Переосмислення захисту від DDoS-атак: чому масштабованість — не єдиний важливий показник

Сучасні DDoS-кампанії перевантажують не лише канали, але й мережеву інфраструктуру, тому перемагають не ті, у кого «найбільший бекбон», а ті, хто вміє зупиняти трафік у джерела. Рішення Imperva демонструють саме такий підхід: розподілене придушення атак з мінімальним часом реакції та якісним скраббінгом, який захищає реальні сервіси, а не статистику.

Чому підхід «найбільша мережа» є хибним

За своєю природою DDoS-атаки є розподіленими. Вони використовують тисячі або навіть мільйони зламаних пристроїв (ботнет) у різних географічних точках для відправлення шкідливого трафіку. Логіка підказує, що якщо атака розподілена — то й захист має бути таким самим.

Ключ до ефективного захисту — це не просто наявність масивної централізованої «труби» для поглинання трафіку, а глобально розподілена мережа точок присутності (PoP), які можуть фільтрувати трафік якомога ближче до його джерела. Це змінює правила гри.

Переваги розподіленої мережі

• Близькість до джерел атак: Перехоплення пакетів до того, як вони перетнуть глобальні магістралі й спричинять перевантаження.
• Рання ідентифікація шкідливого трафіку: Виявлення флуда за секунди, а не хвилини — що критично для запобігання простою.
• Ізоляція та відбракування «поганого» трафіку: Ефективне видалення шкідливих пакетів без порушення обслуговування легітимних користувачів.

Навіть невеликі PoP відіграють велику роль

Це пояснює, чому абсолютний розмір PoP насправді не такий важливий, як його здатність ефективно відводити трафік атаки від наміченої цілі. Справжня проблема полягає в тому, щоб, наприклад, у Йоганнесбурзі трафік атаки був чітко відокремлений від легітимного трафіку клієнтів, які використовують той самий PoP.

Якщо провайдер захисту покладається лише на декілька великих центрів «скраббінгу» (очищення), шкідливий трафік повинен спочатку пройти пів світу, перш ніж його можна буде відфільтрувати. Це неефективно й залишає вікна для перевантаження каналів. У таких випадках для пом’якшення наслідків потрібне дещо більше, ніж просто пропускна здатність. Сучасний захист вимагає складного поєднання технологій, що працюють у тандемі для точної фільтрації на «краю» мережі.

Вимоги до якісної фільтрації

• Інспекція трафіку на швидкості каналу: Здатність аналізувати кожен пакет без зниження продуктивності.
• Виявлення прихованих патернів атак: Виявлення складних атак 7-го рівня (L7) або повільних атак (slow-rate) за секунди.
• Реагування в реальному часі: Адаптація до змінних векторів атак «на льоту».
• Збереження легітимного трафіку: Гарантія того, що справжні користувачі не постраждають під час атаки.

Атаки масштабу Тбіт/с рідкісні, більшість загроз складніші

Хоча атаки у кілька терабіт за секунду потрапляють у заголовки, вони залишаються надзвичайно рідкісними. За даними аналітиків, близько 0,1% атак перевищують кілька Тбіт/с або 1 мільярд пакетів за секунду (PPS). Більшість загроз, з якими щодня стикаються організації, значно більш цілеспрямовані, складні та використовують вразливості на рівні застосунків (L7), а не просто намагаються «забити» канал (L3/L4).

Зосередження виключно на показниках Тбіт/с ігнорує переважну більшість реальних загроз. Оцінюючи DDoS-провайдера, не піддавайтесь впливу цифр на кшталт «X Тбіт/с відбито» або «сотні Тбіт/с ємності».

Натомість запитайте: наскільки розподілена мережа? Як швидко шкідливий трафік може бути зупинений у його джерела? Наскільки точно система відокремлює ботів від легітимних користувачів?

Як Imperva забезпечує захист за межами масштабу

Рішення Thales (Imperva) побудовані на філософії, що архітектура, швидкість і точність важливіші за «голий» масштаб. Imperva DDoS Protection пропонує комплексний підхід, який вирішує проблеми, описані в цій статті.

Замість того щоб просто поглинати трафік, Imperva фільтрує його на «краю» своєї глобальної мережі, забезпечуючи захист від усіх типів DDoS-загроз.

Ключові можливості Imperva DDoS Protection

• Гарантоване SLA у 3 секунди: Imperva — єдиний провайдер, який гарантує відбиття атаки будь-якого типу та розміру за 3 секунди або менше.
• Комплексний захист: Блокування як об’ємних атак (L3/L4, таких як SYN-флуд або UDP-флуд), так і складних атак на рівні застосунків (L7, таких як Slowloris або атаки на API).
• Блокування на «краю» мережі: Атаки зупиняються близько до джерела, що запобігає перевантаженню вашої інфраструктури й не впливає на продуктивність.
• Цілодобовий SOC: Підтримка команди експертів з безпеки (Security Operations Center), які в реальному часі відстежують і пом’якшують загрози.

Компанія Softprom є Value Added Distributor компанії Thales (Imperva). Ми надаємо технічну підтримку, глибоку експертизу та допомогу у впровадженні проектів, гарантуючи, що ви отримаєте максимальну віддачу від своїх інвестицій у безпеку.