Облачные стражи: сервисы на защите ваших веб-ресурсов
О технологиях

Облачные стражи: сервисы на защите ваших веб-ресурсов

1497
20 минут

Если в инфополе стали меньше говорить о кибератаках на бизнес, это не значит, что их число действительно сократилось. К сожалению, оно продолжает расти.

Первыми под удар злоумышленников попадают веб-ресурсы – корпоративные порталы с ценными данными клиентов и сотрудников, сайты e-com. На онлайн-митапе рассказали, как их защитить с помощью облачных сервисов WAF и Anti-DDoS/Antibot, и обсудили практический кейс компании «РДЛ-Телеком».

Предлагаем вашему вниманию запись и расшифровку митапа.




Фото Александр Фикс

Александр Фикс
Менеджер по развитию бизнеса
КРОК Облачные сервисы


melnikov.png

Иван Мельников,
руководитель отдела системного администрирования
«РДЛ-Телеком»


Александр Фикс. В конце февраля — начале марта 2022 года на российские веб-ресурсы хлынула лавина атак. Компании не понимали, что делать. Кто-то пытался действовать традиционно, стараясь инициировать закупку оборудования и лицензий. Однако это 

  • очень долго,
  • требовало  капитальных вложений,
  • осложнялось уходом с рынка многих вендоров – было непонятно, к кому обращаться и какие решения приобретать.

На рынке царили паника и хаос.

Иван Мельников. Наша компания готовилась к росту числа кибератак. Мы добавили дополнительные метрики в системы мониторинга, а также искали партнеров, которые смогут предоставлять нам, как минимум, WAF-защиту. 

Александр Фикс. Ваша компания – пример для подражания, потому что вы принимали проактивные меры и сразу начали искать инструменты для защиты веб-ресурсов. Какие типы атак в прошлом году случались чаще всего? 

Иван Мельников. Мы столкнулись с более интенсивной эксплуатацией уязвимостей, т. е. различными SQL-инъекциями и XSS-инъекциями, подбором учетных данных на ресурсах, где используется авторизация, и сканированием API.

Александр Фикс. Судя по результатам нашего опроса, чаще всего случаются фишинговые атаки, DDoS-атаки и подбор учетных данных. По опыту КРОК Облачные сервисы, в прошлом году преобладали атаки с целью

  • заблокировать доступность веб-ресурсов (сайтов),
  • скомпрометировать данные (атаки на приложения).

Данные пытались скомпрометировать как с помощью фишинговых рассылок, для которых характерен очень высокий уровень успеха, так и с помощью прямых атак на веб-ресурсы. К защите от атак необходимо готовиться и обучать сотрудников, чтобы они могли отличить фишинговую атаку от реального письма, например, сообщения службы поддержки (help desk).

Также надо обратить внимание на то, что в течение прошлого года произошло несколько крупных инцидентов, когда известные компании теряли персональные данные своих клиентов. Как результат, государство принимает меры по ужесточению ответственности на законодательном уровне, например, вводит оборотный штраф за утечку ПДн до 3% от оборота.

Иван Мельников. Я уверен, что ужесточать ответственность за потерю и компрометацию персональных данных необходимо, в том числе увеличивать штрафы и вводить уголовную ответственность. Например, в прошлом году взломали «Росавиацию» и фактически удалили почти 300 Гб электронной документации. Злоумышленники могли скачать эту документацию и воспользоваться в своих целях. Поэтому ответственность необходимо ужесточать вне зависимости от того, является ли компания, потерявшая данные, частной или государственной.

Александр Фикс. Да, я как активный пользователь онлайн-площадок и магазинов хочу, чтобы мои персональные данные были надежно защищены и не могли попасть в руки мошенников.

В этом году количество атак не снижается. Как написали в «Ведомостях», число атак в феврале 2023 года по сравнению с февралем 2022 года увеличилось на 65%, хотя этот показатель ниже уровня атак в весенние и летние месяцы 2022 года. Тем не менее, ежедневно появляются новости о том, что веб-ресурсы очередной компании атаковали и они недоступны, а компания не может вести деятельность. Ситуация осложняется тем, что атакам подвергаются компании любого размера и в любых отраслях.  

Иван Мельников. Мониторинг показывает, что атаки продолжаются и на нашу компанию. В день блокируются 5-6 IP-адресов. Иногда в атаках участвуют десятки и сотни IP-адресов, то есть идет целенаправленное сканирование ресурса. 

Александр Фикс. Первоначально компании справлялись с атаками путем блокировки доступа к своим ресурсам с нероссийских IP-адресов и фильтрации атак по геотегам. Однако хакеры быстро это поняли и начали атаковать веб-ресурсы с российских IP-адресов, сделав защиту от атак по геотегам невозможной. В настоящее время преобладают атаки с российских IP-адресов.

Опрос слушателей нашего митапа также показывает,  что в этом году число атак не уменьшается. При этом существует мнение, что атаки вот-вот прекратятся и можно подумать об отключении инструментов защиты для экономии бюджета. Я уверен, что атаки будут продолжаться еще долго — и в этом, и в следующем году, и впоследствии. Поэтому я категорически не рекомендую даже рассматривать возможность отключения инструментов защиты веб-ресурсов.


Веб-ресурсы под угрозой

В первую очередь в зоне риска находятся госкомпании, которые подвергаются  атакам по политическим мотивам, чтобы нанести репутационный ущерб и блокировать доступность веб-ресурсов. 

В целом по рынку под удар может попасть веб-ресурс любой компании — ритейлера, банка, страховой компании, бизнеса, который имеет мировую известность, или небольшой компании, работающей на локальном рынке. 

Приведу пример. Мы предложили компании, которая обслуживает клиентов в рамках одного города, поставить защиту веб-ресурсов, однако руководство посчитало, что в этом нет необходимости, поскольку компания небольшая и не находится в зоне риска. Буквально через месяц компания была атакована и ее веб-ресурс оказался недоступен. При этом в небольших компаниях бизнес-приложения, как правило, находятся на тех же вычислительных мощностях, где размещается веб-ресурс. В результате атак, такие компании не могут вести деятельность из-за перегруженной инфраструктуры. 

Если вы считаете, что вас еще не атаковали и, скорее всего, к вам не придут, вы ошибаетесь. Вероятность атаки одинакова как для крупных, так и для небольших компаний.

Стоит ли защищать все ресурсы или есть ресурсы, которые не требуют защиты?

Иван Мельников. Я считаю, что необходимо защищать абсолютно все веб-ресурсы компании, а также добиваться защиты контрагентов, например, подрядчиков и заказчиков. Например, «Росавиацию» в прошлом году смогли взломать не «в лоб», а через подрядчика, просканировав ресурс и получив root-доступ на сервер, с которого и удалось «провалиться» в сеть «Росавиации». Поэтому необходимо защищать все свои веб-ресурсы и договариваться с партнерами для защиты сетей.

Александр Фикс. Действительно, помимо защиты своих веб-ресурсов стоит озаботиться и защитой соединения с контрагентами, которые имеют доступ в вашу инфраструктуру, поскольку атака может быть проведена даже без их ведома. Поэтому необходимо заботиться о защите всех соединений, даже тех, которые вы считаете надежными. 

Защита из облака – доверие растет

cases

Примеры кейсов защиты из Облака КРОК

В 2020-2021 годах проектов по защите веб-ресурсов было немного, и мы их выполняли по инициативе клиента. В 2022 году количество проектов значительно выросло. Весной, когда начались атаки на клиентов, наш бизнес все еще был направлен на предоставление вычислительных ресурсов, а не инструментов защиты. Но мы решили, что не можем оставаться в стороне, и расширили портфель решений, увеличили количество партнеров, которые помогают нам предоставлять инструменты защиты веб-ресурсов, и начали оперативно включаться в решение задач клиентов. Мы стали предлагать как проактивную защиту, когда клиенты еще не пострадали от атак, так и помощь в обеспечении доступности веб-ресурсов во время атаки. 

Например, у одного нашего клиента есть мобильное приложение и веб-ресурс под защитой Web Application Firewall. В какой-то момент веб-ресурс подвергся DDoS-атаке. WAF не рассчитан на защиту от DDoS-атак, поэтому веб-ресурс оказался перегружен и впоследствии недоступен. 

