Роскомнадзор решил создать национальную систему защиты российских ресурсов от DDoS-атак из-за рубежа, которая будет базироваться на оборудовании для глубокой фильтрации трафика (Deep Packet Inspection, DPI). В настоящее время операторы используют его для исполнения закона о суверенном интернете.
Оборудование требует соответствующей модернизации, сейчас этот вопрос обсуждают с поставщиками. Если обновление пройдет успешно, то система заработает осенью 2022 года.
В DPI уже заложен функционал защиты от DDoS-атак. Однако Главный радиочастотный центр пока разработал для него лишь несколько образцов атак, на которые должно среагировать оборудование.
По словам источника, в марте Минцифры предложило федеральным органам исполнительной власти обратиться в ГРЧЦ для установки оборудования и защиты собственных ресурсов от DDoS-атак. Ведомство заявило, что поможет, в том числе, банкам с фильтрацией зарубежного трафика.
В марте Центробанк заявил, что число крупных DDoS-атак на российские финансовые организации выросло в 22 раза по сравнению с началом года. Он потребовал от кредитных организаций «компенсирующих мер», не уточняя, что именно нужно сделать.
«Лаборатория Касперского» заявляла, что число кибератак на российские компании выросло в четыре раза в первые месяцы 2022 года по сравнению с первыми месяцами 2021 года. Затем компания объявила о восьмикратном росте атак и увеличении их длительности.
Между тем в Qrator Labs сообщали, что с 9-10 марта в России начала снижаться интенсивность DDoS-атак на компании. Наблюдались, в основном, атаки уровня приложения (Application Layer, L7), трафик которых напоминает активность обычных пользователей. При этом задействовался шифрованный HTTPS-трафик.
Эксперт в области информационной безопасности Алексей Лукацкий говорит, что технически реализовать защиту от внешних DDoS-атак на действующем DPI-оборудовании возможно, но неясно, получится ли масштабировать такую систему на все каналы связи на территории России. По его словам, РКН придется защищать отечественные компании от двух видов DDoS-атак: больших объемов «мусорного» трафика (существующее оборудование для суверенного интернета не поможет) и атак с помощью уязвимостей в веб-приложениях (для борьбы с ними DPI-оборудование необходимо «научить» идентифицировать такие атаки).
Лукацкий считает, что Роскомнадзор мог бы обязать операторов связи фильтровать «мусорный» трафик, но те откажутся предоставлять эту коммерческую услугу бесплатно на национальном уровне.
РКН также планирует модернизировать инфраструктуру для суверенного интернета — усилить пропускную способность DPI-оборудования. Это требуется, чтобы в нем поместилось больше сигнатур для распознавания трафика с заблокированных ресурсов.
Однако ведомство не хочет инвестировать дополнительные деньги в обновление оборудования, а хочет получить его «в рамках действующих контрактов». Из-за санкций и проблем с логистикой стоимость производства такого оборудования выросла примерно на 40%. Для исполнения закона о суверенном интернете РКН предоставляет операторам оборудование от поставщика DPI-систем RDP.ru (принадлежит «Ростелекому»). Действующее железо для суверенного интернета может одновременно фильтровать до 100 Гб трафика в секунду, а РКН хочет увеличить пропускную способность в несколько раз.
В марте ГКРЧ начал проверку работы операторов, чтобы оценить качество механизмов блокировки запрещенных ресурсов. РКН в ходе такой проверки может выяснить, у каких провайдеров еще не установлено оборудование регулятора, а где оно работает неправильно или еще не настроено должным образом.
