Сервисы ИБ на страже онлайн-ритейла

Многие интернет-магазины уже столкнулись с ситуацией, когда в предпраздничные дни или в дни тотальных распродаж (так называемые «черные пятницы») их сайты становятся жертвами направленных DDoS-атак, вследствие чего оказываются недоступными. Нет доступа к сайту – нет покупок – нет выручки. В результате вместо ожидаемой сверхприбыли – обманутые ожидания покупателей, урон репутации и ущерб бизнесу. Стоимость таких атак сравнительно небольшая, и в условиях обостряющейся борьбы за клиентов конкуренты все чаще прибегают к подобным методам. Опасаться стоит не только крупным торговым сетям. В преддверии высокого сезона, в праздничные дни в зоне риска оказываются и небольшие онлайн-компании: сайты подарков, доставки цветов, туристические агентства, поисковики авиабилетов и т. д.

Помимо конкурентной борьбы, целью атак может быть и личная нажива. Хакеры взламывают сайты для получения собственной выгоды, превращая скомпрометированную площадку в источник дохода: проводят несанкционированные операции с товарами, подменяют цены, начисляют бонусы и даже получают данные банковских карт покупателей. И все из-за ошибок разработчиков, которые в погоне за функциональностью сайтов слишком мало внимания уделяют их безопасности.

Комплексная защита от мошенников
Подобные атаки происходят все чаще. И владельцам онлайн-магазинов уже не нужно объяснять, что свои сайты необходимо защищать. Риски атак и взломов не эфемерны и могут быть оценены, исходя из реальных убытков для бизнеса. Остается только разобраться, как реализовать защиту сайтов в условиях минимального бюджета и отсутствия необходимых специалистов. А именно такая ситуация сегодня характерна для многих ритейлеров.

Реализация этих мер требует внедрения специализированных систем информационной безопасности. Защита от DDoS-атак, направленных на переполнение пропускной способности канала, реализуется с помощью систем Anti-DDoS, которые в реальном времени анализируют трафик, выявляют аномалии и, в случае начала атаки, включают очистку трафика, пропуская лишь легитимных клиентов. Защита от атак прикладного уровня (хакерские атаки, взломы, утечка информации и пр.) реализуется на базе межсетевых экранов прикладного уровня – систем WAF, обеспечивающих фильтрацию запросов на основе сигнатурного и поведенческого анализа с учетом логики работы каждого приложения. Для сканирования и анализа программного кода на наличие уязвимостей необходимы специализированные сканеры кода.

Безопасность как процесс. Проблемы реализации
Все перечисленные системы являются дорогостоящими и сложными в эксплуатации. И даже если компании удается согласовать закупку необходимых систем безопасности, встает следующий вопрос: а что же делать дальше, как обеспечить их эффективное функционирование? Первоначальные настройки политик быстро становятся неактуальными. Веб-приложения очень часто модифицируются, т.к. появляются новые бизнес-задачи: меняется логика, структура, обновляются релизы. Необходимо постоянно корректировать политики средств защиты, адаптировать их к вносимым изменениям. Скоуп операционной работы на этом не заканчивается – для эффективной защиты требуется все время контролировать доступность веб-приложений; контролировать успешность противодействия атакам; при каждом вносимом изменении сканировать и анализировать программный код на наличие уязвимостей и т. д. Так что организация защиты – это не разовое мероприятие, а непрерывный целенаправленный процесс, выстроить который в отсутствии штата квалифицированных специалистов невозможно. Для администрирования ИБ-систем требуются узкопрофильные специалисты, найти которых непросто.

Сервисные услуги в ассортименте
Рассмотрим, каким компаниям и какой вид сервисных услуг стоит выбирать. Небольшим интернет-магазинам и стартапам целесообразно рассматривать вариант защищенного хостинга. Это оптимальное решение для быстрого развертывания инфраструктуры и обеспечения ее безопасности. Все, что требуется, это просто выбрать облачного-провайдера, в портфеле услуг которого, помимо аренды вычислительных мощностей, есть сервисы информационной безопасности, необходимые для защиты сайта: защита от DDoS, защита веб-приложений и др.

Вариант хостинга может быть интересен не только маленьким, но и крупным торговым сетям. Например, в виртуальном ЦОД компании «Инфосистемы Джет», развернута платформа SAP Hybris и реализован широкий перечень специализированных сервисов ИБ, что позволяет крупным компаниям получить по сервисной модели мощную e-сommerce-платформу корпоративного уровня и серьезную комплексную защиту веб-ресурсов.

