DDoS атаки розвиваються дуже швидко. Найбільші вже схожі на килимове бомбардування, але в інтернеті.
Ось чому роль штучного інтелекту в пом’якшенні атак DDoS також зростає. Dev.ua поспілкувався з Вільямом Манзіоне, менеджером із продуктів RETN, провідної міжнародної мережевої платформи передачі даних, яка об’єднує Європу та Азію в одну мережу.
Під час інтерв’ю ми намагалися зосередитися на питаннях кібербезпеки саме для України, з акцентом на війні з росією.
Вільям пояснив, як штучний інтелект допомагає виявляти DDoS-атаки та реагувати на них, вивчаючи шаблони трафіку, швидко виявляючи аномалії та фільтруючи шкідливий трафік.
Розмова також торкається збільшення масштабу та складності DDoS-атак, використання ботнетів, а також доступності та масштабованості рішень на основі ШІ.
— ШІ зараз всюди, у кожній темі ми запитуємо про нього. Усі про це говорять. Я дізнався від ваших колег, що ШІ допомагає запобігати DDoS-атакам. Будь ласка, розкажіть про це детальніше.
— Так, зараз це дуже потужне ключове слово. Усі його використовують. Я з Італії, і для нас це — як пармезан: його можна додати куди завгодно.
— Це, до речі, дуже гарне порівняння. Тож роль штучного інтелекту в пом’якшенні DDoS — чи можете ви пояснити, як штучний інтелект використовується для виявлення та запобігання атакам?
— Коли ми вперше почали говорити про штучний інтелект, я дещо скептично ставився до того, як він може безпосередньо допомогти пом’якшити DDoS-атаки. Однак через деякий час я зрозумів, що ШІ відіграє важливу роль у підвищенні точності виявлення та загальної швидкості реагування. Що робить штучний інтелект таким ефективним, так це його здатність вчитися на шаблонах трафіку. Протягом кількох тижнів штучний інтелект вивчає нормальний потік трафіку для кожного клієнта, а потім може виявляти аномальні стрибки або зміни трафіку — ключові показники DDoS-атаки.
— Як працює процес виявлення та пом’якшення після виявлення DDoS-атаки?
— Після виявлення атаки — зокрема, за допомогою розпізнавання образів на основі штучного інтелекту — процес пом’якшення запускається негайно. Спочатку трафік перенаправляється на один із наших «очисних» пристроїв, які фільтрують шкідливий потік даних. Такі пристрої розташовані в різних точках світу, зокрема у Франкфурті, Ризі, Будапешті, Сінгапурі та Тайвані. Після того як трафік атаки відфільтровано, лише чистий, легітимний трафік може проходити до клієнта.
Весь процес може тривати від кількох секунд до кількох хвилин, мінімізуючи час простою та збої.
— Наскільки масштабовані ці рішення і яка вартість для ваших клієнтів?
— Ми розробили нашу платформу для пом’якшення DDoS-атак, яка є масштабованою та доступною. Спочатку ми використовували традиційну систему, яка працювала, але не могла ефективно обробляти великі обсяги трафіку. Нова платформа дає нам змогу легко масштабуватися та пропонувати захист за нижчою ціною, що особливо важливо для невеликих компаній і постачальників послуг, які раніше не могли дозволити собі такий висококласний рівень безпеки. Наша мета — зробити цей вид захисту стандартною функцією для всіх компаній, незалежно від їхнього розміру, щоб це більше не було розкішшю лише для найбільших корпорацій.
— Як геополітична ситуація в Україні вплинула на DDoS-атаки в регіоні?
— В Україні зростає кількість DDoS-атак, особливо в умовах геополітичної напруги. Ми спостерігаємо, що ці атаки стають набагато частішими, причому багато з них походять із країн, які можуть мати нижчі стандарти кібербезпеки, де велика кількість пристроїв скомпрометована та використовується у ботнетах. До ключових країн, звідки походять ці ботнети, належать росія, Китай, Індонезія, Індія, В’єтнам, Філіппіни та інші. У цих країнах кібербезпека менш сувора, тому багато пристроїв інтернету речей — зокрема маршрутизатори, камери та навіть розумні холодильники — зламують і використовують у зловмисних цілях. Це становить величезний ризик, оскільки ці ботнети можуть запускати масові розподілені DDoS-атаки.
— Наскільки великі ці ботнети? У вас є оцінка їхнього розміру, чи ви не впевнені в цьому?
