5 ключевых вопросов при выборе Anti‑DDoS: экспертный разбор
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС.
Контакты: сайт - legascom.ru, e‑mail - petukhov@legascom.ru .
DDoS‑атаки стали обыденностью: они растут в сложности, маскируются под легитимный трафик и используют шифрование. Разберём 5 ключевых аспектов выбора Anti‑DDoS‑решения для устойчивости ИТ‑инфраструктуры.
Вопрос 1. Где держать защиту: провайдер или локально?
Варианты:
Защита на стороне провайдера: широкая полоса фильтрации, понятный SLA, эффективна на уровнях L3–L4. Но возможны задержки, зависимость от человеческого фактора и ограниченная компенсация убытков (например, при потере 40 млн руб. из‑за простоя компенсация может покрыть лишь месячную стоимость сервиса).
Локальная защита: прямой контроль политик ИБ, интеграция с SOC. Ограничение - пропускная способность каналов (атака выше 20 Гбит/с сделает канал недоступным).
Оптимальное решение: комбинированный подход. Объёмные атаки отражают на уровне провайдера, сложные - локально. Например, комплекс «Гарда Anti‑DDoS» автоматически переключается на фильтрацию у провайдера при угрозе переполнения каналов.
Вопрос 2. Вскрывать ли шифрованный трафик?
HTTPS‑трафик - основная среда атак. Выбор:
Без расшифровки: анализ Handshake TLS, поведенческих паттернов, IP‑баз. Отсекает часть атак, но пропускает сложные сценарии.
С расшифровкой TLS: точечная блокировка на основе анализа запросов. Требует ресурсов и контроля над сертификатами.
Решение: эшелонированная защита. Трафик фильтруется на входе в сеть, затем анализируется в модуле L7‑экрана. Данные об атакующих передаются выше для ранней блокировки. Особенно актуально для финансовых организаций, которым запрещено передавать ключи третьим лицам.
Вопрос 3. Автоматизация или человек?
Автоматизация справляется с базовыми задачами (фильтрация по порогам, выявление аномалий), но многовекторные атаки (до 400 млн RPS) требуют вмешательства специалиста.
Баланс:
алгоритмы - для рутинных операций;
человек - для коррекции политик и сложных сценариев (например, атак на API или системы авторизации);
регулярные учения для отработки противодействия.
Вопрос 4. Какой нужен запас по мощности?
По данным центра компетенций сетевой безопасности группы компаний «Гарда», в 2025 г. количество DDoS‑атак в России выросло на 35 %, а их мощность - на 40 %.
Рекомендации:
поддерживать двукратный запас мощности;
иметь план экстренного расширения;
использовать эшелонированную защиту для снижения нагрузки;
комбинировать операторскую защиту (для объёмных атак) и локальный эшелон (для защиты приложений).
Локальные решения часто выгоднее в долгосрочной перспективе: ниже TCO, меньше зависимость от тарифов, развитие компетенций команды.
Вопрос 5. С чем интегрировать?
Anti‑DDoS максимально эффективен в связке с:
NGFW;
WAF;
NDR;
XDR.
Преимущества интеграции:
блокировка «плохого» трафика на границе сети;
пропуск легитимных запросов на основе данных из других систем (пример: разделение легитимного всплеска аудитории и атак на медиапортале);
скорость реакции через API‑интеграцию и стандартизованные интерфейсы.
Методы фильтрации:
Алгоритмы - предсказуемость.
Фиды - дополнительные индикаторы (требуют проверки источников).
Профилирование - поведенческая аналитика (риск ложноположительных срабатываний).
Оптимально: комбинация алгоритмов (основа), фидов (усиление) и профилей (вспомогательные сигналы).
Соответствие требованиям регуляторов
Защита от DDoS обязательна для:
ГИС;
ЗО КИИ;
ИСОП;
АСУ ТП.
Ключевые документы: приказы ФСТЭК № 17, № 239, № 31; ГОСТ Р 57580.1‑2017; приказы ФСБ № 416 и ФСТЭК № 489 для ИСОП.
Минимальный уровень: фильтрация у оператора связи.
Для критичных сервисов: эшелонированная схема (локальный Anti‑DDoS + взаимодействие с центром очистки).
Вывод
Эффективная DDoS‑защита - это:
Эшелонирование: провайдер (объёмные атаки) + локальное решение (сетевая инфраструктура) + защита приложений.
Интеграция: с NGFW, WAF, XDR и др.
Баланс автоматизации и человека: алгоритмы для рутины, специалисты - для сложных случаев.
Готовность к эволюции атак: сокращение времени реакции, переход к комплексным решениям с обменом данными в реальном времени.
В перспективе защита от DDoS будет усложняться: атаки становятся многовекторными и шифрованными, а решения - комплексными и взаимосвязанными. Руководителям ИБ важно учитывать не только продукты, но и архитектурные принципы устойчивости.