Если используется собственная инфраструктура, и услуги хостинга не актуальны, часть вопросов безопасности оптимально закрыть с помощью облачных сервисов ИБ. Сейчас на рынке достаточно много предложений по облачной защите от DDoS-атак. Многие мировые и отечественные компании оказывают услуги по фильтрации интернет-трафика в облаке, гарантируя эффективное противодействие мощным атакам в десятки Гбит/сек и высокую доступность объекта защиты. Организовать аналогичную защиту собственными силами очень дорого и сложно. В случае облачного сервиса оплата будет производиться в зависимости от полосы пропускания легитимного трафика в виде ежемесячных платежей.

Что касается облачных сервисов по защите от атак прикладного уровня, к сожалению, они не так распространены и больше подходят для защиты небольших бесхитростных сайтов. В первую очередь это связано с трудоемкостью эксплуатации WAF-систем, на базе которых они реализуются, и сложностью кастомизации механизмов защиты под специфику каждого веб-ресурса. Поэтому если речь идет о критичном сайте со сложной структурой и высокой динамикой изменений, когда еженедельно или даже ежедневно обновляются каталоги продукции, проводятся новые акции и т. д., т. е. требуется постоянная адаптация политик защиты, рекомендуется установить на площадку полноценное WAF-решение и передать его на эксплуатацию внешней специализированной компании, обладающей необходимым опытом и экспертизой, как правило, системному интегратору. При этом сама WAF-система может быть либо куплена ритейлером, либо предоставлена в аренду поставщиком услуг.
В рамках эксплуатационного аутсорсинга интегратор осуществляет все необходимые работы по настройке и сопровождению WAF: проводит глубокий анализ структуры и логики защищаемых веб-приложений, разрабатывает индивидуальные правила фильтрации, актуализирует их при каждом изменении сайта, обеспечивает мониторинг и оперативную адаптацию политик защиты в случае атаки.

Не забываем исправлять ошибки в коде
Также мы упоминали о том, что для построения эффективной защиты сайта, помимо реализации защиты от DDoS-атак и атак прикладного уровня, необходимо осуществлять своевременное сканирование программного кода веб-приложений на наличие ошибок и уязвимостей, которые могут быть использованы злоумышленниками. Как решить эту задачу?

Безопасность онлайн-ресурса напрямую зависит от качества разработки. Разовое сканирование бесполезно, веб-приложения постоянно дорабатываются и корректируются. Анализировать код необходимо на регулярной основе при каждом вносимом изменении. Решений подобного рода на рынке много. Инструменты сканирования представлены как в облачном, так и в локальном исполнении. Локальные анализаторы кода, как правило, рассчитаны на большое число сканирований и могут быть избыточными, особенно для небольших ритейловых компаний. В этом случае получить услугу сканирования на условиях удобной и гибкой тарификации позволяют опять же облачные сервисы. Стоимость таких облачных услуг зависит от количества строк кода и частоты сканирования. Единственное «но»: обычно требуется загрузка программного кода в облако.

Для большинства распространенных языков программирования анализ кода представляет собой полностью автоматизированный процесс, результатом которого является перечень ошибок и уязвимостей программного кода. Казалось бы, все просто, но и здесь могут возникнуть трудности. Во-первых, компании нужно выстроить отлаженный процесс сканирования, во-вторых, анализировать полученные результаты и согласовывать их с разработчиками, в-третьих, разрабатывать и применять меры для закрытия уязвимостей на имеющихся средствах защиты и т.д. Если нет своих квалифицированных специалистов, имеет смысл передать эту задачу на аутсорсинг, особенно если для эксплуатации WAF и других средств защиты уже привлекается внешняя специализированная компания. Получая результаты сканирования, специалисты аутсорсера могут оперативно корректировать настройки на эксплуатируемых средствах защиты, что позволяет закрыть «бреши» приложения на время исправления кода программистами. При этом не важно, какой инструмент сканирования, локальный или облачный, используется для анализа кода.


Таким образом, сервисная модель обеспечения информационной безопасности может стать эффективной защитой от угроз для каждого онлайн-ритейлера, при этом существенно повысит защищенность интернет-магазинов, избавит от разовых затрат, непрофильной деятельности и необходимости поиска специалистов.