Как выбрать сервис для защиты от DDoS-атак: руководство для бизнеса

В июле 2024-го Microsoft почти 10 часов восстанавливала работу сервисов Azure после DDoS-атаки. Если верить расчётам аналитиков из Zayo, то минута недоступности облака для компании обходится в 6 тыс. долларов. Это значит, что ИТ-гигант из-за одной DDoS-атаки мог потерять не менее 3,5 миллионов. И это лишь прямой ущерб — без учёта издержек, связанных с репутацией и недовольством клиентов.

Как не повторить печальный опыт Microsoft? Какой сервис защиты от DDoS-атак выбрать? А главное — как именно это сделать? Отвечаем в нашей статье.

Как выбрать сервис для защиты от DDoS-атак: руководство для бизнеса

Многие технологии и решения, которые использовались 10 лет назад, уже не справляются с масштабом и скоростью сегодняшних DDoS-атак. Растущая угроза рождает спрос на современные средства защиты. В итоге многие компании принимают решение оплатить специализированный antiDDoS-сервис, а зачастую — подключить его из облака.

Однако выбрать лучшую защиту — непростая задача. На международном рынке представлены десятки вариантов. У большинства antiDDoS-провайдеров есть громкие клиентские кейсы, экспертиза и репутация. 

В России такого разнообразия вариантов нет. С одной стороны, многие зарубежные игроки недавно покинули наш рынок. С другой — усиливается общий тренд на импортозамещение в ИБ. 

Казалось бы, российских провайдеров защиты от DDoS немного — подходящее решение выбрать намного проще. Но на деле оценивать все варианты бывает крайне сложно. Одна из причин — разница в методиках провайдеров, которые они применяют для оценки эффективности своих средств защиты. 

Вторая сложность — «внутренняя». В большинстве компаний нет специалистов, которые глубоко погружены в тематику DDoS. В итоге всё чаще лица, принимающие решение о покупке сервиса, полагаются на обещания менеджеров по продажам. В итоге многие компании либо переплачивают за избыточный сервис, либо остаются недостаточно защищёнными в моменты реальных атак.

Какой вам нужен antiDDoS сервис? Чек-лист

Ниже — восемь важных вопросов, которые мы рекомендуем задать провайдерам защиты от DDoS. Они помогут вам наиболее объективно оценить разные сервисы и подобрать то, что нужно именно вашему бизнесу.

1. Уровни под защитой 

L7. DDoS-атаки уровня приложений бьют точечно по URL-ам, формам авторизации и корзинам. Сегодня обычных способов очистки трафика уже мало. В частности, крайне важно, чтобы в сервисе использовались современные механизмы фильтрации, в том числе основанные на технологиях машинного обучения.

Читайте также: Как защититься от DDoS-атак на уровне L7

L3–L4. На этих уровнях сервисы отражают UDP- и SYN-флуды, а также классические атаки через открытые UDP-сервисы (DNS, NTP, Memcached). Провайдер должен уметь «чистить» трафик до того, как он попадёт в вашу сеть, так как даже канал доступа может стать «узким горлышком» и причиной отказа инфраструктуры. 

2. Мощность фильтрации

Достаточно выяснить у провайдера защиты три параметра:

  • Какая общая пропускная способность сети фильтрации? Чем больше цифра, тем меньше риск, что эффективность вашей защиты будет зависеть от количества других клиентов провайдера, количества и мощности инцидентов на них.
  • Может ли провайдер принудительно заблокировать ваш IP или канал, чтобы защитить собственную инфраструктуру? Если да, то при каких условиях он это сделает? Уточните условия и вероятность такого сценария — это поможет заранее оценить риск полной недоступности ресурса. 

При выборе сервиса рекомендуем учитывать запас по производительности. При реальной DDoS-атаке объём трафика может быть намного выше, чем ваша пиковая нагрузка сейчас. Чем больше производительность сервиса защиты, тем больше шансов, что он выдержит растущие по мощности атаки в будущем.

3. География сети фильтрации

В идеале, центр очистки трафика должен находиться как можно ближе к вашей компании и вашим клиентам. Это важно не только для быстрой фильтрации вредоносного трафика, но и для минимизации задержек для легитимных пользователей. Если 90% пользователей приложения — жители России, то лучше, чтобы системы фильтрации физически находились в Москве или другом городе нашей страны. Здесь всё просто: трафик в этом случае анализируется быстрее, а задержки для реальных пользователей в вашем приложении — минимальны. 

При этом важно, чтобы у провайдера также были центры очистки на других территориях — в регионах, откуда могут атаковать ваш бизнес. Учитывая развитие ботнетов и хактивизма во всём мире, источники вредоносного трафика могут находиться в любой стране. А значит, чем шире и равномернее распределена инфраструктура провайдера, тем быстрее и ближе к источнику он сможет отфильтровать трафик, снизив нагрузку на вашу сеть.

4. Скорость реагирования

Современные атаки разворачиваются за секунды, поэтому эффективный сервис должен анализировать трафик и включать защиту автоматически, в режиме реального времени.

