Ретейл реального времени
Кейс защиты ретейла от хитрых ботов, адаптирующихся под обход правил фильтрации
Клиент
Федеральный онлайн‑ретейлер
Задача
Внедрить технологию защиты от DDoS-атак
Решение
Антибот Servicepipe
Клиент — федеральный онлайн-сервис заказа продуктов питания и товаров для дома с доставкой из дарксторов.
Все веб-ресурсы находятся под высокой пользовательской нагрузкой (более 1 млн доставок в день по всей России) и постоянно атакуются злоумышленниками.
Более 5 лет многочисленные веб-приложения ретейлера находились под защитой от DDoS-атак различных провайдеров, которые справлялись с простыми DDoS-атаками (типа сURL по выходным дням), переборщиками токенов и промокодов. Но на фоне массированных прикладных атак весной 2022 года стала очевидной неспособность российских антиддос-провайдеров вовремя распознавать и тонко фильтровать вредоносные запросы продвинутых ботов.
Более 5 лет многочисленные веб-приложения ретейлера находились под защитой от DDoS-атак различных провайдеров, которые справлялись с простыми DDoS-атаками (типа сURL по выходным дням), переборщиками токенов и промокодов. Но на фоне массированных прикладных атак весной 2022 года стала очевидной неспособность российских антиддос-провайдеров вовремя распознавать и тонко фильтровать вредоносные запросы продвинутых ботов.
Подключенные продукты
Web DDoS Protection
Bot Protection
WAF
Bot Protection
WAF
Вариант подключения
Cloud Protection (SaaS): проксирование трафика (L7)
Задача и требования
- Резервный интернет-канал с мгновенной защитой от DDoS-атак на L3/L4
- Круглосуточная доступность сайта и мобильного приложения без изменений в их коде
- Стабильная доставка до веб-серверов не менее 500 Мбит/с очищенного трафика
- Мгновенное отражение DDoS-атак в автоматическом режиме без блокировки IP-адресов пределах 1 секунды
- Защита от низкочастотных атак типа SMS Leak и Credential Stuffing
- Личный кабинет со статистикой по трафику, инцидентам и времени ответа сервера в реальном времени
- Интуитивно понятный веб-интерфейс продуктов защиты
- Отдача метрик мониторинга по API
Дина Фомичева
Руководитель группы продаж «Телеком биржи»
«С данной компанией „Телеком биржа“ сотрудничает с 2021 года. Ранее мы реализовали с проект по объединению ЦОДов клиента в Москве и Санкт-Петербурге каналами связи L2 за 2 недели. Когда в 2022 году у веб-ресурсов появились проблемы с защитой API и мобильных приложений, мы совместно с командой Servicepipe организовали пилотирование защиты, которое позволило создать кастомизированное решение, уникальное для рынка на тот момент. Наше сотрудничество продолжается и по сей день. Клиент отмечает высокую скорость реагирования нашей техподдержки и качество предоставляемых услуг».
Причина перехода с Arbor Peakflow на DosGate
Весной 2022 года массированный HTTPS-флуд и ботовые атаки на бизнес-логику выявили неспособность текущего антиддос-провайдера гарантировать полную защиту многочисленных веб-ресурсов ретейлера.
Отдел сетевой безопасности клиента в экстренном порядке начал искать решение, способное автоматически выявлять и блокировать продвинутых фулстек-ботов.
Отдел сетевой безопасности клиента в экстренном порядке начал искать решение, способное автоматически выявлять и блокировать продвинутых фулстек-ботов.
О процессе подключения
Пилот. Тестирование защиты началось с подключения пары ресурсов и проксировании 25% трафика через платформу облачной фильтрации Servicepipe. Система работала в режиме мониторинга, но сразу начала детектировать нелегитимные ботовые запросы. После успешного пилота под защиту были заведены все веб-ресурсы ретейлера (приложение, API, аналитика и другие).
WAF как сервис. Файрвол веб-приложения работал на периметре инфраструктуры клиента не так эффективно, как бы ему хотелось. Во-первых, постоянно возникали задержки, во-вторых, на тонкий тюнинг фильтрующих нод не хватало ресурсов. Инженеры Servicepipe помогли перенести WAF из локальной в облачную ноду. Сначала тестово развернули сервис WAF на одной из конфигураций, затем произвели миграцию всех ресурсов.
WAF как сервис. Файрвол веб-приложения работал на периметре инфраструктуры клиента не так эффективно, как бы ему хотелось. Во-первых, постоянно возникали задержки, во-вторых, на тонкий тюнинг фильтрующих нод не хватало ресурсов. Инженеры Servicepipe помогли перенести WAF из локальной в облачную ноду. Сначала тестово развернули сервис WAF на одной из конфигураций, затем произвели миграцию всех ресурсов.
“
«У нас реальный high load, больше миллиона доставок в сутки, каждый день — новые боты. Мы посидели на двух известных российских провайдерах, но ни один из них не смог защищать нас в динамике так, как это удалось сделать в связке с Servicepipe».
