ПереDDoS. Кто виноват и что делать

Прослушать новость

Александр Лямин, генеральный директор Qrator Labs

С ростом числа мобильных устройств, развитием мобильных сетей и интернета вещей «веб» все больше проникает в жизнь каждого человека. Для онлайн-бизнеса это открывает значительно больше возможностей, чем когда-либо прежде. Но и опасностей становится не меньше.

Интернет-шопинг с каждым годом получает все бо́льшую популярность. Как показало исследование Nielsen, уже 89% российских онлайн-покупателей приобретают (а не просто «прицениваются») товары в Сети, и все благодаря удобству электронной коммерции. Однако есть и оборотная сторона медали: развитие e-commerce открывает невиданные ранее перспективы для киберпреступников. Чтобы избежать простоев бизнеса и оставаться на плаву, необходимо во всеоружии встречать угрозу.
Интернет-магазины все чаще становятся жертвами распределенных атак на отказ в обслуживании — DDoS, способных вывести из строя неугодный сайт на несколько часов или даже дней. А иногда и привести к закрытию бизнеса. DDoS-атаки зачастую не направлены напрямую на кражу денежных средств. Однако вызванные ими простои в работе интернет-ресурсов означают упущенную выгоду от несостоявшихся продаж.
Чаще всего для организации атаки используются десятки и сотни тысяч зараженных компьютеров, разбросанных по всему миру, с которых направляется постоянный поток ложных запросов на сервер-жертву. В итоге сервер расходует все ресурсы на обслуживание таких запросов, и сайт компании становится «недосягаемым» для посетителей. Простота и доступность организации DDoS-атак выводят их на первые позиции среди наиболее эффективных средств конкурентной борьбы и экономического давления. От DDoS не застрахован никто, однако в зоне поражения чаще всего оказываются финансовые организации, СМИ и электронная торговля.

Дешево и сердито
По данным исследования Qrator Labs «Анализ киберугроз в онлайн-ритейле РФ», 65% крупных онлайн-ритейлеров считают DDoS-атаки серьезной угрозой для их бизнеса. Подавляющее большинство компаний определяют недобросовестную конкуренцию в качестве основного мотива заказчиков подобных нападений, а 20% назвали причиной организации DDoS-атак намерение причинить ущерб из мести, личной неприязни и пр. В настоящее время на одного владельца интернет-магазина приходится около 22 DDoS-атак в год. Если сравнить этот показатель, к примеру, с уровнем атак на образовательные сайты (53 атаки в год на один ресурс) или платежные системы (41 атака), то видно, что сектор e-commerce не самый частый «клиент» злоумышленников. Однако для сферы онлайн-торговли такое количество нападений является очень ощутимым и может причинить серьезные убытки бизнесу. В особенности если для атаки выбран точный момент: например, период проведения активной рекламной кампании. «Уронить» сайт конкурента в это время фактически означает захлопнуть дверь перед лицом покупателей. Как следствие — недовольство многочисленных клиентов, в том числе потенциальных. Ситуацию усугубляет и тот факт, что уровень затрат на проведение подобных атак минимален: чтобы «положить» средний сайт достаточно тратить 50–100 долларов в сутки. Что и говорить: бюджетно и безопасно, ведь отследить заказчика практически невозможно.
Характер и уровень DDoS-атак в сфере ритейла отличается в зависимости от того, на какой сегмент и нишу онлайн-торговли они направлены. Для небольших компаний, работающих в узкой нише и отличающихся агрессивным маркетинговым поведением (ценовая конкуренция, массированная реклама, многочисленные акции), DDoS с целью получения экономической выгоды сохраняет свои позиции. Цветочные магазины, онлайн-магазины электроники, сайты с новогодними товарами и даже службы Дедов Морозов часто подвергаются атакам в периоды сезонной активности.
В случае с крупными ритейлерами ситуация гораздо сложнее. Большие федеральные сети сейчас повсеместно переходят в онлайн. При этом основной их целью далеко не всегда являются прямые продажи в Сети: зачастую акцент сделан на программах лояльности, бонусных и накопительных системах, доступных через интернет. Соответственно, и характер атак в этом сегменте совсем другой. Основная проблема для «гигантов» — это не только DDoS-атаки, но и взломы и получение незаконного доступа к конфиденциальной информации: кража пользовательской базы, доступ к отдельным учетным записям. Если раньше «ддосили» сайты, чтобы переманить клиентов, то теперь DDoS-атаки и взломы направлены на программы лояльности, что бьет по бизнесу даже сильнее.
Брутфорс-атаки (атаки, в которых применяются специальные инструменты для перебора паролей) стали проблемой практически для всех крупных интернет-ритейлеров с программами лояльности. Чаще всего для приобретения материальной выгоды злоумышленники используют функционал различных бонусных и скидочных кодов. Украденные бонусные баллы применяются для приобретения товаров со скидкой (иногда 100%); далее такие товары перепродаются по рыночной стоимости. Из-за увеличивающегося объема трафика и заявок в службу поддержки компании терпят как прямые, так и косвенные убытки: у них ухудшается репутация в глазах клиентов, чей аккаунт подвергся взлому.
Крупные онлайн-ритейлеры, по нашим наблюдениям, не так часто подвергаются DDoS-атакам, однако рост количества нападений в среднем на одну компанию в 2017 году, по сравнению с 2016-м, составил около 50%. В основном это атаки среднего уровня стоимостью около 100–200 долларов в сутки, цель которых — навредить и доставить неудобства жертве. Но даже такие нападения могут сделать «больно» и привести к краткосрочным перебоям в работе.
В периоды распродаж нагрузки на сетевые ресурсы крупных ритейлеров растут и без внешних воздействий — в результате наплыва покупателей. По нашим данным, объемы «живого» трафика в среднем в такие дни вырастают в два раза, а в результате нападений в период распродаж этот показатель увеличивается в четыре и более раз. К примеру, во время глобальной распродажи Black Friday 2017 объем трафика ведущих игроков рынка электронной торговли вырос в среднем на 120%. В это время конкуренты могут организовывать атаки, надеясь, что удастся пробить брешь в защите на фоне естественного роста трафика.

Что дальше?
Основным вызовом с точки зрения защиты от DDoS для любого представителя онлайн-ритейла являются атаки на уровне приложений (L7 сетевой модели OSI). Это атаки на веб-приложения сайтов, которым приходится обрабатывать запросы как от реальных клиентов, так и фейковые — от ботов. Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. Киберпреступники направляют ложные запросы на приложения, в которых не требуется авторизация, и которые отвечают за сложные расчеты (склад, логистика, скидочные программы, рекомендуемые товары).
Многие компании полагают, что данную проблему можно решить, отсекая запросы с подозрительных IP-адресов. Однако отличить реальных пользователей от ботов не так просто, а неаккуратная фильтрация может привести к блокировке реальных клиентов и потерям для бизнеса. Системы, в которых фильтрация осуществляется вручную, не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользователей. Здесь требуется автоматический анализ трафика со сложными математическими алгоритмами.
Защищается малый и средний онлайн-ритейл также по-разному. Небольшие интернет-магазины в большинстве своем не используют решения по противодействию DDoS-атакам или пытаются заниматься разработкой собственных средств защиты. После безуспешных попыток самостоятельно защитить свою инфраструктуру от DDoS ритейлеры начинают поиск внешних поставщиков, правда, бывает слишком поздно: сайт уже «лежит», а убытки растут.
В сегменте крупного ритейла складывается противоположная ситуация. 90% компаний применяют решения от внешних поставщиков, остальные используют собственные средства. Некоторые полагаются на защиту со стороны операторов связи, что не всегда эффективно, поскольку сети провайдеров не рассчитаны на экстремальные нагрузки и не всегда могут нейтрализовать высокоскоростные атаки. Другая часть ритейлеров использует специализированные геораспределенные сервисы, которые изначально построены в расчете на работу под постоянным воздействием большого числа атак. Каждый сервер в таких системах работает независимо, и при выходе из строя одного из них трафик защищаемого сайта перенаправляется на другой ближайший узел, за счет чего клиенты не замечают ухудшение производительности своих ресурсов даже во время атаки.

Меры воздействия
В первую очередь, очень важно, чтобы сайт компании был не только устойчивым к DDoS, но также мог «отработать» большое количество легитимных пользователей, поэтому у интернет-ресурса должен быть как минимум двукратный запас производительности. Какое количество посетителей будет нормой для сайта, определяет непосредственно владелец ресурса. Для кого-то максимум — 100 запросов в секунду, для других штатная ситуация — 1000 запросов. Здесь важно осознать, что превышение нормы в два–три раза когда-нибудь обязательно будет, поэтому и планировать мощности веб-узла нужно исходя из этих показателей. Например, нередко можно встретить ситуацию, когда после проведения рекламной кампании на сайт организации буквально обрушивается большое число пользователей, и ресурс не справляется с такой нагрузкой, становясь недоступным.
Помимо этого, до запуска сайта необходимо проверить сервер на предмет уязвимости. Должно быть обновлено программное обеспечение и установлены необходимые патчи. Иными словами, нужно «перекрыть» все уязвимые места.
Следует выбрать надежный хостинг. Размещать сайт на shared хостинге (виртуальном хостинге) крайне не рекомендуется, хотя этот вид хостинга наиболее экономичный и простой. Проблема недорогих площадок — в размещении на одном сервере множества веб-сайтов, при этом набор инструментов для управления ресурсами у таких хостингов ограничен. В таких условиях самостоятельно противостоять атакам довольно сложно: компания не может выделить свой трафик, а общий контролировать невозможно. Поэтому рекомендуется выбирать проверенную хостинг-компанию, которая может оказать услуги по защите от DDoS и предоставляет клиентам различные тарифные планы.
Крупным онлайн-ритейлерам важно позаботиться о защите от взлома. В любом коде серьезного приложения возможны ошибки. Хакеры используют их, чтобы получить несанкционированный доступ к данным владельцев и пользователей сайта. Необходимо не только своевременно обнаружить и блокировать атаки на приложение, но также устранить возможность эксплуатации уязвимых участков, что может открыть перед злоумышленниками прямой путь к базе данных, включая персональную информацию о клиентах, их счетах и прочие важные данные. Эффективные системы защиты от взлома должны содержать следующие компоненты: проактивный фильтр, блокирующий большую часть атак на веб-приложение, систему обнаружения уязвимостей и систему Virtual Patching (виртуальные патчи), способную зафиксировать опасность и защитить приложения сайта в режиме онлайн.
Общий совет интернет-продавцам: оценить свою конкурентную среду, проанализировать характер атак, чтобы понять, сможет ли компания на базе имеющейся инфраструктуры и со своим ИТ-персоналом отработать такие атаки, или без сторонних ресурсов не обойтись.
Какой бы метод защиты от DDoS ни выбрала компания, главное — помнить, что к нападению необходимо готовиться заранее. Построенная ИТ-инфраструктура должна полностью соответствовать объемам бизнеса. Это поможет минимизировать ущерб и не потерять лояльность клиентов даже в самый активный бизнес-сезон.