Сначала была наука

Началась эта бизнес-история с любопытства: ее участники очень хотели найти решения задач, с которыми внезапно начали сталкиваться мировые технологические гиганты. Тогда, в начале «нулевых», в далекой Америке проблема компьютерных взломов уже становилась реальностью. Так, в феврале 2000 года произошла одна из первых по-настоящему громких серий DDoS-атак в мире: 15-летний канадский хакер Майкл Кальс последовательно «положил» крупнейшие сайты: Yahoo, Amazon, eBay и CNN. А в январе 2003-го случился еще более дерзкий выпад: сетевой червь SQL Slammer атаковал непропатченные серверы Microsoft SQL-2000, за десять минут заразив 75 тыс. компьютеров. Это вызвало резкое снижение глобального интернет-трафика.

Отработанных технологий противодействия подобным налетам в мире на тот момент еще не существовало, а для российской научной повестки эта тема и вовсе была новой. И наши герои — группа исследователей из МГУ, в которой были молодые преподаватели, аспиранты и студенты, — решили заняться противодействием угрозам, нависающим над архитектурой стремительно расширявшегося интернет-пространства.

В МГУ их начинания нашли поддержку: в рамках действующего там Центра телекоммуникаций и технологий интернета (ЦТТИ) для изучения проблематики противодействия атакам в облаке был запущен прикладной проект. Университет открыл ученым-энтузиастам доступ к своей сетевой инфраструктуре — двум серверным, одна из которых располагалась в главном здании МГУ, там же, где и ЦТТИ, а другая была вскоре построена в технических подвальных помещениях. Впоследствии в рамках этого проекта в подвале был организован и первый узел очистки трафика. Для понимания: защита от DDoS и ботов работает примерно так же, как фильтрация воды. То есть весь трафик, прежде чем прийти к клиенту, сначала проходит через узлы фильтрации. Там нормальные запросы в режиме реального времени пропускаются дальше, а «мусорные» — останавливаются.

В основе таких фильтров — особая научная «начинка». «По сути, это система, созданная на пересечении сетевых протоколов, статистики и теории систем управления. Она стоит на двух “слонах”. Во-первых, это сигнатурный анализ трафика: известные паттерны атак фиксируются, описываются и блокируются по признакам. Это в значительной мере “библиотека рецептов” — но ее нужно постоянно пополнять, потому что атаки мутируют. Ботнет меняет векторы, размер пакетов, TTL (счетчик времени жизни сетевого пакета. — “Монокль”), порядок флагов — и старая сигнатура перестает работать, — поясняет Дмитрий Ткачев. — Во-вторых, крайне важен поведенческий анализ: здесь применяется еще более серьезная математика. Система строит статистическую модель “нормального” трафика для конкретного ресурса: распределение запросов по времени, соотношение GET/POST (методы протокола HTTP, которые указывают на конкретное действие, которое клиент хочет выполнить с ресурсом. — “Монокль”), характер сессий, географический профиль. Отклонение от этой модели — триггер. Это методы статистического контроля качества, адаптированные под сетевой трафик».

Таким образом, была создана технология, позволившая фильтровать поток в реальном времени при больших нагрузках, когда через инфраструктуру проходит более шести терабит в секунду. Это можно сравнить еще и с иммунной системой, которая должна отличать «своих» от «чужих» — мгновенно, при постоянно меняющемся «противнике».

Поначалу сотрудники тренировались на синтетических данных, которые генерировались алгоритмами, но они не всегда дают картину настоящего трафика. Для полноценного исследования нужна была реальная нагрузка и реальные пользователи. Этот актив набирали как могли — по сарафанному радио. В итоге в проект удалось вовлечь около 300 пользователей, которым предложили защиту от гипотетических атак на безвозмездной основе. Приходили эти «клиенты», как правило, при первых признаках угрозы — не обязательно в момент активной атаки, а, например, после получения письма с требованием злоумышленника заплатить, чтобы ресурс продолжал работать. Так лаборатория одновременно решала исследовательские задачи и закрывала практическую потребность рынка.

Но 20 июня 2010 года эксперимент вышел из-под контроля: высокоскоростная атака, превысившая 12 гигабит в секунду, «положила» сеть самой лаборатории. Кто и почему ее атаковал, выяснить не удалось: так устроены DDoS — пакеты приходят с подмененными адресами отправителя, реальный источник за ними не виден. Скорее всего, атаковали одну из сотен организаций, которые были под защитой лаборатории. Лаборатория же не смогла себя защитить, потому что общая пропускная способность университетской сети была рассчитана всего на 10 гигабит трафика в секунду. В итоге на короткий период сеть МГУ осталась без связи с внешним миром: пропал доступ в интернет и «упали» все онлайн-сервисы — почта, сайт и удаленный доступ.

После этого на лабораторию обратил внимание ректор МГУ Виктор Садовничий: «Ребята, у нас же лето, скоро начнутся вступительные экзамены. Все понимаю, но давайте прекращать эти эксперименты». 

И участникам теперь уже вчерашнего университетского проекта пришлось приступить к постройке собственной инфраструктуры, не используя сеть МГУ. Тогда все сошлись во мнении, что пора переходить к коммерческой деятельности. Инженеры и математики, пока еще не имевшие за плечами управленческого опыта, стали учиться зарабатывать деньги.

Период наработки репутации

Так родилась компания Curator. К слову, изначально она называлась High Load Lab — «Лаборатория высоконагруженных систем». Новое название возникло из разработанной технологии компании — Queue Rator, Queue Rate Limiter. Это означает постановку пакетов данных в некое подобие очереди для очистки и фильтрации и последующей передачи клиентам.

Компания создала свою сеть с точками присутствия в разных дата-центрах. Ее оборудование было установлено на наиболее «оживленных» маршрутах и напрямую подключалось к крупным операторам связи. Первоначальными инвестициями в зарождающийся бизнес стали собственные средства исследователей. Средств, кстати, потребовалось не так уж много. Куда важнее было профессиональное реноме: магистральные операторы не стали бы разговаривать с незнакомцами с улицы, но ребят из МГУ, которые к тому времени защищали сотни компаний от хакерских атак, встретили благодушно.

Дело оставалось за малым: перевести работу на коммерческие рельсы. Первоначально создатели Curator рассчитывали, что хотя бы с десяток из тех 300 партнеров, которым они помогали, согласятся перевести сотрудничество на платную основу. Но эти иллюзии быстро развеялись: на предложение платить за то, что раньше получали даром, люди реагировали возмущением.

Первый платный контракт прилетел в 2011 году — опять же благодаря сарафанному ретранслятору. Тогда DDoS-атаке подвергся известный ресурс «Хабр», которому знающие люди для спасения порекомендовали «тех ребят из МГУ» — все специалисты такого профиля в узких кругах были хорошо известны. «Хабр» обратился к Curator — и спасательные работы были проведены быстро и безукоризненно. «Мы их выручили — и это оказался наш первый контракт. Поскольку “Хабр” очень хорошо известен в инженерной среде, история разошлась волнами», — рассказывает Ткачев.

После этого заказы стали поступать один за другим. Наступил период наработки коммерческой репутации: Curator ни разу не ударил в грязь лицом, а каждый спасенный клиент, по сути, становился новым амбассадором молодого бренда. Причем в эпоху, когда стартапы измеряли успех объемами привлеченных инвестиций, Curator выглядел белой вороной. Компания не брала кредитов, не гналась за масштабом и принципиально много лет не повышала тарифов. «Просто у нас такое понимание: нужно развиваться на свои. Непонятно, зачем привлекать кредиты, когда бизнес и так растет. У нас всегда положительный cash flow, а заработанные деньги мы вкладываем в дальнейшее развитие, то есть в емкость наших сетей. И мы всегда были независимы, невзирая на любые внешние события вроде резкой девальвации или изменения экономической политики. Горизонт планирования — три-пять лет», — отмечает Дмитрий Ткачев.

За двадцать лет существования компании пропускная способность ее сети выросла с 20 Гбит/сек до 6 Тбит. Количество клиентов превысило 10 тыс., а годовая выручка — 2 млрд рублей.

На данный момент Curator в основном известен тем, что предоставляет услугу анти-DDoS. Но полный список защитных опций, которые предлагает компания, шире: антибот (от автоматизированных вредоносных запросов); «куратор CDN» (сеть доставки контента с интегрированной DDoS-защитой, которая одновременно ускоряет загрузку ресурса и защищает его от атак); «куратор BGP» (он же «Куратор Радар» — проект по мониторингу аномалий в Глобальной сети, которые могут сигнализировать о готовящихся атаках или сбоях в инфраструктуре еще до того, как они достигнут клиента). Готовятся к запуску еще несколько продуктов.

По словам Дмитрия Ткачева, возможность роста изначально закладывалась в стратегию компании, при этом кадровая политика всегда была ориентирована на компактный штат. За двадцать лет команда расширилась с десятка всего до 57 человек. А корпоративная модель строилась не на иерархической пирамиде, а на творческом воплощении холакратии, в которой каждый участник может влиять на процессы и принимать решения в рамках своей роли. «Договариваться занимает несколько больше времени, чем раздавать директивные указания, но в долгосрочной перспективе это работает лучше», — разъясняет Дмитрий Ткачев.

Время разделения

В 2014 году стало понятно, что пора выходить за границу — вслед за крупными клиентами, которые расширялись за пределами РФ. К этому времени в России Curator уже успешно конкурировал с западными аналогами, самым крупным из которых был Cloudflare. За рубежом руководство нашей компании ориентировалось на потенциальный спрос, на наличие крупных точек обмена трафиком и на уровень концентрации DDoS-атак. Но этот путь, в отличие от российского, не стал стремительным взлетом. В США, например, Curator быстро развернули в обратном направлении, обозвав «русскими хакерами, которым нельзя отдавать трафик». Более приветливой оказалась Юго-Восточная Азия, где в 2017 году компании удалось заключить контракт с крупным клиентом — китайским сервисом Lazada (местный аналог Amazon). В дальнейшем Curator удалось закрепиться на рынках Европы, Ближнего Востока, Латинской Америки.

Но после 2022 года весь российский бизнес, работающий на международных рынках, оказался в новой ситуации. Началась системная дискриминация наших компаний, в том числе в дружественных странах. Зачастую дата-центры расторгали контракты в одностороннем порядке, требуя от россиян в течение недели вывезти оборудование. Для инфраструктурной компании, чья сеть разбросана по миру, это стало серьезным вызовом.

«Мы до последнего пытались оставаться единым брендом. Конечно, было жалко — к развитию Qrator Labs мы приложили титанические усилия, нас уже хорошо знали в зарубежных технических кругах. Но в 2024 году пришло окончательное понимание: дальше так нельзя. Надо разделяться». Так появились два отдельных бренда — российский Curator и международный.

Сейчас в распоряжении предприятия — 21 центр очистки трафика. Есть несколько критериев выбора региона для расширения сети, но прежде всего это должно быть место, густонаселенное с точки зрения интернет-трафика. «Где атака начинается, там проще всего ее и отражать. Поэтому мы строим центры там, где большие скопления трафика: например, в Европе это Амстердам и Франкфурт», — поясняет Ткачев.

Компания активно занимается локализацией трафика. Ее геораспределенная сеть построена на архитектуре BGP Anycast, которая позволяет эффективно перераспределять трафик между разными узлами. «Мы постоянно оперируем потоками трафика: в обычное время они одни, во время атаки — другие, скачут на порядок. Вообще-то используют BGP Anycast многие, но здесь есть нюансы — например, нужно обеспечить, чтобы трафик не “гулял” между регионами, — рассказывает Ткачев. — У обычного классического оператора связи другие принципы: ему важна дешевизна. Маршрут трафика определяется не географической логикой “откуда — куда”, а экономической. BGP-протокол выбирает путь, исходя из договоренностей между операторами — кто кому платит за транзит, у кого какие пиринговые соглашения. Если оператору из Петербурга дешевле или технически проще отправить пакет через Франкфурт (крупнейшие узлы обмена трафиком исторически сложились в Европе: Франкфурт, Амстердам, Лондон), чем напрямую договориться о стыке с московским оператором, он так и сделает. Пакет “улетит” в Европу и вернется обратно, преодолев тысячи километров вместо нескольких сотен. Пользователь этого не замечает — задержка измеряется миллисекундами, и для просмотра сайта это некритично. Но для провайдера DDoS-защиты такая непредсказуемость маршрутов создает проблему: непонятно, через какую точку пойдет трафик клиента и где его перехватывать для фильтрации. А мы делаем так, чтобы трафик был локальным».

Работа на двух фронтах

Для российского рынка анти-DDoS 2022 год стал проверкой на прочность — тогда количество атак стало расти невиданными темпами. «В срочном порядке пришлось перестраиваться даже тем, кто раньше никогда не пользовался какой-либо защитой. Именно в этот год число наших клиентов выросло вдвое. Благо наша инфраструктура (каналы связи, оборудование для фильтрации, точки присутствия в дата-центрах) изначально была выстроена таким образом, что мы могли быстро расшириться без дополнительных усилий», — вспоминает Ткачев.

Еще один скачок Curator сделал в 2024‒2025 годах, когда резко возросла степень опасности, исходящей от ботнетов — сетей устройств, зараженных вредоносным ПО и управляемых злоумышленниками. До этого времени типичный ботнет насчитывал 200‒300 тыс. устройств, а после мог включать от 2 до 10 млн. Считается, что виной тому продолжающийся процесс мировой интернетизации: у больших масс населения, особенно в Юго-Восточной Азии и Латинской Америке, появилась возможность высококачественного выхода в Сеть.

Сегодня Curator работает сразу на нескольких фронтах. Самый предсказуемый из них — атаки на уровне сети. В ходе таких атак хакер «заваливает» канал связи таким объемом мусорного трафика, что пропускная способность сети исчерпывается — и легитимные запросы просто не могут пробиться. Это не взлом, а засор: труба не сломана, она забита. Но невзирая на свой зачастую разрушительный эффект, атаки на уровне сети отражаются довольно легко: для них нужны огромные каналы и инфраструктура. Для компании, предоставляющей сервис защиты от DDoS, это простая экономика: заработанное на абонентской плате клиентов расходуется на покупку полосы пропускания у операторов связи. Чем больше емкость сети, тем более мощные атаки она способна поглотить. Объемы же DDoS-атак растут постоянно — и становятся дешевле для организаторов. Теоретически атакующий может сгенерировать поток, превышающий мощности сети провайдера (как это было с лабораторией в МГУ). Если такое случается регулярно, провайдеру нужно снова инвестировать в каналы связи.

Более тяжелый фронт — атаки на уровне приложения. В этом случае хакер не «забивает трубу», а изматывает сервер «умными» запросами — такими, которые внешне не отличить от действий живого пользователя. Сервер тратит ресурсы на их обработку, перегружается и перестает отвечать. Если приводить аналогию, то эти запросы подобны толпе людей, которые заходят в магазин, подолгу занимают продавца вопросами, но ничего не покупают — в то время как настоящие покупатели даже не могут попасть в магазин. Здесь нужны не только подходящие каналы, но и интеллектуальные алгоритмы, так как ботнет мимикрирует под реальных пользователей и ложных нужно фильтровать. С каждым годом эта задача становится все сложнее.

Например, браузер Headless Chrome позволяет с помощью стандартных механизмов эмулировать пользователя практически неотличимо от настоящего. Злоумышленник может запустить тысячу таких невидимых браузеров на сервере, и все они будут выглядеть как тысяча обычных людей, зашедших на сайт. Они будут кликать, листать, заполнять формы — но делать это со скоростью и масштабами, недоступными человеку. Для интернет-магазина, например, это будет выглядеть как ажиотаж. Но последствия будут печальными: боты, имитирующие покупателей, создают такую нагрузку на сервер, что настоящие пользователи просто не могут зайти и сделать покупку.

