Softline: фильтрация трафика становится частью большой инфраструктурной повестки

Борьба со средствами обхода блокировок в России постепенно превращается из общей регуляторной задачи в измеримый технологический проект с конкретными показателями эффективности.

Внимание рынка привлек документ о порядке предоставления субсидии ФГУП «Главный радиочастотный центр» на обеспечение работы автоматизированной системы безопасности российского сегмента интернета. В нем закреплены не только объемы финансирования, но и целевые параметры, которых должна достичь система в ближайшие годы.

В рамках госпрограммы «Информационное общество» ГРЧЦ должен получить 20 млрд рублей в 2026 году, 9,9 млрд рублей в 2027 году и 9,8 млрд рублей в 2028 году. Основная часть этих средств направляется на техническое обеспечение системы: оборудование, программное обеспечение, обновление сигнатур, дата-центры и каналы связи. По сути, речь идет не о разовой кампании против VPN, а о развитии инфраструктуры анализа и фильтрации сетевого трафика.

Ключевой показатель, который вызвал дискуссию, — достижение среднего уровня эффективности ограничения доступа к средствам обхода блокировок VPN за счет сигнатур на уровне 92% к 2030 году. Еще один параметр шире описывает масштаб системы: автоматизированная система безопасности российского сегмента интернета должна обрабатывать до 98% трафика Рунета, а ее пропускная способность должна достигнуть 831 Тбит/с.

На практике эти цифры не стоит воспринимать как обещание «отключить 92% VPN» для всех пользователей. Речь скорее идет о прикладной эффективности самой системы фильтрации — о том, какую долю распознанных попыток установить соединение она сможет пресечь или довести до неработоспособного состояния.

«Под этим обычно понимают долю заблокированных попыток установления соединения в общем количестве зафиксированных попыток. Например, если из 100 попыток 92 были заблокированы, эффективность составляет 92%», — объясняет руководитель Центра компетенций сетевой безопасности «Софтлайн Решения» (ГК Softline) Николай Спирихин.

Схожая логика применяется и при оценке сетевых сессий: эффективность может считаться как доля соединений, которые были успешно пресечены на этапе установления или фактически перестали работать из-за примененных ограничений.

Именно поэтому показатель 92% описывает не весь пользовательский опыт, а работу конкретного технологического контура. Если система уверенно распознает определенный тип VPN-трафика, она может эффективно его блокировать. Но это не означает, что все средства обхода ограничений исчезнут или что пользователи не будут искать новые способы маскировки соединений.

Технически такой подход строится на сигнатурном анализе, который применяется в системах глубокого анализа пакетов. Система сравнивает фрагменты сетевого трафика с базой известных признаков, характерных для популярных VPN-протоколов. Если совпадение найдено, соединение может быть помечено и ограничено.

Здесь и возникает главный технологический предел. Сигнатурный метод хорошо работает против известных и устойчивых паттернов, но хуже справляется с новыми протоколами, обфускацией и маскировкой под обычный веб-трафик. Чем активнее сервисы обхода блокировок имитируют легитимные соединения, тем сложнее отличить их от нормальной работы корпоративных сервисов, облачных платформ, удаленного доступа и других повседневных сценариев.

«Техническим ограничением данного метода является всё, что не соответствует известным признакам», — говорит Николай Спирихин.

Дополнительная сложность связана с тем, что VPN как технология используется не только для обхода блокировок. На тех же принципах шифрования и туннелирования строится значительная часть корпоративной инфраструктуры: удаленный доступ сотрудников, защищенные каналы между офисами, подключение подрядчиков, сервисные соединения, интеграции с внешними платформами. Поэтому любая система фильтрации неизбежно сталкивается с риском ложных срабатываний.

«Сигнатуры работают только против известных паттернов, а обфускация и мимикрия под обычный веб-трафик снижают эффективность и увеличивают риск ложных срабатываний», — отмечает ведущий инженер отдела сопровождения информационных систем UDV Group Дмитрий Бабич.

Отдельно он подчеркивает, что полностью надежно отделить средства обхода блокировок от легитимных корпоративных VPN практически невозможно: они используют одни и те же базовые механизмы — шифрование и туннелирование. Именно эта техническая общность делает задачу фильтрации не только регуляторной, но и инженерной: система должна блокировать запрещенные сценарии, не разрушая при этом нормальные бизнес-процессы.

Из-за этого случайностей и побочных эффектов избежать сложно. Чем жестче фильтрация, тем выше риск затронуть легитимный трафик. Чем мягче фильтрация, тем больше пространства остается для обхода ограничений. Баланс между этими двумя крайностями будет зависеть не только от качества сигнатур, но и от скорости обновления правил, точности анализа, пропускной способности оборудования и способности операторов поддерживать такую систему в живой сети.

Экономика проекта также выходит за рамки самой системы. Расходы на оборудование, ПО, обновление сигнатур, дата-центры и каналы связи не останутся изолированными внутри контура ГРЧЦ. Операторам связи придется учитывать новые требования к обработке трафика, пропускной способности и техническому сопровождению инфраструктуры. Это может увеличить как капитальные, так и операционные затраты.

«Это может привести к увеличению капитальных и операционных расходов операторов связи и, соответственно, к повышению стоимости услуг для конечных пользователей», — отмечает Николай Спирихин.

Фактически рынок сталкивается не с разовым проектом по блокировке конкретных сервисов, а с долгосрочной технологической гонкой. С одной стороны, регуляторная инфраструктура будет наращивать мощность, точность анализа и покрытие трафика. С другой — разработчики средств обхода будут искать новые способы маскировки, менять протоколы, использовать обфускацию и подстраиваться под механизмы фильтрации.

Поэтому ключевой вопрос заключается не только в том, можно ли достичь формального KPI по блокировкам, а в том, какой ценой будет поддерживаться этот показатель. Чем ближе система подходит к массовой обработке трафика Рунета, тем большее значение приобретают устойчивость инфраструктуры, точность распознавания, защита корпоративных сценариев и стоимость эксплуатации.

Для бизнеса это означает, что тема VPN-блокировок постепенно выходит за рамки пользовательских сервисов. Она затрагивает корпоративный удаленный доступ, защищенные каналы связи, работу распределенных команд, подключение внешних подрядчиков и устойчивость цифровых процессов. Поэтому любые изменения в системе фильтрации трафика будут оцениваться не только с точки зрения выполнения KPI, но и с точки зрения влияния на нормальную работу компаний, операторов и конечных пользователей.