«В тени МИД России в крошечном подвальном офисе работают около 20 инженеров — антихакерская компания Qrator стала спасательным кругом для российских медиа», — писал в ноябре 2012 года журналист The Wall Street Journal Лукас Альперт. С тех пор из подвала в центре Qrator переехала на «чердак» на северо-западе Москвы. Комната программистов заставлена машинками, собранными из детских конструкторов, другую занимает стол для пинг-понга, в третьей разбросаны огромные ярко-оранжевые пуфы, а в углу стоит раскладушка с полосатым матрацем. Основатель компании Александр Лямин и полсотни его сотрудников в таких условиях чувствуют себя как дома. Лямин говорит, что драка с хакерами похожа на игру в покер: «Хорошие карты меняют стратегию, противник взламывает один фильтр за другим, но в конце концов мы его всегда останавливаем».
Выручка компании в 2014 году составила более 150 млн рублей, в активе — более 10 000 отраженных атак и несколько сотен клиентов за пять лет. В их числе платежные системы Qiwi и «Деньги Онлайн», «Альфа-Банк» и другие крупнейшие банки, кибермаркет «Юлмарт», большинство федеральных медиа.
Опыты на МГУ
Qrator вышел из Центра информационных интернет-технологий МГУ, где Лямин работал IT-специалистом — проектировал и строил университетскую сеть. Зарплаты хватало только на оплату жилья (Лямин родом из Мурманска), поэтому молодой программист подрабатывал, консультируя клиентов по постройке сложных распределенных приложений. Тогда Лямин и познакомился с американским оборудованием Guard для нейтрализации DDoS-атак: «Результативность устройства сильно меня разочаровала, я решил придумать что-то получше и занялся изучением и классификацией атак».
Опубликовал объявление о том, что бесплатно восстановит любой сайт после DDоS-атаки. Полосу канальной емкости для экспериментов Лямину предоставил университет. «Следующие полтора года стали моим персональным кошмаром — желающих бесплатно избавиться от атак оказалось множество, телефон звонил круглые сутки, начались серьезные проблемы со сном», — вспоминает Лямин. Цели своей он достиг: изучил и классифицировал атаки и способы противодействия. Наиболее эффективные стали основой алгоритмики будущего Qrator.
Итог — 600 спасенных web-сайтов за полтора года.
Все бы хорошо, но летом 2010 года случилась массированная DDoS-атака, в полтора раза превышающая максимальную способность университетской сети. «Атака предназначалась для наших «подопечных», но по дороге нарушила работоспособность всей сети университета», — говорит Лямин. Тогда его начальство осознало, что эксперимент с изучением DDoS-атак на базе университетского ресурса может весьма плачевно закончиться для самого ЦИИТ МГУ. Стартап отпочковался.
Продажа доступности
В 2010 году Лямин основал собственную компанию по защите от DDoS-атак, инвестировав в запуск 5 млн рублей личных средств, заработанных на IT-консалтинге. Из университетского проекта с ним ушли еще три сотрудника, которые и ныне являются соучредителями Qrator.
Опыта в бизнесе ни у кого не было, так что начали с ошибки: компания предложила клиентам невнятную ценовую политику, в которой стоимость защиты на месяц зависела от скорости атаки. «Клиенты же хотели гарантии доступности своих сайтов», — понимает теперь Лямин.
В итоге реальные продажи составили меньше 1% из имеющейся клиентской базы в 600 аккаунтов. С менеджером по продажам расстались, но вместе с ним ушла вся клиентская база. «Это был провал. Возникла и еще одна проблема: клиенты вяло реагировали на формулировку «защита от DDoS-атак». Требовалась другая, более понятная. Но никто из нас не мог эффективно объяснить, что именно мы продаем», — вспоминает Лямин. Пока искали ответ на этот вопрос, три месяца работали с убытком в 500 000 рублей.
В итоге к количеству трафика на защищаемом ресурсе добавили доступность сайтов при любой скорости атаки, работу с шифрованным трафиком и его фильтрацию. Стоимость пакета защиты — от 5000 до 135 000 рублей в месяц.
Раннее утро мая 2011 года. Лямин наливает горячий кофе в кружку и открывает «Хабрахабр» (социальное СМИ об IT), но ресурс не работает. «По косвенным признакам понимаю, что ребята под DDoS-атакой, и начинаю обрывать трубки секретарям — говорю, что мы их быстро поднимем, все сделаем бесплатно и гарантированно», — вспоминает он.
В этот же день ресурс заработал, а Qrator получил нужную огласку в комьюнити специалистов, управляющих сайтами: вскоре обратился за помощью сервис для размещения и проведения рекламных кампаний «Блогун», и его «поднимали» уже не бесплатно.
В том же 2011 году в день выборов в Госдуму телефон Qrator разрывался: «За вечер мы получили десяток новых аккаунтов, в основном от оказавшихся под DDoS-атаками оппозиционных СМИ, наблюдающими за законностью выборов, — Slon, «Большой город», телеканал «Дождь», «Новая газета», — вспоминает Лямин. Нарастить базу помогли и контакты по прежнему консалтинговому бизнесу. Спустя 9 месяцев Qrator вышел на операционную безубыточность.
Принцип работы у Qrator следующий: на магистральных партнерских каналах (в Сан-Хосе, Далласе, Эшборне, Осло, Стокгольме, Франкфурте и Москве) компания арендует места в дата-центрах и размещает там свое оборудование — программно-аппаратный комплекс, способный работать на нагрузках, отражающих атаки. Лямин называет его «центром очистки трафика».
Далее система клиента получает трафик интернета (пакеты) только через инфраструктуру компании Лямина. Трафик пропускается через фильтры программно-аппаратного комплекса, а соответствующие алгоритмы на лету определяют, пакет «здоровый» или от злоумышленника.
Клиента окружают своего рода виртуальным забором с «пропускными пунктами» — они и останавливают атаки при первых признаках.
Руководитель направления Kaspersky DDoS Prevention «Лаборатории Касперского» Евгений Виговский признает, что их конкуренты используют эффективную модель работы с заказчиками: «Специализированные облачные решения, пожалуй, наиболее прогрессивный подход в отличие от использования аппаратной защиты на площадке заказчика. Они способны защитить от всех видов атак, не требуют установки специализированного оборудования у заказчика и не зависят от провайдеров. Так работает и Qrator, и «Лаборатория Касперского».
«Какой-кто куратор все рубит»
Конкурентное преимущество Qrator — его не видно до тех пор, пока не случается атака, говорят игроки рынка. «Они помогают, а не отписываются, — хвалит своего партнера главный редактор журнала «Хакер» Илья Русанен. — У них крутая поддержка не только когда ты под атакой, но и в обычное время. В силу специфики «Хакера» мы постоянно отбивали серьезные атаки, но сегодня они сошли на нет. Мы несколько раз о себе читали: «Не, «Хакер» теперь не заддосишь. Там «Куратор» какой-то все рубит». О попытках DDoS-вторжений клиент может узнать лишь из отчетов самого Qrator, подтверждает и гендиректор Anywayanyday Евгений Шухлин. Сервис по продаже билетов Anywayanyday и кибермаркет «Юлмарт» сотрудничают с компанией Лямина с 2012 года.
В 2012 году по просьбе Минкомсвязи Qrator работал консультантом во время президентских выборов — искал и устранял дыры, через которые возможны атаки. «В итоге был отличный выхлоп — в самых различных госструктурах у нас появилась стабильные заказчики», — говорит Лямин. Доля госструктур в общей структуре выручки — порядка 10%, крупный и малый бизнес — примерно по 45%. С госсектором Лямин работает не напрямую, а через партнеров, таких как КРОК или Group-IB. «В отличие от нас они отлично справляются с потоком документации, которая следует после госконтрактов», — объясняет Лямин.
24 марта 2014 года основатель банка «Тинькофф Кредитные Системы» Олег Тиньков обнаружил в своем Twitter странное послание. Пользователь аккаунта Pump Water Reboot предупреждал бизнесмена о начале крупной DDoS-атаки, за прекращение которой требовал $1000. В ответ Тиньков пообещал найти хакера. В результате банк столкнулся с проблемами в работе сайта и приложений, держатели карт — при оплате онлайн-покупок. Банку удалось отразить DDoS-атаку, а исполнителя, 20-летнего хакера из Поволжья, задержали спецслужбы.
ТКС — один из крупных клиентов Qrator. Причастность своей компании к отражению конкретной атаки Лямин предпочитает официально не подтверждать. А вице-президент Тинькофф Банка по информационной безопасности Станислав Павлунин прекрасно помнит эту атаку и ценит партнеров «за молниеносную реакцию».
Делить клиентов с двумя основными конкурентами — «Лабораторией Касперского» и «Ростелекомом» — пока не приходится, места хватает всем.
По словам Виговского, «Лаборатория Касперского» исторически была ориентирована на крупных заказчиков, «но в последние годы на фоне значительного роста DDoS-атак на средний и малый бизнес наблюдает рост интереса к нашему решению и со стороны небольших компаний».
Пока гранды «наблюдают интерес», Qrator разрабатывает отдельное решение для сегмента e-commerce — Safe Sales. «Он предназначен для самой уязвимой части рынка — электронной коммерции, где DDoS-атаки —стандартное оружие для уничтожения конкурентов», — говорит Лямин. Safe Sales будет продвигаться в партнерстве с компанией Wallarm, предотвращающей взломы, кражи баз клиентов, товаров, платежей, поставщиков и других участников процесса продаж. Решение планируется вывести на рынок в концу 2015 года.
Повлиял ли на бизнес кризис? Оборудование и закупки в евро и долларах, а доход рублевый. «Пока маржа не критически упала, а комфорт заказчиков и наша доля на рынке прямо сейчас важнее маржи, поэтому мы заморозили цены на свои услуги до конца года», — говорит Лямин.
Следующий его шаг — выход на зарубежные рынки. В 2014 году Qrator уже запустил технологические площадки в США и нашел первого заказчика. В ближайших планах открытие офисов продаж. Права на ошибку, в отличие от России, тут нет: «В США кровавая конкуренция, после первой же ошибки можно закрывать бизнес».
Одновременно со Штатами в Qrator рассматривают и рынки Юго-Восточной Азии, приглядываясь к Гонконгу, Сингапуру и Японии. Лямин планирует использовать свой опыт работы с шифрованным трафиком, использование которого в Европе за 2014 год выросло в 4 раза. «Подход отличный, но нужны масштабные инвестиции в строительство сети высокопроизводительных и отказоустойчивых центров очистки, дорогостоящее оборудование, команда профессионалов, на постоянной основе занимающаяся анализом всего зловредного ПО, непрерывный мониторинг DDoS-активностей в сети для оперативного реагирования», — предупреждает конкурента Евгений Виговский из «Лаборатории Касперского».
Хватит ли средств? Прогноз выручки по итогам 2015 года — порядка 300 млн рублей. Не так уж много для столь масштабных задач, но Лямину интересны новые вызовы: «Если вы думаете, что я уже построил бизнес — ошибаетесь. Пока мы только разминаемся».