BCS

Клиент

«БКС Мир инвестиций»

Задача

Внедрить технологию защиты от DDoS-атак

Решение

Защищённый IP-транзит
Cybert

«БКС Мир инвестиций» — финансовый холдинг с 30-летней историей, предоставляющий клиентам максимально широкий спектр брокерских и инвестиционных услуг. Специфика бизнеса и многомиллионная клиентская база требуют стабильной круглосуточной доступности сервисов БКС, так как она напрямую влияет на прибыль компании.

Подключенные продукты

Варианты подключения

IP-транзит (L3/L4) + Локальный NGINX-модуль (L7)

Задачи и требования

Защита веб-ресурсов и мобильного API без раскрытия зашифрованного клиентского трафика
Обеспечение круглосуточной доступности для любого количества веб-приложений и брокерских сервисов без изменений в их коде
Отражение DDoS-атак в автоматическом режиме без блокировки по IP-адресам
Защита от ботов с первого запроса без задержки на анализ логов веб-сервера
Стабильная доставка до веб-серверов не менее 1 Гбит/с очищенного трафика
Интеграция функционала платформы Servicepipe через API
Отсутствие ограничений по количеству защищаемых ресурсов
Квалифицированная техподдержка 24/7

История защиты БКС

В 2015 году основным провайдером канальной и оптической инфраструктуры БКС стала «Телеком биржа». Сотрудничество стартовало с организации L2-каналов и офисного интернета. Затем была улучшена связность основных площадок и ЦОДов БКС по всей Москве.

С тех пор «Телеком биржа» продолжает выдерживать крайне высокие требования БКС к отказоустойчивости инфраструктуры и SLA.

Первые масштабные DDoS-атаки и усиление защиты

Летом 2021-го начались масштабные DDoS-атаки на интернет-провайдеров, что подтолкнуло к подключению Защищённого IP-транзита. Решение предусматривает автоматическое выявление и блокировку DDoS-атак на платформе Servicepipe (как на апстриме) и доставку предварительно очищенного трафика в инфраструктуру клиента.

“

Каналы в ЦОДах „Телеком биржи“ со встроенной адаптивной системой контроля трафика Servicepipe DosGate помогают нам защищаться от DDoS прежде всего на канальном уровне.

Никита Зибаев
Руководитель центра противодействия внешним атакам БКС

Но в 2022 году все основные атаки на заказчика перешли в плоскость веб-приложения и стали нагружать балансировщики и веб-серверы на уровне L7.

О вынужденной смене провайдера

БКС требовалось универсальное решение для защиты и от масштабных DDoS-атак в десятки млн запросов в секунду, и от ботовых атак на системы регистрации/авторизации ключевых приложений, и от сканеров уязвимостей.

“

В 2022 году случились DDoS-атаки, которые подключённый (и передовой на тот момент) российский сервис защиты не мог заблокировать. Даже с раскрытием SSL митигации начинались со значительным простоем. Поэтому мы оперативно меняли сервис защиты.

Никита Зибаев
Руководитель центра противодействия внешним атакам БКС

Как выбирался сервис защиты от DDoS и ботов на L7

Для выбора наиболее эффективного средства защиты БКС использовали собственную сравнительную таблицу по всем российским решениям. Главный критерий: получение высокоточной защиты от ботов без раскрытия ключей SSL.

В марте 2022 года, когда были атакованы все российские ключевые финансовые веб-ресурсы мы запустили пилотный проект комплексной защиты БКС на L7. Во время пилота антибот-система показала высокую эффективность фильтрации в реальном времени. По итогу БКС решили интегрировать Cybert в свою инфраструктуру как ключевой сервис безопасности на самом первом рубеже.

Архитектура IT-решения: локальная интеграция Cybert

Специфика финансовой отрасли: соответствие национальным стандартам.

С 2021 года информационная безопасность финансовых организаций должна соответствовать требованиям ГОСТ Р 57 580 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Соответствовать требованиям ГОСТ Р 57 580 непросто. В стандарте приведено более 400 требований, в том числе «функционал обнаружения вторжений». Система защиты Servicepipe Cybert удовлетворяет данному требованию, но лишь при условии его размещения внутри инфраструктуры БКС.

Зачем потребовался NGINX-модуль

БКС, как инвестиционная компания, должна соблюдать ряд требований финансового регулятора и внутренние требования высшего менеджмента. В частности, не передавать ключи шифрования SSL сторонним компаниям, чтобы исключить возможность доступа злоумышленников при взломе провайдера защиты или анализе клиентских данных третьими лицами.

Схема локальной защиты зашифрованного трафика предусматривает интеграцию ПО для веб-сервера NGINX в инфраструктуре БКС. Данная схема исключает передачу SSL-сертификата за пределы контура сети в процессе работы алгоритмов определения нежелательной автоматизации для защиты веб-ресурсов на L7.
Установка и настройка NGINX-модуля для локальной фильтрации трафика на L7 была произведена за 1 день.

“

Главный критерий выбора антибот-решения: высокая точность защиты от ботов без раскрытия ключей SSL, в том числе и для мобильного API.

Никита Зибаев
Руководитель центра противодействия внешним атакам БКС

Алгоритм работы локальной защиты

01.

На оборудовании заказчика устанавливается ПО Servicepipe Cybert для веб-сервера NGINX.
02.

Развёрнутый на нём NGINX-модуль получает необходимые для анализа на прикладном уровне данные о запросе и сверяется с локальным кешем. В случае отсутствия в локальном кеше вердикта модуль направляет их на проверку в систему принятия решений Servicepipe. Получив вердикт, NGINX-модуль сохраняет его в кеше и выдаёт серверу.
03.

Веб-сервер БКС принимает соединение и устанавливает HTTPS-сессию.

О нюансах локальной интеграции

“

Интеграция прошла гладко, некоторые ресурсы заводили под защиту уже под атаками. Но схема имеет свои особенности. Несмотря на безопасную передачу данных, на NGINX-модуль идёт повышенная нагрузка, за которой нужно внимательно следить, особенно в момент сильно распределённых атак. Для этого нужны свои компетентные Linux-инженеры.

Никита Зибаев
Руководитель центра противодействия внешним атакам БКС

О борьбе с ложноположительными срабатываниями

Из-за VPN, анонимайзеров и работы с корпоративных ПК, которыми пользуются клиенты и сотрудники БКС, возможны ложноположительные срабатывания системы фильтрации. Чтобы минимизировать количество фолсов, необходимо непрерывное обучение системы профилям легитимного трафика на защищаемым ресурсах.

БКС не оставляет без внимания ни одну ложноположительную блокировку клиента. Совместно с Servicepipe выстроен процесс оперативного разрешения ситуаций блокировок клиентов.

“

Мы выстроили автоматизированный процесс учёта обращений клиентов, при котором Cybert непрерывно дообучается профилям легитимного трафика по всем защищаемым ресурсам.

Михаил Драгунов
Главный специалист центра противодействия внешним атакам БКС

Как Cybert дообучается легитимному трафику брокерских приложений

Чтобы модель для обучения становилась шире, БКС умышленно заводят необходимые сервисы под защиту отдельными веб-ресурсами. Cybert непрерывно дообучается профилям легитимного трафика по каждому из них.

Доступность сервисов БКС критична и напрямую влияет на прибыль компании. По оценке аналитиков БКС, благодаря отсутствию простоев из-за DDoS-атак на инфраструктуру и приложения удалось избежать убытков в сотни миллионов рублей.

“

Мы считаем, что обучение легитимному трафику в рамках большого количества разных ресурсов происходит значительно лучше. Поэтому мы отдельно завели под защиту значительное количество наших сайтов, сервисов, даже чаты и бэклог-трекеры.

Михаил Драгунов
Главный специалист центра противодействия внешним атакам БКС

Преимущества

Сотрудничество БКС, «Телеком биржи» и Servicepipe в информационной безопасности в 2025 году — это непрерывное совместное совершенствование алгоритмов выявления и фильтрации нежелательного трафика в условиях большого количества атак на финансовую сферу.

Результат подключения

Мгновенная фильтрация любых DDoS-атак на IT-инфраструктуру и приложения БКС на L3-L7 и боты в реальном времени.
Постоянная защита всех веб-ресурсов БКС (включая все мобильные API).
Интеграция Servicepipe Cybert в инфраструктуре без необходимости передавать зашифрованный трафик.
Снижение количества инцидентов для разбора WAF на 95% (с 20 млн до 1 млн вредоносных запросов в месяц).
Постоянное совершенствование алгоритмов системы фильтрации через непрерывное обучение профилю трафика всех веб-ресурсов БКС.
Автоматизация процесса обработки ложных блокировок сотрудниками контакт-центра БКС.
Более 1,5 Гбит/с в месяц — объём очищенного трафика для сервисов БКС.
Надёжная защита IT-инфраструктуры БКС от политически мотивированных хакерских атак IT-армии Украины.

Есть задача?
Отправьте заявку!

[{"lid":"1531306243545","ls":"10","loff":"","li_parent_id":"","li_type":"nm","li_ph":"\u0412\u0430\u0448\u0435 \u0438\u043c\u044f","li_title":"\u041a\u0430\u043a \u043a \u0432\u0430\u043c \u043e\u0431\u0440\u0430\u0449\u0430\u0442\u044c\u0441\u044f?","li_req":"y","li_nm":"Name"},{"lid":"1531306540094","ls":"20","loff":"","li_parent_id":"","li_type":"in","li_ph":"E-mail \u0438\u043b\u0438 \u0442\u0435\u043b\u0435\u0444\u043e\u043d","li_title":"\u041a\u0430\u043a \u0441 \u0432\u0430\u043c\u0438 \u0441\u0432\u044f\u0437\u0430\u0442\u044c\u0441\u044f?","li_req":"y","li_nm":"\u041a\u0430\u043a \u0441 \u0432\u0430\u043c\u0438 \u0441\u0432\u044f\u0437\u0430\u0442\u044c\u0441\u044f?"},{"lid":"1691129403502","ls":"30","loff":"","li_parent_id":"","li_type":"ta","li_ph":"\u041d\u0430\u043f\u0438\u0448\u0438\u0442\u0435 \u0432\u0430\u0448 \u0432\u043e\u043f\u0440\u043e\u0441","li_title":"\u0412\u0430\u0448 \u0432\u043e\u043f\u0440\u043e\u0441","li_rows":"3","li_req":"y","li_nm":"\u0412\u0430\u0448 \u0432\u043e\u043f\u0440\u043e\u0441"},{"lid":"1691129650823","ls":"40","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u041d\u0430\u0436\u0438\u043c\u0430\u044f \u043d\u0430 \u043a\u043d\u043e\u043f\u043a\u0443, \u0432\u044b \u0441\u043e\u0433\u043b\u0430\u0448\u0430\u0435\u0442\u0435\u0441\u044c \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u0434\u0430\u043d\u043d\u044b\u0445, \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442\u0435 <a href=\"https:\/\/disk.cirex.ru\/s\/NXfi6ZYKK8FH2ns\" target=\"_blank\" rel=\"noreferrer noopener\" style=\"color: rgb(255, 255, 255); border-bottom: 1px solid rgb(255, 255, 255); box-shadow: none; text-decoration: none;\">\u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445<\/a>.","li_name":"\u0421\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u0441 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438","li_req":"y","li_nm":"\u0421\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u0441 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438"},{"lid":"1748854859451","ls":"50","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u042f \u0441\u043e\u0433\u043b\u0430\u0441\u0435\u043d \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 <u style=\"color: rgb(252, 249, 249);\"><a href=\"https:\/\/disk.cirex.ru\/s\/CTaFaXwyEyDRDt7\" target=\"_blank\" rel=\"noreferrer noopener\" style=\"color: rgb(252, 249, 249);\">\u0440\u0435\u043a\u043b\u0430\u043c\u043d\u043e\u0439 \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0438<\/a><\/u>.","li_name":"\u0421\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0440\u0435\u043a\u043b\u0430\u043c\u044b","li_nm":"\u0421\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0440\u0435\u043a\u043b\u0430\u043c\u044b"},{"lid":"1707851994542","ls":"60","loff":"","li_parent_id":"","li_type":"hd","li_name":"form_description","li_value":"\u0415\u0441\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441\u044b?","li_nm":"form_description"}]