Как EdgeЦентр защищает клиентов от DDoS-атак, хакеров и ботов
Сегодня киберугрозы нависают почти над каждым ресурсом. Для того, чтобы уберечь свой сайт и IT-инфраструктуру от простоев, потери средств и конфиденциальных данных, важно иметь хорошую защиту.
Комплексный подход к защите
Комплексный подход подразумевает, что безопасность обеспечена на всех уровнях модели OSI. При этом ресурсы защищены не только от DDoS-атак, но и от взломов и ботов. Комплексный подход предусматривает любые векторы атаки и надёжно защищает всю систему.
EdgeSecurity — полностью отечественный продукт. Он сможет отразить DDoS-атаку во внутренних сетях, между сетями провайдеров и атакуемой сетью.
Также мы уберегаем клиентов от частой ошибки, когда защищено только приложение (L7), а инфраструктура (L3 и L4) нет. Как раз это и может стать лазейкой для злоумышленников. Мы предугадываем такой сценарий, поэтому анализируем сетевой контур наших клиентов или проводим стресс-тестирование. Так мы подсвечиваем проблемные места и предлагаем решения как их закрыть.
Как EdgeSecurity обеспечивает комплексную защиту
Наш продукт состоит из 5 сервисов, каждый из которых отражает атаки на своём уровне.
1. Защита IT-инфраструктуры от массовых DDoS-атак всех типов
Отражаем атаки на шифрованном трафике на всех уровнях до L4, на нешифрованном — до уровня L7. Говоря о комплексном подходе к защите, мы обращаем внимание на все компоненты: серверы, каналы, шлюзы IP-телефонии, DNS и VPN. Ещё мы используем свою защищённую сеть для обработки больших объёмов трафика, ёмкостью до 10+ Тбит/с. Также у нас есть центры фильтрации трафика в Москве, Екатеринбурге, Новосибирске, Кемерово, Красноярске и Хабаровске.
2. Защита веб-приложений от DDoS-атак
Весь входящий трафик приложения будет идти через наши центры фильтрации по всей России и анализироваться на нескольких уровнях:
- Техническом. Получение данных сети, уровня приложений, протоколов и SSL.
- Статистическом. Вычисление аномалий трафика и анализ поведения пользователей.
- Поведенческом. Если запрос от клиента не первый, вычисляются поведенческие факторы, например, время между запросами.
- Сигнатурном. Сопоставление с актуальными сигнатурами атак. Учёт совпадений и близости.
Это помогает отделить вредоносный трафик от запросов реальных пользователей и заблокировать его.
Подключить веб-защиту можно несколькими способами:
- Без передачи и раскрытия SSL. Мы будем анализировать логи вашего веб-сервера, размечать вредоносный трафик и отрезать его на транзитном уровне.
- Reverse proxy. Весь трафик мы будем перенаправлять на защищённые IP-адреса. На вашей стороне нужно будет только поменять А-записи в настройках DNS вашего домена.
3. Защита от ботов
Бот — программа, которая имитирует деятельность человека в интернете и выполняет автоматические действия по заданному сценарию. Боты могут быть хорошими (например, поисковыми) или вредоносными (крадут информацию или перегружают сайт трафиком).
Плохих ботов вычислить гораздо сложнее, чем просто DDoS-атаку, т.к. у них очень часто нет цели положить сайт. Они могут искать информацию для конкурентов или уязвимости, чтобы потом взломать приложение.
Основное преимущество нашего антибота — искусственный интеллект. Он мгновенно находит и останавливает любой бот-трафик с точностью до 99,99%.
Интегрировать и управлять защитой легко. Не нужно будет менять код. Настройка производится за пару кликов в личном кабинете на нашем сайте или через API. Также нагрузка будет равномерно распределяться по нодам фильтрации.
4. WAF
Он же, Web Application Firewall. Не даёт хакерам использовать слабые места приложения и делает безопасным API-соединение.
Например, хакеры пытаются взломать приложение через уязвимости. WAF выявит сигнатуру такого запроса и заблокирует его. В результате ресурс клиента останется безопасным для пользователей.
Другие технические возможности защиты:
- Машинное обучение сможет остановить zero-day атаки.
- Гибкая система поддерживает приложения на Ruby, PHP, NET, Perl и Python.
- Контроль качества работы по устранению уязвимостей.
- Анализ. Бессигнатурные методы не влияют на легитимный трафик.
- Простота управления. Не понадобится дорогостоящее оборудование, разработка софта или кода приложения.
- Проактивный подход. WAF самостоятельно отслеживает уязвимости и даёт рекомендации по их устранению.
- Отказоустойчивость. Не нужно останавливать работу сайта при подключении.
- Нет ложных срабатываний. Их коэффициент составляет менее 0,01%.
- SLA до 99,99%.
5. Стресс-тест
В рамках сервиса мы тестируем, какие максимальные нагрузки может выдержать ресурс, и эффективность защиты от DDoS-атак, которую использует клиент.
Стресс-тесты особенно полезны для новых проектов, по которым ожидается наплыв трафика. Тест даст возможность понять, готова ли ваша система к наплыву посетителей и не нужно ли подключить дополнительные вычислительные мощности. Также мы выясняем, какие уязвимости есть в системе и как быстро она реагирует на атаки.
Ещё такой тест даёт понять, правильно ли реагирует команда сотрудников — какие действия предпринимают и какие выбирают меры защиты в первую очередь.
Проходит тест в 5 этапов:
- Погружение в проект, определение параметров тестирования и выбор даты проведения теста.
- Тестирование сервиса на L3 и L4. Проверка ресурса на устойчивость к сетевым атакам и имитация UDP- и TCP-флуда.
- Тестирование на уровне приложения с имитацией низкочастотных атак.
- Анализ полученных данных и составление подробной отчётности о слабых местах инфраструктуры.
- Формирование рекомендаций по защите слабых мест системы.
Как мы защищаем отдельные сферы бизнеса на основе реальных кейсов
СМИ
Один из наших клиентов — крупное СМИ, входящее в топ-5 по популярности в России. Боты собирали новый контент и замедляли работу их сайта. Кроме того, они использовали уязвимость в бизнес-логике: на сайт можно было войти с помощью СМС. Боты генерировали огромное количество запросов на отправку сообщений. В результате клиент потратил миллионы рублей за рассылку СМС.
В первую очередь мы исправили уязвимость: ввели ограничение на количество запросов на отправку СМС. В защите от ботов использовали дополнительные метрики, чтобы детально выявлять и блокировать вредоносный трафик.
Правительственный ЦОД
После событий 24 февраля ИБ-команда одного из региональных ЦОДов сменила поставщика DDoS-защиты. Однако во время построения каналов остались уязвимости, которые позволяли злоумышленникам с помощью небольшой DDoS-атаки положить всю инфраструктуру региона.
Мы провели стресс-тестирование и составили отчёт об уязвимостях. В итоге разработали совместное решение на базе двух независимых операторов с защитой от DDoS-атак.
Финтех
Под угрозой оказались операционные офисы одного из банков. Злоумышленники вычислили автономную систему банка и определили IP-адреса, используемые для офисов. Они направили распределённую DDoS-атаку на все подразделения одновременно, что парализовало работу целого региона не на один час.
Мы предоставили защищённые каналы и IP-транзит для всей автономной системы банка. Так мы обезопасили канальную часть от любых DDoS-атак.
Онлайн-ритейл
Интернет-магазин, который работал на всю Россию, медленно загружался и выдавал ошибки. Выяснилось, что причиной стали боты, которые собирали информацию о товарах и ценах. Они создавали бот-трафик и перегружали сайт. В итоге пользователи уходили, и бизнес терял выручку.
Мы проанализировали весь трафик, выявили паттерны ботов и добавили их в сигнатуры. Такая тактика позволила заблокировать вредоносные бот-запросы. Нагрузка на сайт снизилась, и интернет-магазин стал работать без ошибок.
Какие особенности есть у нашей защиты:
- Защищённые каналы. Специально под проект выделяется отдельный интернет-канал с защитой от DDoS-атак.
- Фильтрация без редиректов, капчи, блокировки по геолокации и IP.
- Распределённая инфраструктура. Дата-центры Tier III и собственная сеть ёмкостью 10+ Тбит/с.
- L2-связность. Прямое подключение к центрам фильтрации.
- Поддержка протоколов: IPv6, WebSocket, HTTP/2 и HTTP/3 (бета).
- Анализатор трафика. Вычисляет любые аномалии в инфраструктуре.
Индивидуальный подход к настройке
Мы понимаем, что настройка защиты может вызвать сложности, поэтому сделали процесс работы с EdgeSecurity максимально прозрачным и удобным.
- Техподдержка всегда на связи. Поможет разобраться с сервисом и проконсультирует по непонятным вопросам.
- Настройка под ваш проект. Разработаем функцию под вас, даже если у нас её нет, и внедрим в ваш продукт. В дальнейшем будем собирать аналитику по работе фичи и доработаем её при необходимости.
- Закроем технические потребности. Помимо защиты в нашем арсенале есть и другие продукты, которые помогут быстро доставлять и хранить любой контент, улучшат бизнес-процессы и создадут полностью защищённую экосистему сервисов.
- Российский поставщик. У вас не возникнут проблемы с оплатой и не придётся рассчитывать риски, если компания уйдёт с российского рынка. Также у нас есть аккредитация от Минцифры.
Итоги
Команда EdgeЦентр уделяет много внимания защите, и мы не боимся нововведений, поэтому всегда совершенствуем наш продукт. Благодаря такому подходу мы можем отбивать атаки любой сложности за короткое время. Даже если вы не являетесь нашим клиентом, но вас атаковали, вы можете связаться с нами, и мы сразу же вам поможем.
Первая мировая кибервойна и DDoS-атаки как инструмент борьбы
Директор по развитию направления кибербезопасности EdgeЦентр рассказал, как распределённые DDoS-атаки используются для политической борьбы.
Продуктовые новости EdgeЦентр: второй квартал 2023
Делимся важными обновлениями в наших продуктах за апрель, май и июнь.
Топ-8 технологий, которые делают наше облако безопасным
Intel SGX, безопасные изолированные сети, защита от DDoS-атак и другие технологии, надёжно защищающие ваши данные от раскрытия и потери.