Встал вопрос о защите. Администратор, отвечающий за инструменты защиты веб-ресурсов, совместно с нашими инженерами, отвечающими за WAF, пытались обеспечить доступность веб-ресурса с помощью настройки блокировки со стороны WAF. Однако мы поняли, что не можем просто ждать, пока клиент примет решение о защите. Мы выбрали надежного и проверенного партнера, создали чат в Telegram, пригласили в чат клиента и попросили его предоставить необходимую информацию для подключения. Мы не обсуждали возможную стоимость и договор, а подключили защиту за свой счет и буквально за несколько часов смогли настроить Anti-DDoS и срезать волну атаки DDoS и ботов. И только вернув доступность веб-ресурсов клиента, мы стали обсуждать с ним условия, партнера и приемлемость решения. Клиенту решение понравилось, поскольку оно обеспечило доступность веб-ресурса во время DDoS-атаки. 

Для нас важно не только предоставлять сервисы, но и быть надежным партнером. Наши взаимоотношения с клиентами в первую очередь направлены на их дальнейшее развитие. Наша цель — помощь в решении задач клиентов, а не просто представление сервиса по запросу.

Облачные инструменты защиты онлайн-сервисов

Защита веб-ресурса

Инструменты защиты веб-ресурсов 

Передовая практика, которую мы рекомендуем клиентам, предусматривает защиту в три эшелона между интернет-пользователем и веб-ресурсом:

  • Anti-DDoS (срезание DDoS-атак),
  • Antibot (фильтрация ботовых запросов),
  • WAF (защита веб-ресурса от уязвимостей в реальном времени).

По мере роста числа российских вендоров расширяется и портфель защиты из Облака КРОК.

Какие инструменты защиты веб-ресурсов необходимо устанавливать в первую очередь? 

Иван Мельников. В настоящее время мы используем WAF-решение, а также оцениваем, какие партнеры могут предоставить нам Anti-DDoS и Antibot-системы. Я полагаю, что в первую очередь необходимо устанавливать WAF со связкой Anti-DDoS, а Antibot подключать по запросу после необходимой юридической подготовки и настройки инфраструктуры. 

Александр Фикс. Да, начинать можно с WAF. Однако, если клиент, который не использует никаких инструментов защиты, подвергается DDoS-атаке, мы рекомендуем в первую очередь подключить Anti-DDoS, после чего проактивно включать остальные сервисы. 

По результатам опроса аудитории митапа, больше всего слушателей используют Anti-DDoS. Второе место занимает WAF, а третье — Antibot. Популярность Anti-DDoS связана, скорее всего, с массовостью DDoS-атак.

AntiDDoS/Antibot из Облака КРОК

antiddos-croc

В Облаке КРОК мы предлагаем решения Anti-DDoS/Antibot наших партнеров — ServicePipe, StormWall, Qrator и Variti. Это надежные системы, проверенные временем и атаками, которые они успешно отражали в течение всего прошлого года. 

Anti-DDoS 

Anti-DDoS необходим для защиты от DDoS-атак, направленных в том числе на блокировку доступности веб-ресурсов. Наши решения, во-первых, блокируют атаки с первого запроса, а во-вторых, блокируют сам запрос, а не IP-адрес. Это актуально, поскольку в настоящее время большинство клиентов выходит в интернет через NAT, и есть большая вероятность, что несколько клиентов переходят на веб-ресурс с одного и того же белого IP-адреса. Блокировка по IP-адресу «срезает» намного больше легитимных пользователей, чем блокировка по запросу. 


Antibot 

Antibot защищает от ботовых запросов, например, личные кабинеты. Если в личном кабинете подключена двухфакторная аутентификация, генерируется sms с кодом. За каждое сообщение списываются деньги. При ботовой атаке генерируются запросы и, соответственно, отправляются sms, что может оказаться болезненно, если генерируются миллионы запросов.

Antibot помогает сократить количество запросов, которые идут на WAF. Это позволяет экономить, поскольку WAF тарифицируется по количеству запросов.

Один из наших клиентов, крупный ритейлер, собирает аналитику по поведению пользователей на сайте и по взаимодействию пользователя с тем или иным товаром. Эта информация передается в отдел маркетинга. Статистика была замечательной и  менеджеры закрывали свои KPI. Мы предложили компании включить Antibot  в тестовом режиме на две недели и оценить реальную статистику. Выяснилось, что, фактически, пользователей на сайте в три раза меньше, чем показывала аналитика, что привело к внутренним изменениям в компании.