Обязательно уточните, какие гарантии реагирования прописаны в SLA провайдера. Отдельно обратите внимание на скорость реагирования. Необходимо, чтобы в ней учитывались не только атаки на один уровень OSI, но и сложные случаи, требующие более длительного реагирования. В их числе — актуальные многовекторные DDoS-атаки, которые чаще всего нейтрализуются постепенно и требуют от провайдера больше времени. 

5. Ценообразование

Как правило, провайдеры antiDDoS работают по заранее установленным тарифам. Но подходы к ценообразованию могут быть разными: 

МодельКак работаетПлюсыМинусыКому подходит
По факту использования 
(Pay-as-you-go)		Оплата только за фактически отражённые атаки (например, за объём очищенного трафика).Экономия при редких атаках, нет постоянной нагрузки на бюджет в виде абонентской платыПри частых атаках может выйти дороже, чем подписка на сервисДля компаний с нерегулярными DDoS-атаками
Фиксированная подписка (Monthly/Annual Plan)Ежемесячная или годовая плата за определённый уровень защиты.Обычно включает лимиты по пропускной способности каналов фильтрации.Предсказуемые расходы, которые удобно планировать и контролироватьМожет быть избыточной, риск переплаты при редких атакахДля компаний с постоянными DDoS-атаками 
Пакетная оплата 
(Tiered Pricing)		Приобретается базовый пакет (например, 10/50/100 Gbps) + пост-оплата за перерасходКонтролируемые расходы при редких «пиках» трафикаНужно следить за квотой, возможен «сюрприз» по счётуДля крупных компаний с постоянными атаками
Защита по запросу
(On-Demand)		Инфраструктура настраивается заранее, но оплата и активация происходят только во время атакиПодходит для редких, но мощных атакМогут быть задержки активации защиты, связанные с подключением сервисаДля компаний с крайне редкими атаками 

Также некоторые провайдеры могут предложить персональные варианты тарификации — в зависимости от ваших потребностей и возможностей оплаты. Также мы рекомендуем запрашивать, есть ли upper-cap. Обычно максимальная сумма, свыше которой провайдер не выставит счёт даже при самой мощной DDoS-атаке. 

6. Гибкость настройки защиты

Это один из ключевых факторов, влияющих на эффективность DDoS-защиты. Чем лучше сервис адаптируется под особенности вашей инфраструктуры, тем выше его надёжность.

При выборе провайдера уточните:

  • можно ли адаптировать базовые правила фильтрации? Например, задать индивидуальные пороги для различных типов трафика и уровней OSI, настроить представление аналитики и логов;
  • каков уровень самостоятельного управления? Нужно ли каждый раз обращаться в поддержку, или часть изменений можно вносить через личный кабинет/API?
  • поддерживаются ли сценарии автоматической адаптации? Важно, чтобы провайдер предлагал механизмы AI/ML, которые можно донастраивать под новые векторы атак.

Такой подход обеспечит более точную защиту и меньше ложных срабатываний, особенно в динамичной среде с постоянными изменениями трафика.

7. Тестовый период

Уточните, предоставляет ли antiDDoS-провайдер бесплатный демодоступ к своему сервису. Отказ должен насторожить — возможно, от вас пытаются скрыть неудобный интерфейс или проблемы с функционалом. 

В любом случае большинство провайдеров предоставляют тестовый период — чаще на 7-30 дней. Предлагаем использовать это время, чтобы оценить удобство личного кабинета и поведение сервиса при имитации DDoS-атаки, проверить на практике процент ложных срабатываний, возможности гибкой настройки параметров защиты и другие важные нюансы. 

8. Техподдержка 

Вместе с сервисом вы приобретаете экспертизу поставщика. Многие antiDDoS-провайдеры работают на рынке много лет и предоставляют круглосуточную техподдержку. Но насколько качественно она работает?

Чтобы получить ответ на этот вопрос, обратите внимание на следующие моменты: 

  • по каким каналам связи вы можете связаться со специалистами. Коммуникации по телефону или email обычно проходят медленнее, чем в мессенджерах,
  • разделение техподдержки на разные уровни — L1, L2 и т.д. В сложном случае вы гарантированно получите помощь более квалифицированного специалиста,
  • время ответа по регламентам компании — лучше, если оно не будет превышать 15 минут.

И наконец, если рассматриваете зарубежные сервисы, то обязательно проверьте, говорит ли техподдержка на вашем языке. Особенно если вы или ваши специалисты неуверенно общаетесь на английском. 

Напоследок о главном

Рекомендуем выбирать сервис защиты от DDoS прагматично — как в случае с любым другим корпоративным ПО. Оценивайте финансовые выгоды и риски, внимательно изучайте функционал, обсуждайте нюансы с вашей командой. В любом случае сервис antiDDoS — это важный элемент вашей инфраструктуры, от эффективности работы которого зависят доступность ваших цифровых активов, бизнес-процессы и развитие всей компании.

StormWall для сайта:
DDoS-защита для веб-приложений

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить