Как подобрать правильный набор средств защиты информации (СЗИ), который поможет защитить онлайн-ресурсы компании от современных киберугроз? Расскажем о защите веб-сайтов от DDoS-атак и взлома.

 

 

 

 

 

 

  1. Введение
  2. Есть ли реальная угроза для веб-ресурсов?
  3. Как защитить ресурс от хакеров?
  4. Кому подойдёт бандл?
  5. Какие преимущества даёт комплексное сервисное решение?
  6. Выводы

Введение

Онлайн сегодня — едва ли не ключевой канал общения бизнеса с клиентами и партнёрами. Впрочем, и государственные услуги почти полностью перебрались в электронный формат. Различные веб-ресурсы стали ещё популярнее с началом пандемии, а их критическая значимость для бизнеса, органов власти, медицинских и образовательных организаций возросла в разы. Недоступность сайта даже в течение часа может привести к оттоку клиентов и миллионным убыткам, а его взлом — к хищению персональных данных пользователей и корпоративной информации. Поэтому всё больше организаций задумываются о защите своих онлайн-ресурсов. Кто-то решает эту задачу силами штатных ИБ-специалистов, но есть и другой, зачастую более экономичный, вариант — комплексный сервисный подход.

Есть ли реальная угроза для веб-ресурсов?

Одна из основных угроз для онлайна, которая постоянно на слуху, — DDoS-атаки, делающие веб-ресурс недоступным для пользователей. По подсчётам «Ростелеком-Солара», за первые три квартала 2021 года их количество выросло в 2,5 раза по сравнению с предыдущим годом. В частности, в сентябре произошла самая масштабная DDoS-атака в рунете. Она была организована с помощью ботнета Meris, предположительный размер которого составлял 200 тыс. устройств. Помимо атаки на «Яндекс», этот ботнет пытался напасть и на Брайана Кребса, знаменитого специалиста в области кибербезопасности.

DDoS направлен на каналы связи. Злоумышленник отправляет в сторону ресурса жертвы множество мусорных запросов (например, с помощью ботнета). Это приводит к тому, что пропускная способность канала или сетевого оборудования быстро исчерпывается и атакуемый веб-сайт не может обработать запросы от легитимных пользователей.

Если о DDoS многие организации знают, понимая уровень этой угрозы, то об уязвимостях веб-приложений (личных кабинетов пользователей, корпоративных порталов, веб-почты и т. п.) задумываются единицы. В итоге, несмотря на то что значение веб-приложений в нашей жизни растёт, уровень их киберзащиты пока находится на весьма низком уровне. Это и ошибки конфигурации ресурсов, и некорректные права доступа для разных пользователей, и недостатки настроек безопасности. По данным исследования «Ростелеком-Солара», 57 % веб-приложений российских компаний содержат критические уязвимости, которые позволяют злоумышленникам запускать произвольный код, похищать конфиденциальную информацию и даже полностью контролировать работу атакуемого сайта.

Как защитить ресурс от хакеров?

Защититься от подобных угроз можно, но к этому вопросу стоит подходить комплексно. С одной стороны, нужно предусмотреть отказоустойчивость канала связи с помощью решений из категории Anti-DDoS. С другой — не дать хакерам проникнуть в веб-приложение через уязвимости и ошибки: установить Web Application Firewall (WAF), то есть межсетевой экран уровня веб-приложений.

Компания может интегрировать эти решения в свою инфраструктуру независимо друг от друга — пойти по пути традиционного подхода. В случае с WAF, прежде чем купить оборудование, надо разработать архитектуру решения и план внедрения. Этот процесс может затянуться на неопределённый срок. Поэтому компании часто обращаются к интеграторам. Последние должны провести обследование сети, разработать и согласовать план интеграции — словом, это тоже небыстрый процесс. А ведь всё это время веб-приложение остаётся незащищённым.

Кроме интеграции надо провести настройку WAF, задать правила фильтрации и далее регулярно их обновлять — этим должны заниматься специалисты ИБ-службы, которых в штате многих компаний или очень мало, или просто нет.

С Anti-DDoS ситуация обстоит иначе. Компания может установить на сеть собственный DDoS-фильтр, но такое решение встречается крайне редко из-за высокой стоимости и низкой эффективности (такая защита не может справиться с объёмной атакой). Ещё можно выбрать облачный Anti-DDoS от провайдера. Однако надо крайне внимательно подходить к выбору поставщика услуги и доверять свою инфраструктуру только компании с хорошей репутацией и опытом на ИБ-рынке.

Есть альтернативный вариант — эшелонированная защита со стороны сервис-провайдера, когда компания получает уже готовый набор сервисов. Входящие в состав такого пакета услуги взаимоувязаны технологически и «заточены» под конкретную проблему кибербезопасности.

Таких предложений на рынке пока мало. Например, у «Ростелеком-Солара» есть комплексное решение (бандл) «Защита онлайна». Его первая составляющая — Anti-DDoS — представляет собой магистральную защиту от DDoS-атак, реализованную на сети «Ростелекома». При использовании сервиса весь трафик проходит через специальные анализаторы и фильтры, которые отсеивают мусорные запросы, доставляя только легитимный контент.

Второй сервис в составе бандла — облачный WAF. Он обеспечивает защиту онлайн-ресурса от атак направленных не на канал связи, а на логику самого приложения, когда злоумышленники пытаются использовать уязвимости, которые есть на сайте. Такой сервис может защитить от атак с помощью уязвимостей из списка OWASP Top 10: SQL-инъекций, межсайтового скриптинга, незащищённости критически важных данных и т. д.

Кому подойдёт бандл?

О комплексной защите онлайна стоит задуматься компаниям из сегмента среднего бизнеса, которым проще передать защиту в управление сервисному провайдеру из-за нехватки ресурсов — как финансовых, так и кадровых. Одними из основных потребителей такой услуги являются онлайн-магазины. С одной стороны, доступ к их сайту критически важен, иначе они не смогут реализовывать товар. С другой — веб-приложения ретейлеров хранят много конфиденциальной информации (как персональных данных покупателей, так и платёжных сведений), поэтому им необходимо предотвратить взлом ресурса хакерами.

Также киберугроза актуальна для средних банков, у которых есть ДБО как для физических лиц, так и для юридических. Первый приоритет для них — это сохранность данных, которые собирает веб-приложение. Доступность сайта для клиентов не менее важна, так как при частых сбоях они могут уйти к конкурентам. Аналогичные риски свойственны страховым компаниям и организациям, которые занимаются денежными переводами.

Защита онлайн-ресурсов важна и для госорганизаций. Свои сайты, через которые граждане могут получать услуги онлайн, есть у региональных органов власти, у образовательных и медицинских учреждений. Главным для них является вопрос доступности сайта, так как ежедневно к ним обращается большой поток пользователей. Поскольку такие ресурсы часто обрабатывают персональную информацию граждан, защищённость веб-приложений для них не менее актуальна.

Какие преимущества даёт комплексное сервисное решение?

Конечно, любая компания может пойти по пути самостоятельной закупки и настройки СЗИ от разных вендоров. Но когда она выбирает комплексное решение, на его подключение требуется гораздо меньше времени, чем на отдельное внедрение соответствующих средств защиты. Например, для подключения WAF необходимо лишь изменить DNS-запись веб-ресурса на выделенный в рамках договора IP-адрес. Таким образом, не нужно внедрять сложные программные и аппаратные решения в свою инфраструктуру — достаточно просто подключить услугу и ежемесячно оплачивать её. Вместо капитальных расходов остаются только операционные.

Такой подход решает и кадровый вопрос. Услуги сервис-провайдера, как правило, подразумевают, что настройкой, обслуживанием и разбором инцидентов будут заниматься его эксперты, а не штатные специалисты заказчика. При этом провайдер обеспечивает защиту в режиме 24×7. Это практически невозможно организовать при традиционном подходе, когда штатная ИБ-служба состоит из одного-двух сотрудников.

Сервисный подход гарантирует и более качественное профилирование защищаемого ресурса, что особенно актуально для WAF. Конечно, любое решение «из коробки» обладает набором необходимых модулей защиты и сигнатур, но без должной настройки и адаптации правил под конкретную инфраструктуру защита будет неэффективной, а большая часть легитимной активности может быть заблокирована. В случае с бандлом профилирование может занять до полутора месяцев, но всё это время компания уже будет защищена от большинства атак, направленных на веб-приложения. Например, у «Ростелеком-Солара» бандл «Защита онлайна» является частью платформы Solar MSS, поэтому для настройки решений используется база наиболее актуальных угроз, собранная специалистами с помощью других сервисов провайдера.

Выводы

Заранее сформированный провайдером набор сервисов позволяет организации обезопасить себя от самых распространённых киберугроз. В случае с защитой онлайн-ресурсов такой набор должен включать в себя решение класса Anti-DDoS, которое обеспечит отказоустойчивость канала связи, и WAF, который не даст хакерам проникнуть в веб-приложение через уязвимости и ошибки. Будучи единым сервисным решением, такой бандл потребует гораздо меньше времени на подключение, чем отдельное внедрение соответствующих средств защиты, а его настройкой и обслуживанием вкупе с разбором инцидентов будут заниматься эксперты сервис-провайдера. Таким образом, компании не нужно внедрять сложные программные и аппаратные решения в свою инфраструктуру — достаточно просто подключить услугу и ежемесячно оплачивать её. Вместо капитальных расходов остаются только операционные.