Мы рекомендуем компаниям, которые занимаются E-com и собирают аналитику, подключать Antibot, чтоб иметь реальную картину действий пользователей на веб-ресурсах. 

Подключение сервисов Anti-DDoS/Antibot происходит, как правило, за один день.

  • Мы создаем чат в Telegram, где клиент может генерировать запросы или тикеты, либо использовать Jira для создания тикета.
  • При работе по тикету создается чат, клиент заполняет небольшой опросник. После этого мы включаем защиту в режим обучения, если используется Antibot. Если используется Anti-DDoS, обучение можно не включать в зависимости от того, находится ли клиент под атакой или нет. 
  • Клиент получает доступ к личному кабинету, в котором может посмотреть результаты мониторинга и статистику трафика и внести изменения, например, в белые или черные списки. 
  • Кроме того, мы предоставляем клиентам возможность подключения защищенного интернет-канала напрямую от наших партнеров через фильтрующие ноды в инфраструктуру клиента, что обеспечивает защиту сети. 
  • Мы также предоставляем бесплатный демо-доступ, позволяющий оценить предлагаемый сервис.

Мы предлагаем защиту как с раскрытием SSL-сертификата, так и без раскрытия SSL-сертификата.


WAF

waf

КРОК Облачные сервисы предлагает два отечественных решения Web Application Firewall — SolidWall и WebmonitorX, которые отличаются по архитектуре.  

  • Для WebmonitorX в нашем облаке разворачиваются фильтрующие ноды, а база данных с сигнатурами атак и известными уязвимостями находится в облаке WebmonitorX. При этом фильтрующие ноды постоянно синхронизируются с облаком WebmonitorX. 
  • SolidWall полностью устанавливается в Облако КРОК, включая фильтрующие ноды и базы данных. 

Оба решения могут быть представлены как мультитенантные или как частные инсталляции. SolidWall отлично подходит компаниям, которые хотят, чтобы все данные хранились внутри контура. При этом WebmonitorX отправляет в свое облако не данные клиента, а сигнатуры атак для сверки.

Для клиентов, имеющих собственные веб-ресурсы, веб-ресурсы с личным кабинетом и (или) мобильное приложение, использование WAF обеспечивает следующее:

  • анализ трафика в реальном времени; 
  • защиту от уязвимостей по OWASP Top-10 (угроз нулевого дня);
  • cервис сканирования API-запросов (в настоящее время большая часть запросов генерируется не пользователями, а приложениями, которые общаются между собой с помощью API-запросов);
  • защиту от API OWASP Top-10;
  • простое создание кастомных правил безопасности;
  • масштабирование до 100 тыс. запросов/с; 
  • просмотр статистики в личном кабинете в ручном режиме (количество запросов, количество заблокированных запросов, известные уязвимости или уязвимости, обнаруженные на веб-ресурсах клиента);
  • защиту от XSS и SQL-инъекций;
  • защиту открытых директорий на веб-ресурсах клиента;
  • защиту мобильного приложения.

WAF подключается очень быстро с раскрытием сертификата. 

После подключения мы переводим WAF в режим мониторинга. WAF обучается 1-1,5 недели на запросах клиента, после чего предоставляется отчет о том, какие запросы блокируются, а какие пропускаются. Клиент может «обелить» определенные запросы, если уверен в их легитимности. После этого WAF переводится в режим блокировки, т. е. включается активная защита.


Кейс РДЛ-Телеком

Иван Мельников. Мы прогнозировали взрывной рост числа атак с начала 2022 года и заранее готовили метрики в нашей системе мониторинга. Мы собирали 500-е и 400-е ошибки (в основном, отказ в авторизации или 404). Когда попытки просканировать наши веб-ресурсы возросли кратно и мы увидели, кому принадлежат адреса, с которых проводятся атаки, мы поняли, что наши ресурсы пытаются взломать. Поэтому приняли решение о внедрении инструмента защиты веб-приложений (WAF).

Мы заранее договорились с партнером о предоставлении WAF-решения. Когда атаки усилились до 5-6 попыток сканирования в день, мы подключили выбранную систему, начали с бесплатного демо-доступа.

Мы решили использовать облачное решение с фильтрующими нодами в облаке, которые синхронизируются с нодой клиента. Мы пропустили этап мониторинга и сразу включили проактивную защиту, что позволило достаточно быстро найти все вредоносные запросы. Около недели потребовалось на тонкую настройку WAF, создание правил и белых списков, что оказалось достаточно просто благодаря понятной инструкции от разработчика. Кроме того, все вопросы по тонкой настройке WAF-решения помогала оперативно решать служба поддержки, которая в течение 10-15 минут реагировала на запросы по электронной почте, разбиралась в проблемах и предлагала варианты решений. 

В результате за один день мы получили WAF, который работает у нас до сих пор. Мы ежедневно сталкиваемся с 3-4 попытками сканировать наши веб-ресурсы и можем блокировать вредоносные адреса буквально после одного запроса и отслеживать статистику. 

Мы самостоятельно администрируем фильтрующие ноды, что достаточно просто с учетом уровня наших технических знаний и компетенций. Кроме того, техподдержка всегда готова нам помочь в случае возникновения каких-либо вопросов.

Для клиентов, у которых недостаточно компетенций для управления инструментами защиты веб-ресурсов, КРОК Облачные сервисы предлагает услуги администрирования с гарантированным SLA. 

Мы выбрали облачное решение после сравнения различных вариантов с учетом следующих факторов:

  • Обновление сигнатуры происходит со стороны облака, а с нашей стороны – простая синхронизация. Мы решили, что аутсорсинг в данном случае будет намного дешевле, чем работа наших специалистов, вынужденных ежедневно обновлять сигнатуры.
  • В облаке на панели мы видим абсолютно все, что происходит с нашими ресурсами, что значительно упрощает администрирование. 
  • Наши веб-ресурсы постоянно сканируются, мы видим уязвимости и можем быстро их устранять.

Преимущества защиты из облака

Преимущества защиты из облака

Александр Фикс. Облачное решение позволяет:

  • Быстро развернуть инструмент и быстро подключиться. Для использования решения on premise нужно закупить и установить лицензии и оборудование, что занимает очень много времени. Облачные инструменты защиты подключаются день в день или даже за несколько часов.
  • Перейти от капитальных затрат к сервису по подписке. Оплата производится только за время использования сервиса. 
  • Пользоваться защитой без значительных компетенций и штата сотрудников, отвечающих за защиту информационных систем. Клиент получает гарантированные SLA, все обязательства по поддержанию доступности, обновлению фильтрующих нод или сигнатур выполняет партнер. 
  • Крупным компаниям с большими штатом ИТ-специалистов может показаться более удобным вариант с закупкой лицензий и самостоятельным администрированием. Однако покупка лицензии — это покупка определенной пропускной способности веб-ресурсов. События прошлого года показали, что даже богатый опыт и способность прогнозировать рост количества пользователей не помогают справиться с ростом числа пользователей веб-ресурсов, например, в случае массового ухода с рынка зарубежных решений. При этом приобретение услуг по подписке позволяет быстро масштабировать доступные ресурсы, просто приобретая другой тариф. 

  • Обеспечить максимальную отказоустойчивость, поскольку фильтрующие ноды находятся в кластере, растянутом на три дата-центра КРОК Облачные сервисы. 

Кроме большого количества проектов по внедрению инструментов Anti-DDoS, по подключению клиентов и защите от уязвимостей, в 2022 году мы также проводили комплексные проекты и проекты по локализации (переводу инфраструктуры компании в Облако КРОК). Например, в одном из кейсов мы внедряли весь контур защиты информационных систем на базе нашего облака, включая контроль пользователей DLP, сетевую безопасность, защиту рабочих станций, почты и различные системы защиты информационной инфраструктуры. У наших заказчиков пользуются популярностью сканеры и управление уязвимостями, защита почты, защита от целенаправленных атак и многофакторная аутентификация.

Вопросы и ответы

Вопрос. Имеет ли смысл защита, если на нее тратится больше средств, чем приносит сайт?

Александр Фикс. Защита имеет смысл, хотя многое зависит от того, что это за веб-ресурс. Однако если на сайте хранятся, например, персональные данные, данные других компаний, и если сервер будет атакован или взломан, а данные скомпрометированы, вы понесете намного большие затраты, чем стоимость защиты веб-ресурса.