— Що ж, для точності мені потрібно було б посилатися на деякі дані від великих постачальників, але я можу вам сказати, що в першій половині 2024 року було понад 700 000 вузлів ботнету, здатних запускати атаки. І річ у тім, що вона тільки зростає. Ми також бачимо більше тіньових організацій, які пропонують DDoS-атаки як послугу.
Розміри ботнетів можуть відрізнятися, але деякі з них є величезними — складаються з мільйонів скомпрометованих пристроїв.
Ці ботнети зазвичай складаються з поєднання персональних комп’ютерів і пристроїв інтернету речей, таких як смарттелевізори, камери безпеки та навіть підключена побутова техніка. Оскільки ці пристрої часто погано захищені, вони є легкою мішенню для кіберзлочинців. Один ботнет може бути використаний для запуску DDoS-атаки, яка перекриває всю мережу за лічені хвилини.
— Чи правда, що такі DDoS-атаки зазвичай коштують досить дешево?
— Це залежить від типу нападу. Ось до чого я дійшов, коли ви запитали про те, що мають зробити компанії в Україні, щоб покращити свою безпеку.
Десять років тому, будучи власником бізнесу, ви могли подумати: «Я ніколи не стану мішенню DDoS-атаки», і це було, ймовірно, розумним припущенням. Тоді не так легко було стати мішенню.
Зараз проблема полягає в тому, що якщо у вас немає мережевої безпеки, ви піддаєтеся навіть найпростішим DDoS-атакам. Найпростішими з них є об’ємні атаки UDP (протокол дейтаграм користувача) — їх відносно легко виконати, а також вони найдешевші. Але якщо у вас є навіть мінімальний захист, їх легко пом’якшити.
Складніші атаки, як-от ті, що спрямовані на прикладний рівень, набагато важче здійснити. Вони вимагають кращої координації та більше зусиль для створення значної шкоди, що робить їх набагато дорожчими. Отже, наявність принаймні базової безпеки є надзвичайно важливою. Без нього ви вразливі до атак, навіть простих.
Ці базові об’ємні DDoS-атаки — надсилання запитів із великої кількості хостів — є найдешевшими. Але як тільки ви переходите до більш цілеспрямованих атак, особливо на прикладному рівні, все стає складнішим і дорожчим. Пошкодження вимагає більше зусиль, більше планування та кращих інструментів для виконання.
Отже, головний висновок полягає в тому, що навіть базове рішення з безпеки зараз є критично важливим, оскільки для здійснення DDoS-атак не потрібно багато зусиль. Якщо у вас немає жодного захисту, ви — легка мішень.
— Тобто, якщо у вас немає засобів захисту, DDoS-атаки можуть вплинути на вас без особливих зусиль?
— Саме так. Завжди рекомендується мати принаймні базовий захист, оскільки існують також короткі атаки, які не завдають великої шкоди, але служать свого роду розвідкою — оцінкою того, які заходи безпеки ви використовуєте. Вони перевіряють ваш захист, готуються до більшої атаки.
Це як «розвідувальні» атаки, щоб побачити, який у вас захист. Вони готують зловмисників до моменту, коли їм потрібно буде здійснити справжню атаку, яка завдасть шкоди вашому бізнесу.
— Ви згадали про складніші атаки, які зазвичай спрямовані на вразливості програмного забезпечення.
— Так, точно. Такі атаки часто використовують помилки або вразливості програмного забезпечення. Іноді зловмисники намагаються відволікти вас, запустивши DDoS-атаку, яка сама по собі не завдає значної шкоди, але змушує вас зосередити на ній усю увагу. У той самий час вони здійснюють бічні атаки, щоб непомітно завдати критичних ударів. Останнім часом ця тактика стала надзвичайно популярною.
У минулому DDoS-атаки зазвичай були спрямовані на один ресурс або IP-адресу, намагаючись вивести їх із мережі. Однак зараз, із розширенням можливостей ботнетів, атаки стали значно масштабнішими — вони охоплюють цілу групу хостів. Це особливо актуально, коли мішенню стають постачальники послуг, адже вони обслуговують велику кількість клієнтів.
Тепер поширеним є тип атаки, відомий як «килимове бомбардування», коли одночасно атакуються кілька цілей на різних ресурсах. Замість однієї мішені під удар потрапляє цілий набір, а мета — завдати максимальної шкоди якомога більшій кількості об’єктів. Це справді нагадує війну — бомбардування на кількох фронтах.
