Атак бояться – в интернет не ходить

Чем рискует предприниматель, открывающий интернет-магазин, и как защитить свой бизнес в сети в условиях постоянно совершенствующихся технологий взлома и при этом не потерять в прибыльности, рассказывает Рустэм Хайретдинов, генеральный директор компании «Атак Киллер». Автор статьи уверен, что на рынке уже существуют технологии, которые гарантируют выявление DDoS-атак на первом этапе.

Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»

Всемирная сеть обеспечивает неограниченные возможности для развития бизнеса, и в первую очередь это, конечно, касается электронной коммерции и сферы услуг. Помимо прямого увеличения продаж интернет позволяет также экономить на транзакционных расходах и повышать лояльность клиентов за счет непосредственного общения с ними. Компании понимают эти выгоды и считают обязательным обеспечить себе как минимум представительство в сети. Однако данный формат бизнеса несет новые риски и угрозы. О том, как защитить свой бизнес в сети, знает далеко не каждый, и ситуация усугубляется постоянным развитием технологий взлома.

Что грозит бизнесу в сети

Во-первых, это недоступность ресурса: атакующие «заваливают» сервис большим количеством запросов, которые он не в состоянии обработать, после чего легальные пользователи не имеют возможности воспользоваться атакуемым сервисом. Такие DoS/DDoS- атаки (Denial of Service/Distributed Denial of Service) способны «закрыть двери» вашего онлайн-магазина перед покупателями. Вернется ли клиент после этого?

Владельцы электронных магазинов оказываются в худшей ситуации, чем другие веб-сервисы. Например, во время DoS/ DDoS-атаки на сайт банка его клиенты в ответ атакуют call-центр, но от услуг этого банка вряд ли откажутся. А вот покупки в других онлайн-магазинах во время простоя вашего – это упущенная выгода.

Кстати, снижение посещаемости ресурса может быть результатом не только DDoS- атаки. Был случай, когда крупный ритейлер заметил резкое падение трафика на своих ресурсах: сайт был в порядке, но клиентов не было. Причина была в небольшом баннере, который содержал ссылку на вредоносный ресурс, поэтому весь сайт был помечен антивирусными компаниями как небезопасный. Браузерные антивирусы при попытке зайти на сайт выдавали предупреждение о том, что запрашиваемый ресурс несет в себе угрозу. Устранить последствия было не так легко, как кажется: чтобы вычистить свой сайт из постоянно синхронизирующихся «черных списков» антивирусных компаний, пришлось потратить не одну неделю.

Часто за прекращение атаки злоумышленники требуют деньги, поскольку магазину выгоднее им заплатить, чем терять деньги на клиентах

Во-вторых, покупателей можно пустить на сайт, но дезинформировать: подменить информацию о товарах, их доступности и ценах. Неправильные цены или информация о товаре могут оттолкнуть покупателей и отправить их в поисках нужного товара на сайты конкурентов. Преднамеренно некорректные ссылки, поставленные злоумышленниками, могут увести покупателя, уже выбравшего товар, на другой сайт для продолжения заказа. При помощи манипуляций с контентом сайта можно понизить его рейтинг в поисковых системах – все эти угрозы станут реальностью, если хакеры доберутся до интерфейса управления контентом, подобрав пароль или отыскав уязвимость в механизме авторизации.

Можно также разместить на сайте запрещенные материалы: порноролики, экстремистские лозунги. И бизнес в этом случае либо «в лучшем случае» теряет репутацию, либо попадает под санкции Роскомнадзора.

В-третьих, если в электронном магазине есть личные кабинеты покупателей, в которых хранятся их персональные данные и личная информация – фамилии и имена, адреса электронной почты, адреса доставки, список уже произведенных и отложенных покупок и т.п., то эта информация будет уже интересна не только конкурентам, но и хакерам. Недели не проходит, чтобы хакеры не опубликовали базы учетных данных различных веб-сервисов. Клиентам это может доставить, мягко говоря, неудобство в формате от шантажа до взлома других его учетных записей. И у него, конечно, пропадает желание дальше совершать покупки на сайте, который «сдал» своих клиентов.