Вопрос. Можно ли рассчитать базовую стоимость WAF?

Александр Фикс. Базовую стоимость оценить сложно, поскольку мы предлагаем разные конфигурации решения, включая мультитенантную или частную инсталляцию, разворачиваемую под клиента. Но вы можете отправить запрос в Telegram или на AFiks@croc.ru, и мы рассчитаем базовую стоимость WAF специально для вас.

Иван Мельников. Мы платим за WAF около 150 тыс.в месяц. При этом на наш веб-ресурс прилетает около 2 млн запросов. 


Вопрос. Вы привели пример международного банк с защитой на базе облачного решения. Он действительно отправляет все запросы через облако? Как работает механизм для конфиденциальных данных клиентов? 

Александр Фикс. Банки отправляют все запросы через наше облако, и в облаке размещается контур средств защиты информационных систем (СЗИ). Облако КРОК имеет аттестацию PCI DSS и аттестацию по 152-ФЗ до УЗ-1, поэтому запросы можно отправлять без проблем. 


Вопрос. Для подключения сервиса защиты необходимо перенести приложение на инфраструктуру КРОК Облачные сервисы или можно оставить как есть? Как устроена интеграция?

Александр Фикс. Для того чтобы использовать наши средства безопасности, переносить веб-приложение в нашу инфраструктуру не требуется. Например, при использовании WAF мы 

  • направляем трафик на наши фильтрующие ноды, 
  • создаем проксирование трафика с раскрытием SSL-сертификата между фильтрующими нодами и инфраструктурой клиента, 
  • клиент меняет А-запись на DNS-сервере на предоставленный нами защищенный белый IP-адрес, 
  • пользовательский трафик начинает идти через наши фильтрующие ноды.
20 декабря 2023
Ритейл использует облака для ускорения своего роста

Согласно исследованию КРОК[1] 92% крупных и средних ритейлеров в России используют облачные сервисы, остальные – собственные ЦОД и сервера. 63% определились с выбором провайдеров и не планируют его менять в ближайшем будущем. При этом с 2022 года розничные сети перешли на российские облака, и сейчас большинство пользуются услугами сразу нескольких, чтобы не попасть в зависимость от одного поставщика.

2 минуты
1119
1 ноября 2023
Незаменимых нет. Сервис на базе Nextcloud вместо привычных корпоративных облаков

Привет, Хабр! Меня зовут Александр Фикс, я менеджер по развитию бизнеса КРОК Облачные сервисы. Сегодня поговорим о тренде локализации, о том, что происходит на рынке файлообменников с уходом западных решений и какие альтернативные продукты есть у бизнеса в данный момент.

1 минута
1218
19 июня 2023
Семь трендов на рынке облачных услуг в 2023 году
До 2022 года на рынке облаков в России главенствовали мировые тренды, но сейчас наша страна пошла своим путем. О том, для чего сейчас компании используют облачные технологии и как меняется рынок, рассказал директор по развитию КРОК Облачные сервисы Сергей Зинкевич.
1 минута
2587
16 июня 2023
Рулевой в океане контейнеров
Выпуск#3 видеоподкаста «Откровенно об ИТ-инфраструктуре» посвящен Kubernetes и профессиональным платформам оркестрации контейнеров. Обсудили, как сегодня складывается ситуация на российском рынке контейнерных платформ, что востребовано и почему, особенности и перспективы работы с Kubernetes.

В гостях Александр Баталов, Генеральный директор Флант
1 минута
1684
27 апреля 2023
Выручка КРОК Облачные сервисы выросла на 20% в 2022 году
Выручка КРОК Облачные сервисы за 2022 год выросла на 20% и превысила 5 млрд рублей, а количество клиентов – на 23% до 821. На новых заказчиков приходится около 60% роста выручки. Средний месячный чек на услуги вырос на 10% и составил более 500 тыс. рублей, т.к. фокусом подразделения остается крупный бизнес различных отраслевых сегментов. Оценка работы облачной платформы, менеджерской и технической поддержки составила 9,3 балла из 10, что подтверждает высокий уровень удовлетворенности клиентов.
4 минуты
1509
scrollup