— Це справді схоже на війну, бомбардування, націлене на все.
— Саме так, і захиститися від цього може бути надзвичайно складно. Навіть якщо у вас є надійні заходи безпеки, інколи такі атаки бувають настільки масштабними, що одне рішення захисту не здатне з ними впоратися.
Три місяці тому у нас була ситуація, коли один із клієнтів зазнав атаки типу «килимове бомбардування» — з кількома цілями та багатьма джерелами. Це вимагало багато зусиль від наших інженерів не лише тому, що наше рішення є якісним, але й тому, що воно було достатньо великим і складним, щоб випробувати межі можливостей будь-якого постачальника.
Нам довелося вручну втрутитися на краю мережі, щоб упевнитися, що атака не завдала шкоди ні нашому клієнту, ні іншим клієнтам.
Це була атака потужністю 1,6 терабіта — найбільша з усіх, з якими ми стикалися. Впоратися з нею було надзвичайно складно.
І це буде лише посилюватися. Оскільки такі атаки зростають у масштабах, будь-якому постачальнику засобів пом’якшення DDoS стає все важче ефективно з ними боротися.
— Як ваша система справляється з такими масштабними атаками?
— Наша система використовує кілька рівнів виявлення для обробки великомасштабних атак. По-перше, система виявляє аномалії трафіку, такі як раптові, незрозумілі сплески трафіку, які часто свідчать про DDoS-атаку. Якщо система виявляє потенційну загрозу, спрацьовує система «розумного виявлення» на основі штучного інтелекту. Цей штучний інтелект вивчає унікальний шаблон трафіку клієнта, що допомагає зменшити помилкові спрацьовування. Після підтвердження атаки система автоматично перенаправляє трафік на наші очисні пристрої для фільтрації шкідливих пакетів. Потім чистий трафік повертається клієнту, мінімізуючи час простою та гарантуючи, що на сайт потрапляє лише законний трафік.
— З якими проблемами ви зіткнулися на ранніх етапах впровадження цієї системи виявлення на основі ШІ?
— Спочатку ми натрапили на деякі труднощі з помилковими спрацьовуваннями. Штучний інтелект не був ідеальним із самого початку, тому ми мали ситуації, коли система помилково ідентифікувала звичайні події з високим трафіком як DDoS-атаки. Це призвело до деяких збоїв і непотрібного втручання нашої команди. Однак із часом, коли штучний інтелект адаптувався до моделей трафіку кожного клієнта, система стала набагато точнішою. Він навчився краще розрізняти реальні загрози та звичайні сплески трафіку, що значно підвищило його ефективність. Він ще не ідеальний, але, безумовно, набагато надійніший, ніж був на початку.
— Ваші клієнти — це переважно постачальники послуг, чи у вас також є корпоративні клієнти?
— Наша клієнтська база в Україні — це як постачальники послуг, так і корпоративні клієнти. Ми бачимо великий попит з боку хостингових компаній, а також невеликих підприємств, які можуть не мати внутрішніх ресурсів, щоб захистити себе від масштабних DDoS-атак. Враховуючи геополітичну ситуацію, навіть менші компанії ризикують стати цілями, тому ми наполегливо працювали, щоб переконатися, що наші рішення доступні для підприємств будь-якого розміру.
Наша мета — зробити захист від DDoS-атак доступним для всіх, хто його потребує, без високої вартості, яка зазвичай супроводжує високий рівень мережевої безпеки.
— Забігаючи наперед, яким ви бачите майбутнє пом’якшення DDoS-атак у таких регіонах, як Україна?
— Майбутнє пом’якшення DDoS у таких регіонах, як Україна, багатообіцяюче, але потребує постійних інновацій. Оскільки DDoS-атаки стають складнішими, штучний інтелект і машинне навчання будуть ключовими для того, щоб випередити зловмисників. Оскільки такі країни, як росія, Китай та інші, продовжують здійснювати широкомасштабні атаки, рішення на основі ШІ відіграватимуть центральну роль у виявленні та пом’якшенні. Ми також зосереджуємося на розширенні нашої мережі, щоб гарантувати, що незалежно від того, де перебуває клієнт, він може покластися на надійний захист у режимі реального часу від DDoS-атак. Наша мета — зробити захист від DDoS послугою за замовчуванням для кожного бізнесу, а не лише нішевою пропозицією для великих компаній.
