Ретейл реального времени
Кейс защиты ретейла от хитрых ботов, адаптирующихся под обход правил фильтрации
Клиент
Федеральный онлайн‑ретейлер
Задача
Внедрить технологию защиты от DDoS-атак
Решение
Антибот Servicepipe
Клиент — федеральный онлайн-сервис заказа продуктов питания и товаров для дома с доставкой из дарксторов.
Все веб-ресурсы находятся под высокой пользовательской нагрузкой (более 1 млн доставок в день по всей России) и постоянно атакуются злоумышленниками.

Более 5 лет многочисленные веб-приложения ретейлера находились под защитой от DDoS-атак различных провайдеров, которые справлялись с простыми DDoS-атаками (типа сURL по выходным дням), переборщиками токенов и промокодов. Но на фоне массированных прикладных атак весной 2022 года стала очевидной неспособность российских антиддос-провайдеров вовремя распознавать и тонко фильтровать вредоносные запросы продвинутых ботов.
Подключенные продукты
Web DDoS Protection
Bot Protection
WAF
Вариант подключения
Cloud Protection (SaaS): проксирование трафика (L7)
Задача и требования
  • Резервный интернет-канал с мгновенной защитой от DDoS-атак на L3/L4
  • Круглосуточная доступность сайта и мобильного приложения без изменений в их коде
  • Стабильная доставка до веб-серверов не менее 500 Мбит/с очищенного трафика
  • Мгновенное отражение DDoS-атак в автоматическом режиме без блокировки IP-адресов пределах 1 секунды
  • Защита от низкочастотных атак типа SMS Leak и Credential Stuffing
  • Личный кабинет со статистикой по трафику, инцидентам и времени ответа сервера в реальном времени
  • Интуитивно понятный веб-интерфейс продуктов защиты
  • Отдача метрик мониторинга по API
Дина Фомичева
Руководитель группы продаж «Телеком биржи»
«С данной компанией „Телеком биржа“ сотрудничает с 2021 года. Ранее мы реализовали с проект по объединению ЦОДов клиента в Москве и Санкт-Петербурге каналами связи L2 за 2 недели. Когда в 2022 году у веб-ресурсов появились проблемы с защитой API и мобильных приложений, мы совместно с командой Servicepipe организовали пилотирование защиты, которое позволило создать кастомизированное решение, уникальное для рынка на тот момент. Наше сотрудничество продолжается и по сей день. Клиент отмечает высокую скорость реагирования нашей техподдержки и качество предоставляемых услуг».
Причина перехода с Arbor Peakflow на DosGate
Весной 2022 года массированный HTTPS-флуд и ботовые атаки на бизнес-логику выявили неспособность текущего антиддос-провайдера гарантировать полную защиту многочисленных веб-ресурсов ретейлера.

Отдел сетевой безопасности клиента в экстренном порядке начал искать решение, способное автоматически выявлять и блокировать продвинутых фулстек-ботов.


О процессе подключения
Пилот. Тестирование защиты началось с подключения пары ресурсов и проксировании 25% трафика через платформу облачной фильтрации Servicepipe. Система работала в режиме мониторинга, но сразу начала детектировать нелегитимные ботовые запросы. После успешного пилота под защиту были заведены все веб-ресурсы ретейлера (приложение, API, аналитика и другие).

WAF как сервис. Файрвол веб-приложения работал на периметре инфраструктуры клиента не так эффективно, как бы ему хотелось. Во-первых, постоянно возникали задержки, во-вторых, на тонкий тюнинг фильтрующих нод не хватало ресурсов. Инженеры Servicepipe помогли перенести WAF из локальной в облачную ноду. Сначала тестово развернули сервис WAF на одной из конфигураций, затем произвели миграцию всех ресурсов.

«У нас реальный high load, больше миллиона доставок в сутки, каждый день — новые боты. Мы посидели на двух известных российских провайдерах, но ни один из них не смог защищать нас в динамике так, как это удалось сделать в связке с  Servicepipe».
Руководитель кластера Compute & Network онлайн-ретейлера
Photo by Paolo Feser on Unsplash
О защите от продвинутых ботов
Предложенный «Телеком биржей» провайдер Servicepipe оказался единственным провайдером защиты от ботов, которая, во-первых, действительно работала, а во-вторых, предоставляла возможность непрерывной донастройки для блокировки адаптирующихся под обход правил фильтрации ботнетов. Но, как это часто бывает в высококонкурентной среде, за простой автоматизацией последовали продвинутые боты-парсеры, которым удавалось незаметно проходить систему фильтрации.

