защиты от DDoS растет на 20-30% в год, и к 2017 году достигнет $ 870 млн., согласно отчету IDC «Worldwide DDoS Prevention Products and Services 2014–2018 Forecast». В следующем году спрос на решения защиты от DDoS в мире вырастет примерно на 24%.

Расскажите, что представляет собой  услуга защиты от DDoS от вашей компании?

Наше решение для защиты от DDoS представляет собой распределенную сеть, построенную в расчете на работу под постоянным воздействием большого числа атак. Это решение полностью собственного производства, весь стек технологии мы контролируем самостоятельно. Узлы сети подключены к каналам крупнейших магистральных интернет-провайдеров США, России, Западной и Восточной Европы. В отличие от сетей операторов хостинга, наша сеть спроектирована в расчете на экстремальные нагрузки, и атака на ресурс одного из наших клиентов никак не влияет на работоспособность сайтов других клиентов.

На какие сегменты рынка рассчитана данная услуга?

Изначально мы были нацелены больше на малый бизнес и не пытались работать с крупными компаниями. Но постепенно нарабатывали авторитет на рынке, и стали меняться и наши заказчики: сейчас мы доросли до работы с сегментом Enterprise, и существенная часть наших клиентов – это крупнейшие российские компании из различных отраслей, такие как ведущие СМИ, финансовые организации, сайты электронной коммерции.

В то же время я лично большой поклонник идеи mass market, и в следующем году перед Qrator Labs стоит задача переформулировать нашу услугу, сделать ее более доступной для малого и среднего бизнеса, и мы планируем сосредоточиться на работе именно с этим сегментом рынка.

Сколько компаний в России уже воспользовались этой услугой?

Могу сказать, что уже тысячи организаций из сегмента и малого, и крупного бизнеса воспользовались нашей услугой, и сегодня все больше компаний подключаются к Qrator, чтобы обеспечить непрерывность своего бизнеса.

Почему клиенту просто не купить оборудование и не поставить его на входе в корпоративную сеть?

Дело в том, что к этому оборудованию необходимо будет дополнительно приобрести каналы связи в несколько сотен гигабит, нанять в штат пару инженеров, обладающих достаточной квалификацией для работы с таким оборудованием. Получается, что подобное решение окажется на порядок дороже, чем даже самый высокий наш тариф. Качество при этом будет совершенно неопределенным, поскольку оно напрямую зависит от экспертизы специалистов компании.

Чем услуга очистки трафика в чистом виде может выгодно отличаться от решения операторского класса (например, от Ростелеком или Orange Business Services)?

Мы контролируем наш стек технологии, для Enterprise-заказчиков можем модифицировать решение, провести более тесную интеграцию. Предыдущий опыт в консалтинге также дает нам ряд преимуществ: мы прекрасно знаем, как строятся сети и приложения, что позволяет более качественно проводить процесс интеграции, нагрузочного тестирования, и, помимо проблем с доступностью, решать также задачи производительности заказчика. Как правило, к клиенту из Enterprise-сегмента мы приходим с коробочным продуктом, но далее проводим аудит его сети и сервисов, после чего модифицируем наш продукт таким образом, чтобы он на 100% соответствовал требованиям и рискам клиента. То есть, говоря образно, мы предлагаем не «костюм с вешалки», а «костюм от портного».

А в чем преимущества ваших услуг в сравнении с конкурентами? Например, Akamai  или «Лабораторией Касперского».

От конкурентов нас отличает то, что мы работаем с трафиком клиента непрерывно, в режиме 24/7, что позволяет нам постоянно проводить «дообучение» наших алгоритмов фильтрации. То есть после подключения трафик наших клиентов постоянно поступает в сеть Qrator и анализируется. В итоге, если происходит DDoS-атака, она полностью автоматически фильтруется. Мы стремимся к тому, чтобы наши заказчики узнавали о факте проведения атаки из утреннего аналитического отчета.

Какие планы у компании по развитию своих услуг на ближайшее время?

Планов у нашей компании довольно много. В ближайшей перспективе – открытие большего числа точек по миру – в США, странах Европы – уже сейчас проведены переговоры с некоторыми европейскими операторами. Планируем также в следующем году запустить точку в Юго-Восточной Азии. Что касается сами услуг, то мы собираемся выпустить несколько дополнительных  продуктов, при этом не все из них будут связаны с безопасностью. Мы частично пытаемся вернуться к консалтинговым «корням» компании, и одно из наших решений будет посвящено вопросам быстродействия сети.

Спасибо за интересное интервью. Желаем вам дальнейших успехов в бизнесе!