Облачные платформы становятся все более востребованными в корпоративном секторе. Они позволяют использовать вычислительные ресурсы и сетевые мощности тогда, когда они необходимы, и быстро запускать ИТ-проекты, используя как «строительные блоки» готовые сервисы для хранения, обработки и доставки данных. На сегодняшний день из облака специализированного сервис-провайдера можно получить и эффективные решения для информационной безопасности.
Электронная коммерция привлекает и будет привлекать хакеров. Торговые площадки в интернете аккумулируют значительный пользовательский трафик, хранят персональную информацию и интегрированы с платежными сервисами, открывающими доступ к финансам пользователей. Через плохо защищенный сайт киберпреступники могут проникнуть во внутренние ИТ-системы предприятия и украсть сведения, относящиеся к коммерческой тайне. Можно просто вывести интернет-магазин из строя и разрушить тщательно отлаженную систему продаж и маркетинговых коммуникаций с покупателями. Неработающий сайт – это проблема номер один для e-commerce, для популярного интернет-магазина простой в один час может привести к убыткам в миллионы рублей.
Чем грозят DDoS-атаки e-commerce
Организовать DDoS-атаку (Distributed Denial of Service, распределенный отказ в обслуживании), то есть перегрузить сайт или каналы связи нецелевым трафиком, практически ничего не стоит. Себестоимость нападения, которое как минимум замедлит работу ресурса, составляет несколько долларов. За пару сотен незащищенный сайт можно гарантированно вывести из строя.
С точки зрения информационных технологий, интернет-магазин – это веб-приложение с неопределенным кругом пользователей. С каждым действием пользователя – заходом на сайт, нажатием кнопки, заполнением формы, запросом дополнительной информации – возникает риск нарушения безопасности. Далеко не все компании осознают, что с момента выхода в онлайн они стали ИТ-компаниями, и что теперь им нужно не только уметь использовать информационные технологии в интересах бизнеса, но и научиться отражать новые, часто неожиданные, угрозы.
Например, в одном крупном интернет-магазине злоумышленник сумел купить дорогой телевизор за один рубль. Как? У магазина было сразу несколько проблем с ИБ в виде незакрытых уязвимостей ПО, но ключевую роль сыграло решение системного администратора упростить себе работу. Он не организовал контроль доступа пользователей к управлению бонусной системой. Одна из уязвимостей сайта позволила маскировать действия злоумышленника под легальные запросы сотрудника. Так злоумышленник «забрался» внутрь системы и смог манипулировать ценами и бонусами.
Если бы компания использовала ресурсы межсетевого экрана веб-приложений (WAF), системы, которая фильтрует запросы пользователей к веб-сайту и блокирует те из них, которые расцениваются ей как зловредные, веб-ресурс можно было защитить даже при наличии незакрытых уязвимостей. WAF анализирует запросы конечных пользователей к веб-ресурсу и блокирует попытки взлома на основании сигнатур известных уязвимостей и профилей поведения пользователей. WAF также позволяет создавать виртуальные патчи ПО в ситуации, когда нет возможности быстро исправить критическую уязвимость в коде веб-ресурса или установить необходимые обновления безопасности. На рынке ИБ существует значительное количество вендоров WAF, в том числе есть российские, например, Positive technologies и «Валарм».
Обеспечение информационной безопасности – это специализированный, сложный и достаточно дорогой вид деятельности, поэтому не стоит ожидать, что эту услугу кто-то окажет в рамках пакета других сервисов. Например, разработчик веб-сайта или мобильного приложения для вашего магазина не будет тратить свое время и ресурсы на создание более безопасного решения, если это отдельно не оговорено и оплачено.
При разработках in-house тоже не все гладко, даже в крупных компаниях, где существуют свои ИБ-службы. Часто ИТ-специалисты при разработке новых продуктов и сервисов обходят стороной службу ИБ, ведь руководство требует запустить новую услугу раньше конкурентов, а «безопасники» могут к чему-нибудь придраться и сорвать сроки.
Проблемы в области безопасности веб-ресурса далеко не всегда связаны с дефектами разработки самого веб-приложения. Порой они возникают как следствие неправильного с точки зрения ИБ механизма обработки информации, неправильных конфигураций, ошибок в администрировании систем. К тому же, несмотря на все массовые атаки прошлых лет, во многих компаниях остается оборудование, например, сетевая аппаратура, с незакрытыми давно известными уязвимостями.
Есть и объективный фактор того, что риски в сфере информационной безопасности с течением времени не будут снижаться, – это постоянно растущая сложность ИТ-ландшафта. По данным компании «Ростелеком-Солар», специализирующейся на информационной безопасности, в средней организации раз в месяц сотрудники начинают использовать 2-3 новых, неучтенных с точки зрения ИБ, сервиса, доступных в интернете.
Облачные ИБ-решения
Так что же делать? Может ли совокупность новейших технических систем заменить сотрудников ИБ? Или, наоборот, нужно собирать суперпрофессиональную команду ИБ, чтобы она из имеющихся систем выжала 100% результативности? Истина, как всегда, посередине: наилучший выбор – это проверенные инструменты в руках компетентного специалиста. Сегодня решения такого класса можно получить из облака специализированного сервис-провайдера.
Мы наблюдаем стремительный рост популярности облачных платформ в корпоративном секторе. Облако позволяет использовать вычислительные ресурсы и сетевые мощности тогда, когда они необходимы, и быстро запускать ИТ-проекты, используя как «строительные блоки» готовые сервисы для хранения, обработки и доставки данных. Также облако может содержать географически распределенные компоненты для повышения скорости обработки запросов пользователей из разных регионов.
Облачные платформы, имеющие в своем портфеле сервисы информационной безопасности, имеют большое преимущество в глазах пользователей благодаря простоте их внедрения. В числе таких сервисов сегодня можно получить защиту от DDoS на сетевом и прикладном уровнях, WAF, мониторинг событий ИБ и анализ инцидентов.
Крупные облачные платформы имеют широкие возможности для анализа трафика и обучения средств защиты от DDoS-атак и хакерских проникновений. Эффективность защиты может быть подтверждена гарантиями, которые сервис-провайдер дает в отношении работоспособности защищаемого веб-ресурса. Такие гарантии формулируются в соглашение о качестве услуг (Service Level Agreement, SLA).
На российском рынке представлены как решения ведущих зарубежных вендоров облачных сервисов, таких, например, как Cloudflare или Akamai, так и российские облачные платформы, обеспечивающие защиту веб-ресурсов. Стоит иметь ввиду, что на эффективность работы того или иного решения на территории России значительно влияет наличие и развитость локальной инфраструктуры, а по этому показателю решения зарубежных вендоров серьезно проигрывают тем российским, которые имеют развитую платформу, интегрированную с сетями отечественных операторов связи.
Облачная сервисная модель позволяет эффективно решать важную для интернет-магазина задачу: обеспечить защиту веб-ресурса без потери производительности, не увеличивая капитальные затраты и не ограничивая возможности быстрого масштабирования. Закономерно, что облачные сервисы становятся частью комплексного подхода к обеспечению информационной безопасности веб-ресурсов электронной коммерции.
Константин Анохин, коммерческий директор провайдера облачных сервисов NGENIX