СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
UDV Group
12 мая
#Интервью #ИБ#Инфра

UDV Group: борьба с VPN превращается в постоянную гонку технологий

UDV Group: борьба с VPN превращается в постоянную гонку технологий

Роскомнадзор впервые фактически перевел борьбу со средствами обхода блокировок в систему измеримых KPI. Согласно документу «Решение о порядке предоставления субсидии № 25–66883–01845–Р», эффективность ограничения VPN к 2030 году должна достичь 92%. Одновременно государство продолжает масштабное финансирование инфраструктуры фильтрации трафика: только в 2026 году ФГУП «Главный радиочастотный центр» (ГРЧЦ) должно быть выделено 20 млрд рублей в рамках программы «Информационное общество».

Фактически речь идет уже не о точечных блокировках отдельных сервисов, а о постоянной модернизации всей системы анализа и фильтрации интернет-трафика. При этом вместе с усилением контроля растут и вопросы со стороны бизнеса: насколько реалистично обеспечить такой уровень фильтрации, можно ли отделить корпоративные VPN от средств обхода блокировок и во что подобная инфраструктура обойдется операторам и компаниям.

О том, как на практике работают современные системы DPI, почему фильтрация VPN превращается в бесконечную технологическую гонку и к каким последствиям это может привести для рынка связи и корпоративного сегмента, рассказал Дмитрий Бабич, ведущий инженер отдела сопровождения информационных систем UDV Group.

— Один из самых обсуждаемых моментов в документе — показатель «92% эффективности ограничения VPN». Для большинства это звучит довольно абстрактно. Что вообще может скрываться за такой цифрой?

Скорее всего, речь идет не о «доле VPN вообще», а о внутренней метрике системы фильтрации. На практике такие KPI обычно считают как долю успешно пресеченных сессий — то есть попытки установить соединение, которые либо блокируются сразу, либо деградируют до неработоспособного состояния.

Считать долю трафика неудобно, потому что он зашифрован и маскируется, а «долю сервисов» — слишком абстрактно. Поэтому наиболее реалистичная трактовка — это процент попыток обхода, которые система смогла обнаружить и сорвать по журналам DPI и ТСПУ.

— То есть речь идет скорее об эффективности самой системы фильтрации, чем о полном исчезновении VPN?

Да, именно. Это внутренняя техническая метрика, а не показатель того, что «VPN больше не существует». Важно понимать, что такие системы работают вероятностно: они пытаются выявить и сорвать как можно больше попыток обхода.

— Тогда сразу хочется понять, как это вообще работает технически. Что такое сигнатурный анализ VPN-трафика?

Сигнатурный метод — это поиск своеобразных «отпечатков» VPN в трафике. DPI-система сверяет пакеты с известными шаблонами: заголовками, handshake-механиками, поведением протокола. Если есть совпадение — соединение режется или деградирует.

Но ограничения у такого подхода тоже достаточно фундаментальные. Сигнатуры работают только против известных паттернов. Шифрование скрывает содержимое, а обфускация и мимикрия под обычный HTTPS сильно снижают точность распознавания.

— Получается, это постоянная игра в догонялки?

По сути — да. Это непрерывная гонка. Причем сейчас к сигнатурному анализу добавляют еще и поведенческий подход: анализируют размеры пакетов, интервалы, длительность сессий. Так можно выявлять даже замаскированный трафик.

Иногда здесь подключают и модели машинного обучения, которые помогают искать нетипичное поведение в потоке.

— В документе фигурируют очень серьезные суммы на модернизацию инфраструктуры. Насколько такие вложения вообще сопоставимы с задачей ограничения VPN?

Дмитрий Бабич, UDV Group: На самом деле — вполне сопоставимы. Здесь важно понимать масштаб. Речь идет не о том, чтобы «заблокировать пару сервисов», а фактически о перестройке инфраструктуры фильтрации в рамках всей страны.

Причем ограничение VPN — только один из сценариев использования этой системы. Она требует постоянного обновления и масштабирования.

Самые затратные статьи — это высокопроизводительное DPI-оборудование и ТСПУ, серверная инфраструктура, хранение данных, каналы связи, размещение в дата-центрах.

Отдельно стоит разработка и сопровождение правил фильтрации и программного обеспечения. Причем критично не только внедрение, но и постоянная модернизация — без нее эффективность довольно быстро начинает снижаться.

— Но здесь возникает очень чувствительный вопрос для бизнеса. Можно ли вообще надежно отделить «обходные» VPN от корпоративных VPN, которые используют компании?

Полностью надежно — нет. И корпоративные VPN, и средства обхода используют одинаковые базовые механизмы: шифрование и туннелирование. На уровне сети они выглядят очень похоже.

Поэтому на практике приоритетом становится не столько точная классификация, сколько снижение числа обходов. Все, что похоже на VPN и не находится в белых списках, может блокироваться или деградировать.

— То есть бизнес в значительной степени зависит от механизмов исключений?

Да. Основной способ сохранить доступ для корпоративного сегмента — это белые списки. Но они требуют отдельного согласования и постоянного сопровождения.

И здесь возникает неизбежный компромисс: чем жестче фильтрация, тем выше риск задеть легитимные корпоративные VPN.

— Еще один амбициозный показатель — обработка до 98% интернет-трафика. Насколько это вообще реализуемо без ухудшения качества связи?

Формально 98% — это не про одинаково глубокую обработку каждого пакета, а скорее про общий охват инфраструктуры. Через систему должно проходить почти всё соединение.

На практике баланс достигается за счет разных уровней анализа. Часть трафика идет через полноценный DPI с сигнатурным и поведенческим анализом, часть обрабатывается проще — по приоритетным правилам.

Кроме того, узлы распределяют нагрузку, а критичные сервисы получают приоритет. Если возникают перегрузки, система может упрощать анализ, чтобы не ломать связность сети.

Поэтому это скорее вопрос масштаба инфраструктурного охвата, чем гарантии одинаковой проверки всего трафика.

— Может ли такая модернизация привести к росту расходов у операторов и компаний?

Да, и это достаточно вероятный сценарий. Хотя основная обработка трафика ложится на ТСПУ, операторам все равно приходится поддерживать запас мощности сети и более сложную маршрутизацию, чтобы компенсировать задержки и узкие места.

У бизнеса тоже растут операционные расходы: переход на другие VPN-протоколы, аренда или разворачивание дополнительных серверов, постоянная перенастройка инфраструктуры.

Отдельно добавляется работа с белыми списками — их нужно согласовывать, обновлять при изменении сервисов, подрядчиков или сетевой архитектуры. Все это увеличивает нагрузку на инженеров и сопровождение.

— Если смотреть на ситуацию стратегически, получается, что это не разовый проект, а постоянный процесс?

Именно так. С экономической точки зрения это скорее не инвестиция «один раз и навсегда», а постоянно поддерживаемая система.

Первый этап действительно дает резкий рост эффективности за счет внедрения оборудования и новых правил фильтрации. Но дальше начинается адаптация технологий обхода: появляются новые протоколы, обфускация, распределенные сервисы.

В итоге систему приходится постоянно обновлять — сигнатуры, алгоритмы анализа, вычислительные мощности.

Поэтому расходы после внедрения не заканчиваются, а переходят в режим постоянного сопровождения и модернизации. Это классическая технологическая «гонка вооружений», где эффективность поддерживается только непрерывными вложениями.

UDV Group
Автор: UDV Group
UDV Group — российский разработчик в области кибербезопасности промышленных и корпоративных сетей.
Комментарии: