Przez lata skuteczność ochrony anty-DDoS mierzono w minutach. Ile czasu zajmuje przekierowanie ruchu do centrum scrubbingowego, ile trwa aktywacja filtrowania, kiedy klienci przestają odczuwać skutki ataku. Tymczasem charakter ataków DDoS zmienił się radykalnie ‒ tak, że wiele z tych minutowych wskaźników straciło dziś sens operacyjny. Z Mateuszem Gołębiewskim, CEO LiveShield ‒ polskiego systemu anty-DDoS klasy enterprise ‒ rozmawiamy o tym, dlaczego branża telekomunikacyjna stoi przed koniecznością gruntownej weryfikacji dotychczasowych założeń.
Jeszcze dekadę temu typowy atak DDoS trwał wystarczająco długo, żeby go zauważyć i uruchomić odpowiedź. Dziś wygląda to zupełnie inaczej.
Według raportu Cloudflare za Q1 2025, aż 89 proc. ataków na warstwie sieciowej kończy się w ciągu 10 minut. Dane Zayo za rok 2024 potwierdzają trend: niemal 87 proc. ataków DDoS trwało krócej niż 10 minut. Cloudflare odnotował nawet atak o skali 5,6 Tbps, który trwał zaledwie 80 sekund. To nie są wyjątki. To nowa norma.
Skąd ta zmiana w charakterystyce ataków? Czy to trend, który obserwujecie też w polskich sieciach?
Zdecydowanie. Przez lata projektowaliśmy ochronę z myślą o atakach, które trwają ‒ mieliśmy czas na reakcję, analizę, decyzję. Dziś atakujący nauczyli się, że krótki, gwałtowny impuls ruchu jest znacznie trudniejszy do zatrzymania przez klasyczne systemy, bo te po prostu nie zdążą zareagować. Obserwujemy to bezpośrednio w polskich sieciach: ISP doświadczają incydentów, które zostały obsłużone zbyt późno lub, co gorsza, w ogóle nie zostały wykryte. Klienci operatora jednak tę przerwę odczuwają.
‒ Mateusz Gołębiewski, CEO LiveShield.net
Większość systemów anty-DDoS bazuje na protokołach takich jak NetFlow lub IPFIX. To sprawdzone technologie, jednak z fundamentalnym ograniczeniem: dane o ruchu są zbierane w próbkach i eksportowane w interwałach. System analizuje obraz ruchu sprzed kilkunastu lub kilkudziesięciu sekund ‒ nie to, co dzieje się teraz. Przy atakach trwających kilka sekund, to wystarczy, żeby było już po wszystkim.
Drugie ograniczenie to model scrubbing center. Przekierowanie ruchu do zewnętrznego centrum filtrowania za granicą wprowadza dodatkowe opóźnienia i oznacza, że ruch klientów opuszcza infrastrukturę operatora. W kontekście Krajowego Systemu Cyberbezpieczeństwa (KSC) jest to coraz poważniejszy argument przeciw modelowi chmurowego scrubbingu.
LiveShield powstał właśnie jako odpowiedź na te ograniczenia. Co było punktem wyjścia?
Pracując z polskimi operatorami, widzieliśmy w kółko tę samą sytuację: system formalnie działa, raport jest czysty, lub zawiera informacje o pozytywnej mitygacji, a klienci zgłaszają przerywanie Internetu. To skłoniło nas do zaprojektowania LiveShield od zera ‒ z założeniem, że analiza ruchu musi odbywać się lokalnie i w czasie rzeczywistym, bez próbkowania, bez przesyłania danych na zewnątrz. Tylko wtedy można reagować w ciągu jednej sekundy.
‒ Mateusz Gołębiewski, CEO LiveShield.net
Ewolucja zagrożeń zmienia listę wymagań wobec systemu anty-DDoS. Czas reakcji poniżej jednej sekundy to dziś nie przewaga konkurencyjna ‒ to wymóg podstawowy. Analiza ruchu musi odbywać się lokalnie i w czasie rzeczywistym. System powinien integrować się z istniejącą infrastrukturą operatora, nie wymagać kosztownego sprzętu i skalować wraz z rozwojem sieci ‒ bez wymiany architektury.
Kluczowe staje się też kryterium suwerenności: ruch sieciowy powinien pozostawać w infrastrukturze operatora. Dla podmiotów objętych Krajowym Systemem Cyberbezpieczeństwa to wymóg audytowy, dla pozostałych ‒ pełna kontrola nad ruchem klientów w trakcie incydentu.
Suwerenność danych i zgodność z KSC ‒ to argument, który coraz częściej pojawia się w rozmowach z klientami?
Coraz częściej i coraz wcześniej w rozmowie. Operatorzy obsługujący klientów z sektorów objętych KSC muszą wykazać audytorom, że ruch nie opuszcza polskiej infrastruktury/EOG. LiveShield jest rozwiązaniem w pełni on-premise ‒ żadne dane nie wychodzą poza sieć operatora. To nie feature, to warunek konieczny.
‒ Mateusz Gołębiewski, CEO LiveShield.net
„Przed zmianą systemu korzystaliśmy z popularnego rozwiązania anty-DDoS. Przy krótkich atakach ‒ 30-60 sekund ‒ system często w ogóle nie zdążył zareagować. Klienci przerwy zauważali i zgłaszali do supportu. Teraz widzimy reakcję niemal natychmiast. To robi realną różnicę w naszych SLA."
‒ Artur Stefanovič, CEO Etanetas
Telekomunikacja to jeden z najczęściej atakowanych sektorów ‒ według danych StormWall odpowiadała za 19 proc. wszystkich ataków DDoS w 2025 roku. Dla polskich operatorów ISP skala zagrożenia jest więc powyżej średniej rynkowej. Tymczasem wdrożenie skutecznej ochrony nie musi wiązać się z dużymi nakładami inwestycyjnymi. LiveShield instaluje się na standardowym sprzęcie serwerowym, który operator często już posiada ‒ bez specjalistycznych urządzeń, bez kosztownych licencji sprzętowych, bez zmiany topologii sieci.
Jak wygląda typowe wdrożenie LiveShield u operatora ISP?
Podstawowa konfiguracja zajmuje kilka godzin, pełne wdrożenie dla operatora średniej wielkości zamykamy w kilka dni roboczych. LiveShield integruje się z istniejącymi routerami brzegowymi, a licencja oparta jest wyłącznie na wolumenie ruchu. To model, który rośnie razem z operatorem.
‒ Mateusz Gołębiewski, CEO LiveShield.net
LiveShield - polski system anty-DDoS klasy enterprise. www.liveshield.net
