Облачные стражи: сервисы на защите ваших веб-ресурсов

В первую очередь в зоне риска находятся госкомпании, которые подвергаются  атакам по политическим мотивам, чтобы нанести репутационный ущерб и блокировать доступность веб-ресурсов. 

В целом по рынку под удар может попасть веб-ресурс любой компании — ритейлера, банка, страховой компании, бизнеса, который имеет мировую известность, или небольшой компании, работающей на локальном рынке. 

Приведу пример. Мы предложили компании, которая обслуживает клиентов в рамках одного города, поставить защиту веб-ресурсов, однако руководство посчитало, что в этом нет необходимости, поскольку компания небольшая и не находится в зоне риска. Буквально через месяц компания была атакована и ее веб-ресурс оказался недоступен. При этом в небольших компаниях бизнес-приложения, как правило, находятся на тех же вычислительных мощностях, где размещается веб-ресурс. В результате атак, такие компании не могут вести деятельность из-за перегруженной инфраструктуры. 

Если вы считаете, что вас еще не атаковали и, скорее всего, к вам не придут, вы ошибаетесь. Вероятность атаки одинакова как для крупных, так и для небольших компаний.

Стоит ли защищать все ресурсы или есть ресурсы, которые не требуют защиты?

Иван Мельников. Я считаю, что необходимо защищать абсолютно все веб-ресурсы компании, а также добиваться защиты контрагентов, например, подрядчиков и заказчиков. Например, «Росавиацию» в прошлом году смогли взломать не «в лоб», а через подрядчика, просканировав ресурс и получив root-доступ на сервер, с которого и удалось «провалиться» в сеть «Росавиации». Поэтому необходимо защищать все свои веб-ресурсы и договариваться с партнерами для защиты сетей.

Александр Фикс. Действительно, помимо защиты своих веб-ресурсов стоит озаботиться и защитой соединения с контрагентами, которые имеют доступ в вашу инфраструктуру, поскольку атака может быть проведена даже без их ведома. Поэтому необходимо заботиться о защите всех соединений, даже тех, которые вы считаете надежными. 

Примеры кейсов защиты из Облака КРОК

В 2020-2021 годах проектов по защите веб-ресурсов было немного, и мы их выполняли по инициативе клиента. В 2022 году количество проектов значительно выросло. Весной, когда начались атаки на клиентов, наш бизнес все еще был направлен на предоставление вычислительных ресурсов, а не инструментов защиты. Но мы решили, что не можем оставаться в стороне, и расширили портфель решений, увеличили количество партнеров, которые помогают нам предоставлять инструменты защиты веб-ресурсов, и начали оперативно включаться в решение задач клиентов. Мы стали предлагать как проактивную защиту, когда клиенты еще не пострадали от атак, так и помощь в обеспечении доступности веб-ресурсов во время атаки. 

Например, у одного нашего клиента есть мобильное приложение и веб-ресурс под защитой Web Application Firewall. В какой-то момент веб-ресурс подвергся DDoS-атаке. WAF не рассчитан на защиту от DDoS-атак, поэтому веб-ресурс оказался перегружен и впоследствии недоступен. 

Встал вопрос о защите. Администратор, отвечающий за инструменты защиты веб-ресурсов, совместно с нашими инженерами, отвечающими за WAF, пытались обеспечить доступность веб-ресурса с помощью настройки блокировки со стороны WAF. Однако мы поняли, что не можем просто ждать, пока клиент примет решение о защите. Мы выбрали надежного и проверенного партнера, создали чат в Telegram, пригласили в чат клиента и попросили его предоставить необходимую информацию для подключения. Мы не обсуждали возможную стоимость и договор, а подключили защиту за свой счет и буквально за несколько часов смогли настроить Anti-DDoS и срезать волну атаки DDoS и ботов. И только вернув доступность веб-ресурсов клиента, мы стали обсуждать с ним условия, партнера и приемлемость решения. Клиенту решение понравилось, поскольку оно обеспечило доступность веб-ресурса во время DDoS-атаки. 

Для нас важно не только предоставлять сервисы, но и быть надежным партнером. Наши взаимоотношения с клиентами в первую очередь направлены на их дальнейшее развитие. Наша цель — помощь в решении задач клиентов, а не просто представление сервиса по запросу.

Инструменты защиты веб-ресурсов 

Передовая практика, которую мы рекомендуем клиентам, предусматривает защиту в три эшелона между интернет-пользователем и веб-ресурсом:

• Anti-DDoS (срезание DDoS-атак),
• Antibot (фильтрация ботовых запросов),
• WAF (защита веб-ресурса от уязвимостей в реальном времени).

По мере роста числа российских вендоров расширяется и портфель защиты из Облака КРОК.

Какие инструменты защиты веб-ресурсов необходимо устанавливать в первую очередь? 

Иван Мельников. В настоящее время мы используем WAF-решение, а также оцениваем, какие партнеры могут предоставить нам Anti-DDoS и Antibot-системы. Я полагаю, что в первую очередь необходимо устанавливать WAF со связкой Anti-DDoS, а Antibot подключать по запросу после необходимой юридической подготовки и настройки инфраструктуры. 

Александр Фикс. Да, начинать можно с WAF. Однако, если клиент, который не использует никаких инструментов защиты, подвергается DDoS-атаке, мы рекомендуем в первую очередь подключить Anti-DDoS, после чего проактивно включать остальные сервисы. 

По результатам опроса аудитории митапа, больше всего слушателей используют Anti-DDoS. Второе место занимает WAF, а третье — Antibot. Популярность Anti-DDoS связана, скорее всего, с массовостью DDoS-атак.

В Облаке КРОК мы предлагаем решения Anti-DDoS/Antibot наших партнеров — ServicePipe, StormWall, Qrator и Variti. Это надежные системы, проверенные временем и атаками, которые они успешно отражали в течение всего прошлого года. 

Anti-DDoS 

Anti-DDoS необходим для защиты от DDoS-атак, направленных в том числе на блокировку доступности веб-ресурсов. Наши решения, во-первых, блокируют атаки с первого запроса, а во-вторых, блокируют сам запрос, а не IP-адрес. Это актуально, поскольку в настоящее время большинство клиентов выходит в интернет через NAT, и есть большая вероятность, что несколько клиентов переходят на веб-ресурс с одного и того же белого IP-адреса. Блокировка по IP-адресу «срезает» намного больше легитимных пользователей, чем блокировка по запросу. 

Antibot 

Antibot защищает от ботовых запросов, например, личные кабинеты. Если в личном кабинете подключена двухфакторная аутентификация, генерируется sms с кодом. За каждое сообщение списываются деньги. При ботовой атаке генерируются запросы и, соответственно, отправляются sms, что может оказаться болезненно, если генерируются миллионы запросов.

Antibot помогает сократить количество запросов, которые идут на WAF. Это позволяет экономить, поскольку WAF тарифицируется по количеству запросов.

Один из наших клиентов, крупный ритейлер, собирает аналитику по поведению пользователей на сайте и по взаимодействию пользователя с тем или иным товаром. Эта информация передается в отдел маркетинга. Статистика была замечательной и  менеджеры закрывали свои KPI. Мы предложили компании включить Antibot  в тестовом режиме на две недели и оценить реальную статистику. Выяснилось, что, фактически, пользователей на сайте в три раза меньше, чем показывала аналитика, что привело к внутренним изменениям в компании.

Мы рекомендуем компаниям, которые занимаются E-com и собирают аналитику, подключать Antibot, чтоб иметь реальную картину действий пользователей на веб-ресурсах. 

Подключение сервисов Anti-DDoS/Antibot происходит, как правило, за один день.

• Мы создаем чат в Telegram, где клиент может генерировать запросы или тикеты, либо использовать Jira для создания тикета.
• При работе по тикету создается чат, клиент заполняет небольшой опросник. После этого мы включаем защиту в режим обучения, если используется Antibot. Если используется Anti-DDoS, обучение можно не включать в зависимости от того, находится ли клиент под атакой или нет. 
• Клиент получает доступ к личному кабинету, в котором может посмотреть результаты мониторинга и статистику трафика и внести изменения, например, в белые или черные списки. 
• Кроме того, мы предоставляем клиентам возможность подключения защищенного интернет-канала напрямую от наших партнеров через фильтрующие ноды в инфраструктуру клиента, что обеспечивает защиту сети. 
• Мы также предоставляем бесплатный демо-доступ, позволяющий оценить предлагаемый сервис.

Мы предлагаем защиту как с раскрытием SSL-сертификата, так и без раскрытия SSL-сертификата.

КРОК Облачные сервисы предлагает два отечественных решения Web Application Firewall — SolidWall и WebmonitorX, которые отличаются по архитектуре.  

• Для WebmonitorX в нашем облаке разворачиваются фильтрующие ноды, а база данных с сигнатурами атак и известными уязвимостями находится в облаке WebmonitorX. При этом фильтрующие ноды постоянно синхронизируются с облаком WebmonitorX. 
• SolidWall полностью устанавливается в Облако КРОК, включая фильтрующие ноды и базы данных. 

Оба решения могут быть представлены как мультитенантные или как частные инсталляции. SolidWall отлично подходит компаниям, которые хотят, чтобы все данные хранились внутри контура. При этом WebmonitorX отправляет в свое облако не данные клиента, а сигнатуры атак для сверки.

Для клиентов, имеющих собственные веб-ресурсы, веб-ресурсы с личным кабинетом и (или) мобильное приложение, использование WAF обеспечивает следующее:

• анализ трафика в реальном времени; 
• защиту от уязвимостей по OWASP Top-10 (угроз нулевого дня);
• cервис сканирования API-запросов (в настоящее время большая часть запросов генерируется не пользователями, а приложениями, которые общаются между собой с помощью API-запросов);
• защиту от API OWASP Top-10;
• простое создание кастомных правил безопасности;
• масштабирование до 100 тыс. запросов/с; 
• просмотр статистики в личном кабинете в ручном режиме (количество запросов, количество заблокированных запросов, известные уязвимости или уязвимости, обнаруженные на веб-ресурсах клиента);
• защиту от XSS и SQL-инъекций;
• защиту открытых директорий на веб-ресурсах клиента;
• защиту мобильного приложения.

WAF подключается очень быстро с раскрытием сертификата. 

После подключения мы переводим WAF в режим мониторинга. WAF обучается 1-1,5 недели на запросах клиента, после чего предоставляется отчет о том, какие запросы блокируются, а какие пропускаются. Клиент может «обелить» определенные запросы, если уверен в их легитимности. После этого WAF переводится в режим блокировки, т. е. включается активная защита.

Иван Мельников. Мы прогнозировали взрывной рост числа атак с начала 2022 года и заранее готовили метрики в нашей системе мониторинга. Мы собирали 500-е и 400-е ошибки (в основном, отказ в авторизации или 404). Когда попытки просканировать наши веб-ресурсы возросли кратно и мы увидели, кому принадлежат адреса, с которых проводятся атаки, мы поняли, что наши ресурсы пытаются взломать. Поэтому приняли решение о внедрении инструмента защиты веб-приложений (WAF).

Мы заранее договорились с партнером о предоставлении WAF-решения. Когда атаки усилились до 5-6 попыток сканирования в день, мы подключили выбранную систему, начали с бесплатного демо-доступа.

Мы решили использовать облачное решение с фильтрующими нодами в облаке, которые синхронизируются с нодой клиента. Мы пропустили этап мониторинга и сразу включили проактивную защиту, что позволило достаточно быстро найти все вредоносные запросы. Около недели потребовалось на тонкую настройку WAF, создание правил и белых списков, что оказалось достаточно просто благодаря понятной инструкции от разработчика. Кроме того, все вопросы по тонкой настройке WAF-решения помогала оперативно решать служба поддержки, которая в течение 10-15 минут реагировала на запросы по электронной почте, разбиралась в проблемах и предлагала варианты решений. 

В результате за один день мы получили WAF, который работает у нас до сих пор. Мы ежедневно сталкиваемся с 3-4 попытками сканировать наши веб-ресурсы и можем блокировать вредоносные адреса буквально после одного запроса и отслеживать статистику. 

Мы самостоятельно администрируем фильтрующие ноды, что достаточно просто с учетом уровня наших технических знаний и компетенций. Кроме того, техподдержка всегда готова нам помочь в случае возникновения каких-либо вопросов.

Для клиентов, у которых недостаточно компетенций для управления инструментами защиты веб-ресурсов, КРОК Облачные сервисы предлагает услуги администрирования с гарантированным SLA. 

Мы выбрали облачное решение после сравнения различных вариантов с учетом следующих факторов:

• Обновление сигнатуры происходит со стороны облака, а с нашей стороны – простая синхронизация. Мы решили, что аутсорсинг в данном случае будет намного дешевле, чем работа наших специалистов, вынужденных ежедневно обновлять сигнатуры.
• В облаке на панели мы видим абсолютно все, что происходит с нашими ресурсами, что значительно упрощает администрирование. 
• Наши веб-ресурсы постоянно сканируются, мы видим уязвимости и можем быстро их устранять.

Александр Фикс. Облачное решение позволяет:

• Быстро развернуть инструмент и быстро подключиться. Для использования решения on premise нужно закупить и установить лицензии и оборудование, что занимает очень много времени. Облачные инструменты защиты подключаются день в день или даже за несколько часов.
• Перейти от капитальных затрат к сервису по подписке. Оплата производится только за время использования сервиса. 
• Пользоваться защитой без значительных компетенций и штата сотрудников, отвечающих за защиту информационных систем. Клиент получает гарантированные SLA, все обязательства по поддержанию доступности, обновлению фильтрующих нод или сигнатур выполняет партнер. 

Крупным компаниям с большими штатом ИТ-специалистов может показаться более удобным вариант с закупкой лицензий и самостоятельным администрированием. Однако покупка лицензии — это покупка определенной пропускной способности веб-ресурсов. События прошлого года показали, что даже богатый опыт и способность прогнозировать рост количества пользователей не помогают справиться с ростом числа пользователей веб-ресурсов, например, в случае массового ухода с рынка зарубежных решений. При этом приобретение услуг по подписке позволяет быстро масштабировать доступные ресурсы, просто приобретая другой тариф. 

• Обеспечить максимальную отказоустойчивость, поскольку фильтрующие ноды находятся в кластере, растянутом на три дата-центра КРОК Облачные сервисы. 

Кроме большого количества проектов по внедрению инструментов Anti-DDoS, по подключению клиентов и защите от уязвимостей, в 2022 году мы также проводили комплексные проекты и проекты по локализации (переводу инфраструктуры компании в Облако КРОК). Например, в одном из кейсов мы внедряли весь контур защиты информационных систем на базе нашего облака, включая контроль пользователей DLP, сетевую безопасность, защиту рабочих станций, почты и различные системы защиты информационной инфраструктуры. У наших заказчиков пользуются популярностью сканеры и управление уязвимостями, защита почты, защита от целенаправленных атак и многофакторная аутентификация.

Вопрос. Имеет ли смысл защита, если на нее тратится больше средств, чем приносит сайт?

Александр Фикс. Защита имеет смысл, хотя многое зависит от того, что это за веб-ресурс. Однако если на сайте хранятся, например, персональные данные, данные других компаний, и если сервер будет атакован или взломан, а данные скомпрометированы, вы понесете намного большие затраты, чем стоимость защиты веб-ресурса.

Вопрос. Можно ли рассчитать базовую стоимость WAF?

Александр Фикс. Базовую стоимость оценить сложно, поскольку мы предлагаем разные конфигурации решения, включая мультитенантную или частную инсталляцию, разворачиваемую под клиента. Но вы можете отправить запрос в Telegram или на AFiks@croc.ru, и мы рассчитаем базовую стоимость WAF специально для вас.

Иван Мельников. Мы платим за WAF около 150 тыс.в месяц. При этом на наш веб-ресурс прилетает около 2 млн запросов. 

Вопрос. Вы привели пример международного банк с защитой на базе облачного решения. Он действительно отправляет все запросы через облако? Как работает механизм для конфиденциальных данных клиентов? 

Александр Фикс. Банки отправляют все запросы через наше облако, и в облаке размещается контур средств защиты информационных систем (СЗИ). Облако КРОК имеет аттестацию PCI DSS и аттестацию по 152-ФЗ до УЗ-1, поэтому запросы можно отправлять без проблем. 

Вопрос. Для подключения сервиса защиты необходимо перенести приложение на инфраструктуру КРОК Облачные сервисы или можно оставить как есть? Как устроена интеграция?

Александр Фикс. Для того чтобы использовать наши средства безопасности, переносить веб-приложение в нашу инфраструктуру не требуется. Например, при использовании WAF мы 

• направляем трафик на наши фильтрующие ноды, 
• создаем проксирование трафика с раскрытием SSL-сертификата между фильтрующими нодами и инфраструктурой клиента, 
• клиент меняет А-запись на DNS-сервере на предоставленный нами защищенный белый IP-адрес, 
• пользовательский трафик начинает идти через наши фильтрующие ноды.