Состязание «брони» и «снаряда» здесь идет непрерывно. Защитники вынуждены придумывать новые хитрости. В частности, они ищут микроскопические различия между обычным пользователем и ботом: какие именно шрифты подгружаются, как быстро происходят те или иные события, есть ли реальное движение мыши (которое у обычного человека хаотичное, а у бота — идеально прямолинейное). Но каждая новая версия Chrome сужает эти различия.

Зачем брать кредиты, когда бизнес и так растет? У нас всегда положительный cash flow, а заработанные деньги идут в емкость наших сетей. И мы всегда независимы

Более того, злоумышленники осваивают тактику «ковровых бомбардировок»: сначала проводится полная разведка инфраструктуры компании, которая выбирается мишенью. Затем атакуются все ее ресурсы, включая незащищенные. «Абсолютно все защитить дорого. Но если у вас защищен не весь периметр, а только веб-сайт, который генерирует девяносто процентов прибыли, и находится какая-то “дырочка” в инфраструктуре — вам заливают ботов туда, и в итоге ложится все, включая веб-сайт. Сейчас крупные заказчики уже об этом знают, а раньше, бывало, сомневались. Был у нас прекрасный кейс с одним мясокомбинатом. Они вопрошали: “А зачем нам вообще защита? У нас же сайт чисто в качестве визитки, полежит — ничего страшного”. В итоге им через сайт положили всю цифровую инфраструктуру, и технологический процесс оказался полностью нарушен. И таких кейсов у нас накопилось достаточно много», — рассказывает Ткачев.

Испытание технологиями

Рассуждая о будущем, глава Curator выделяет три главных вызова. Во-первых, так называемые IoT-устройства: это умные вещи самых разных видов, способные подключаться к интернету и обмениваться информацией друг с другом. Сейчас это основная «кормовая база» для ботнетов. «Если ботнет состоит из 10 миллионов устройств, и каждое сделает по одному запросу — получится 10 миллионов запросов в секунду. Необходима инфраструктура достаточно мощная, чтобы переработать подобную нагрузку. Поэтому мы отслеживаем текущие тенденции и постоянно достраиваем свою сеть — и с точки зрения каналов связи, и с точки зрения вычислительных ресурсов», — объясняет Ткачев.

Вторая проблема связана с искусственным интеллектом. Пока что ИИ больше помогает атакующим, чем защитникам. Раньше хакер должен был самостоятельно изучить уязвимости, написать скрипты — теперь же ИИ позволяет перебирать все варианты атак круглосуточно в автоматическом режиме. «Атаки становятся дешевыми и бесконечными. Вы постоянно сканируете, и как только находите дыру, автоматически запускаете ресурсы для успешной атаки», — описывает ситуацию Ткачев.

Защитник же находится в принципиально другой позиции: ему нужно закрыть все уязвимости, а не одну. Пропустил хоть одну — атака прошла. Защитник не может позволить себе расслабиться ни на секунду. Он тоже порой использует искусственный интеллект, но защитные системы на основе ИИ обучаются на известных паттернах, атакующие это знают и намеренно модифицируют методы своих атак. Наконец, агрессивная автоматическая защита может заблокировать легитимных пользователей — для бизнеса это тоже потери.

Третьим вызовом, по мнению Ткачева, станет развитие квантовых вычислений. С их помощью сертификаты, которые сейчас используются для шифрования трафика на сайтах, можно будет ломать достаточно быстро. Придется создавать сертификаты, устойчивые к квантовому взлому. Возможно, потребуется больше ресурсов для обработки всего трафика, идущего через защитную инфраструктуру.

В настоящее время Curator, достигший по итогам 2025 года выручки в 2 млрд рублей, придерживается выбранной на самом старте линии органического роста с замахом не на масштаб, а на качественное развитие и расширение продуктовой линейки. Основной фокус остается на российском рынке, и он, как считают в компании, далеко не исчерпан.