В-четвертых, если электронный магазин – в целях удобства своих клиентов! – хранит информацию о платежных картах, он потенциально может стать источником «полезной» информации для хакеров.

Но работать вне интернета сейчас – это заранее проиграть. Как быть?

Как защититься от хакеров

Путей несколько. Часто за прекращение атаки злоумышленники требуют деньги, поскольку магазину выгоднее им заплатить, чем терять деньги на клиентах. Не самое мудрое решение – гораздо эффективнее обратиться к профессионалам в области защиты веб-ресурсов.

Можно, конечно, передать обслуживание полностью на аутсорсинг или даже разместить приложения в защищенных дата-центрах. Но в таких вариантах есть подводные камни. Аутсорсеры действительно хорошо справляются с уже известными атаками на сетевом уровне, но обычно гораздо менее успешны в отражении атак на прикладном: они не могут понять по трафику, атака это или важное для бизнеса изменение сайта. Обслуживание в дата-центре добавляет риск того, что вы можете стать жертвой атаки на «соседа» по дата-центру: довольно часто, чтобы «завалить» один ресурс, злоумышленники атакуют целиком канал на дата-центре или взламывают одно приложение через более уязвимое соседнее, находящееся в том же сегменте сети.

Сейчас есть разнообразные инструменты для защиты: сканеры уязвимостей, мониторы трафика, antiDDoS-решения и межсетевые экраны прикладного уровня. Проблема в том, что большинство инструментов защиты – пассивные, они не блокируют атаки, а лишь информируют об аномалиях и делегируют решение о блокировании атак операторам. Такие решения работают только в умелых руках. Без специалистов инструменты становятся лишь дорогими игрушками – успех множества атак в последние годы обусловлен именно неправильными настройками средств защиты. Например, многие системы защиты от DDoS-атак используют установленный на стороне веб-сайта сенсор начала атаки, но переключать входящий трафик на очистку в случае начала атаки нужно вручную. Несогласованные действия, отсутствие оператора в момент начала атаки или другие явления пресловутого «человеческого фактора» в то время, когда счет идет на секунды, позволяли злоумышленникам добиться успеха.

С распространением новых технологий машинного обучения и элементов искусственного интеллекта стали появляться активные решения: они умеют быстро обучаться, отличать атаки от легитимных аномалий трафика, различать функции и уязвимости, а также моделировать поведение хакеров при атаке. Это позволяет свести ложные срабатывания практически к нулю, а значит – освободить людей от принятия решений. Такие технологии гарантируют выявление DDoS-атак на первом этапе и возможность их блокировки на дальних подступах, пока они еще не достигли угрожающего размера. Также решения этого класса позволяют определять атаки на прикладном уровне, то есть с использованием бизнес-зависимых функций сайта: до сих пор их умели выявлять и блокировать только вручную. Поскольку такие решения появились сравнительно недавно и выбор их невелик, то о них еще не все знают, предпочитая использовать проверенные пассивные методы.

Можно ли добиться прибыльности не в ущерб безопасности

Правильные люди и процессы, а вовсе не технологии, являются главной проблемой защиты веб-приложений. Эта проблема приобрела уже такие масштабы, что в ecommerce-компаниях появляется позиция digital officer – сотрудник, целиком отвечающий за прибыльность электронного направления бизнеса. Они не разбираются в сортах атак, будучи нацеленными только на повышение эффективности онлайн-каналов. Им нужен единый инструмент защиты бизнес-инструмента, веб-приложения, за который они целиком отвечают.

Непрерывная защита веб-приложения подразумевает полностью автоматизированный постоянный контроль изменений в программном обеспечении и инфраструктуре, немедленный анализ этих изменений на уязвимости и последующее изменение настроек систем защиты таким образом, чтобы можно было блокировать атаки на найденные уязвимости прямо на трафике, не дожидаясь исправлений, которые могут потребовать много времени.

Именно сочетание новейших технологий отражения всех видов атак, алгоритмов машинного обучения, контроля всех этапов жизненного цикла веб-приложения с организационными изменениями в управлении интернет-направлением в бизнесе позволяет решить задачу эффективного и бесперебойного функционирования веб-приложения.