Photo by Paolo Feser on Unsplash
О защите от продвинутых ботов
Предложенный «Телеком биржей» провайдер Servicepipe оказался единственным провайдером защиты от ботов, которая, во-первых, действительно работала, а во-вторых, предоставляла возможность непрерывной донастройки для блокировки адаптирующихся под обход правил фильтрации ботнетов. Но, как это часто бывает в высококонкурентной среде, за простой автоматизацией последовали продвинутые боты-парсеры, которым удавалось незаметно проходить систему фильтрации.
Как решили проблему с парсингом
Ботнет, кастомизированный под бизнес-логику приложений, обнаружили не сразу. Сначала система воспринимала его запросы как легитимные. Продвинутость ботнета заключалась в том, что он сразу начинал подстраиваться под свежие сигнатуры, написанные специально под профиль трафика приложений.
Через пару месяцев ручной борьбы аналитики с разработчиками «Телеком биржи» и Servicepipe реализовали новую нетривиальную фичу, которая сделала невозможными любые попытки обхода. Теперь, когда профиль трафика всех веб-ресурсов ретейлера глубоко изучен, аналитики всегда знают, каких запросов ждать и какие считать легитимными.
Через пару месяцев ручной борьбы аналитики с разработчиками «Телеком биржи» и Servicepipe реализовали новую нетривиальную фичу, которая сделала невозможными любые попытки обхода. Теперь, когда профиль трафика всех веб-ресурсов ретейлера глубоко изучен, аналитики всегда знают, каких запросов ждать и какие считать легитимными.
Ботнет, мимикрирующий под профиль пользовательской нагрузки приложения
“
За 1 года с момента подключения антибота очищенный трафик сайта и приложений, доставляемый до веб-серверов ретейлера вырос вдвое.
В чем преимущества решения?
Руководитель кластера Compute & Network онлайн-ретейлера комментирует результат.
- ВыводыРуководитель кластера Compute & Network онлайн-ретейлера отметил, что размеры их бизнеса и текущий рост вынуждают их искать второго оператора подобного предложенного «Телеком биржей» Servicepipe. Для работы необходимо иметь минимум двух таких операторов, так как другие провайдеры не справятся с ботами. Он подчеркнул, что постоянно обучающийся антибот Servicepipe способен реагировать даже на действия их QA-тестировщиков.
Также он отметил удобство решения: в случае каждой атаки ботов проблемы отправляются в Telegram-чат, и аналитики учитывают их при создании новых правил. В том же чате можно настроить нотификации по атакам, что очень удобно. - Об упрощении жизни отдела сетевой безопасностиКомплексная защита решила проблему наличия антибот-экспертов в штате клиента, вопрос круглосуточного мониторинга атак, разгрузила девопсов, повысила доверие к действиям отдела сетевой безопасности со стороны руководства.
«Вы закрываете нам DDoS на L7 и делаете аналитику ботов. Защитой от SQL-инъекций и других атак мы занимаемся сами с помощью NGFW». - О плюсах личного кабинета«Личный кабинет Servicepipe — это здоровый минимализм. Очень хорошо работает балансинг между апстримами (чтобы не приземлять трафик в один дата-центр), есть fallback-механизм, который следит за их живостью. Быстро вносятся изменения в чёрные/белые списки. Есть хорошие кнопки по геоизоляции ресурсов. Например, нажали кнопку и остались только в России».
- Об экономии на инфобезе«Траты на инфобез — это траты неоценимые. Потому что нельзя предсказать, сколько клиентов у тебя будет в следующем году. И если полежать час будет стоить, к примеру, 300 млн рублей прибыли, то несколько миллионов рублей годовой платы за качественную антибот-защиту — это несравнимо. Защищая наши востребованные онлайн-сервисы, Servicepipe защищает привычный мир».
Пилот — лучшее доказательство эффективности защиты
Результат
- Полностью облачная эшелонированная защита от DDoS, ботов и целевых атак на сайт, приложения и API1
- Под защитой «Телеком биржи» и Servicepipe более 10 веб-ресурсов онлайн-ретейлера2
- За год после подключения очищенный трафик сайта и приложения, доставляемый до веб-серверов онлайн-магазина, вырос вдвое3
- Беспроблемная миграция WAF из локальной ноды в облачную, установленную следом за нодой антибота4
Преимущества предложенного «Телеком биржей»
решения Servicepipe для онлайн-ретейлеров
-
Единый вендор продуктов эшелонированной защиты сайта, мобильного приложения и API. -
Мгновенная реакция на атаки продвинутых ботов. -
Фильтрация любых нелегитимных запросов без блокировки пользователей. -
Кастомная доработка правил и алгоритмов фильтрации под меняющиеся угрозы и профиль трафика. -
Уведомления об инцидентах через Email и Telegram. -
Полноценная замена отделу кибербезопасности. -
Проактивная техподдержка 24/7.
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»