Как решили проблему с парсингом
Ботнет, кастомизированный под бизнес-логику приложений, обнаружили не сразу. Сначала система воспринимала его запросы как легитимные. Продвинутость ботнета заключалась в том, что он сразу начинал подстраиваться под свежие сигнатуры, написанные специально под профиль трафика приложений.
Через пару месяцев ручной борьбы аналитики с разработчиками «Телеком биржи» и Servicepipe реализовали новую нетривиальную фичу, которая сделала невозможными любые попытки обхода. Теперь, когда профиль трафика всех веб-ресурсов ретейлера глубоко изучен, аналитики всегда знают, каких запросов ждать и какие считать легитимными.

Ботнет, мимикрирующий под профиль пользовательской нагрузки приложения
За 1 года с момента подключения антибота очищенный трафик сайта и приложений, доставляемый до веб-серверов ретейлера вырос вдвое.
В чем преимущества решения?
Руководитель кластера Compute & Network онлайн-ретейлера комментирует результат.
  • Выводы
    Руководитель кластера Compute & Network онлайн-ретейлера отметил, что размеры их бизнеса и текущий рост вынуждают их искать второго оператора подобного предложенного «Телеком биржей» Servicepipe. Для работы необходимо иметь минимум двух таких операторов, так как другие провайдеры не справятся с ботами. Он подчеркнул, что постоянно обучающийся антибот Servicepipe способен реагировать даже на действия их QA-тестировщиков.
    Также он отметил удобство решения: в случае каждой атаки ботов проблемы отправляются в Telegram-чат, и аналитики учитывают их при создании новых правил. В том же чате можно настроить нотификации по атакам, что очень удобно.
  • Об упрощении жизни отдела сетевой безопасности
    Комплексная защита решила проблему наличия антибот-экспертов в штате клиента, вопрос круглосуточного мониторинга атак, разгрузила девопсов, повысила доверие к действиям отдела сетевой безопасности со стороны руководства.

    «Вы закрываете нам DDoS на L7 и делаете аналитику ботов. Защитой от SQL-инъекций и других атак мы занимаемся сами с помощью NGFW».
  • О плюсах личного кабинета
    «Личный кабинет Servicepipe — это здоровый минимализм. Очень хорошо работает балансинг между апстримами (чтобы не приземлять трафик в один дата-центр), есть fallback-механизм, который следит за их живостью. Быстро вносятся изменения в чёрные/белые списки. Есть хорошие кнопки по геоизоляции ресурсов. Например, нажали кнопку и остались только в России».
  • Об экономии на инфобезе
    «Траты на инфобез — это траты неоценимые. Потому что нельзя предсказать, сколько клиентов у тебя будет в следующем году. И если полежать час будет стоить, к примеру, 300 млн рублей прибыли, то несколько миллионов рублей годовой платы за качественную антибот-защиту — это несравнимо. Защищая наши востребованные онлайн-сервисы, Servicepipe защищает привычный мир».

Пилот — лучшее доказательство эффективности защиты

Результат
  • Полностью облачная эшелонированная защита от DDoS, ботов и целевых атак на сайт, приложения и API

    1
  • Под защитой «Телеком биржи» и Servicepipe более 10 веб-ресурсов онлайн-ретейлера
    2
  • За год после подключения очищенный трафик сайта и приложения, доставляемый до веб-серверов онлайн-магазина, вырос вдвое
    3
  • Беспроблемная миграция WAF из локальной ноды в облачную, установленную следом за нодой антибота
    4

Преимущества предложенного «Телеком биржей»

решения Servicepipe для онлайн-ретейлеров

  • Единый вендор продуктов эшелонированной защиты сайта, мобильного приложения и API.
  • Мгновенная реакция на атаки продвинутых ботов.
  • Фильтрация любых нелегитимных запросов без блокировки пользователей.
  • Кастомная доработка правил и алгоритмов фильтрации под меняющиеся угрозы и профиль трафика.
  • Уведомления об инцидентах через Email и Telegram.
  • Полноценная замена отделу кибербезопасности.
  • Проактивная техподдержка 24/7.
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»