Как «инфобез» интегрируют в телеком и что это дает ретейлу
с какими трудностями сталкивается российский онлайн-ретейл, и о современных инструментах защиты
4 июля 2024 года
Евгений Крайнов
Генеральный директор «Телеком биржи»
Для успешного выживания и развития в конкурентной среде компании должны ударными темпами внедрять цифровые инструменты в целях оптимизации операционной деятельности, снижения «time to market», уменьшения затрат и снижения рисков. При этом особенное значение приобретает обеспечение информационной безопасности, отвечающей за стабильность работы ИТ и, как следствие, функционирование всего бизнеса.
Лидерами цифровизации традиционно являются компании банковского сектора, телеком и ретейла. В России некоторые аналитики даже ставят ретейл на первое место по внедрению ИТ. Основным драйвером этого сектора в России является e-commerce, причем в разных формах: как через собственные интернет-магазины торгующих компаний, так и через площадки маркетплейсов. По данным Ассоциации электронных коммуникаций (РАЭК), рост сегмента e-commerce в 2023 году составил 35%, что является прекрасным показателем в современной экономической ситуации.

Как атакуют ретейл — популярные способы нападения и взлома
  • Основной задачей кибератак является нанесение финансового ущерба: каждая минута, в течение которой интернет-магазин был недоступен для покупателей, и, следовательно, не было продаж, негативно скажется на прибыли.
    01
  • Важно помнить, что интернет-магазины хранят и персональные данные покупателей, которые нужны для обеспечения удобства взаимодействия клиентов с площадкой, а также для маркетинговых мероприятий: формирования целевых предложений, настройки бонусных программ и т.д. Эта информация также составляет интерес для злоумышленников.
    02
  • Для достижения своих целей хакеры часто используют многовекторные атаки. Например, отвлекая внимание службы инфобезопасности мощной DDoS-атакой, киберпреступники под прикрытием этой активности могут выполнять взлом ИТ-инфраструктуры.
    03
Виды и цели атак киберпреступников
Цена рисков и частота кибератак
По данным ГК «Солар», в период с августа по конец октября 2023 года количество кибератак на российский e-comm выросло в 1,5 раза по сравнению с предшествующим периодом, до 6 миллионов. При этом ежемесячный прирост составлял от 15% до 31%.

Стоимость минуты простоя интернет-магазина или приложения может быть разной в зависимости от сезона. Наиболее дорого обходится остановка продаж в периоды пикового спроса — «скоро в школу», «новогодние распродажи», «гендерные праздники» и т. д.


Хакеры и недобросовестные конкуренты это прекрасно понимают и наращивают уровень преступной активности. Так, перед февральскими и мартовскими праздниками количество веб-атак на российские онлайн-магазины выросло до 260 тыс. в сутки, причем длительность этих атак беспрецедентна — более двух недель. Для сравнения, в «Черную пятницу» 2023 года аналогичный бум продолжался всего трое суток, а в период распродаж «11.11» — два дня.

Вместе с тем, утечка персональных данных клиентов приводит к штрафным санкциям со стороны регуляторов, а также к существенным судебным и репутационным издержкам ретейлера.
Как защититься от атак?
  • Провести аудит безопасности
    Выработать тактику повышения защищенности инфраструктуры и веб-сервисов позволяет проведение стресс-тестов на устойчивость к DDoS-атакам и непрогнозируемым нагрузкам и пентестов на выявление уязвимостей в коде.

    Первый тип тестирования среди прочего способен определить не только предельные нагрузки и пороги отказа или деградации, но и типы целевых атак, к которым уязвима инфраструктура. Пентест, то есть моделирование целевой атаки, предназначен для выработки плана действий по доработке или построению периметра безопасности.
    01
  • Подключить облачный сервис оперативной защиты
    Своевременное отражение DDoS-атак может эффективно осуществляться с помощью облачных систем защиты. Они выявляют и отражают любые объемные, протокольные и прикладные DDoS‑атаки на сайт и веб‑приложение, обеспечивая надежную охрану ИТ‑инфраструктуры на сетевом и транспортном уровнях.

    Интеграторы обеспечивают ретейлерам защищенный доступ в Интернет, пропуская трафик через платформу фильтрации, состоящую из геораспределенных, отказоустойчивых центров очистки, где он анализируется на наличие отклонений и аномалий, в результате чего вредоносный трафик отбрасывается, а легитимный передается на целевые IP‑адреса. Проверка последовательно выявляет и фильтрует объемный UDP Flood с усилением (L3), некорректные сетевые TCP и сессионные SSL‑соединения (L4), вредоносные HTTPS‑запросы ботов (L7).
    02
  • Построить эшелонированную защиту ИТ-инфраструктуры
    Целостность и, главное, доступность инфраструктуры гарантируется наличием гео‑распределенной сети узлов фильтрации онлайн-угроз и многовекторных DDoS‑атак​​.

    Кроме того, предотвратить аномальные нагрузки, а также избыточный легитимный трафик позволяет резервный DNS‑сервер, дублирующий основной. Его задача — постоянно синхронизировать и реплицировать статус доменных зон Master DNS, а при его отказе взять на себя прием запросов пользователей.
    03
  • Построить эшелонированную защиту веб‑приложений и API
    Обеспечение Безопасности веб‑ресурсов от протокольных и прикладных DDoS‑атак, вредоносных ботов и продвинутых ботнетов, целевых атак на API и веб‑приложения возможно только за счет многофакторного анализа трафика и пост‑аналитики с применением машинного обучения. Многочисленные CAPTCHA и блокировки по IP хоть и являются зарекомендовавшими себя инструментами, при этом «рушат» пользовательский опыт.

    Защита от ботов выявляет сетевые аномалии с помощью статистического анализа сотен метрик, которые сопоставляются с сигнатурами известных атак, регистрируя даже единичные запросы.

    Облачный WAF подвергает проверке все входящие HTTP‑запросы и немедленно блокирует вредоносные, оповещая о важных инцидентах и временно защищая приложение от выявленных уязвимостей моделью виртуального патчинга.
    04
Как еще снизить риски
Достаточно часто случаются ситуации, когда при возникновении проблемы сложно определить, где она локализована. Например, отказывает какой-либо сервис, размещенный в облаке: тут дело может быть либо в самом облаке, либо в связи или, например, действительно происходит DDoS-атака.

Если услуги связи, облака и защиты ИТ-инфраструктуры предоставляются разными компаниями, либо через одного комплексного интегратора, но у разных вендоров, восстановление работоспособности сервиса занимает долгое время, поскольку ретейлеру приходится общаться с техподдержками нескольких компаний, у каждой из которых свой регламент и SLA. В таком случае к решению приходится идти сложным путем, пинговать всех по очереди, что занимает срок до недели, а в некоторых случаях — и того больше.

Для того, чтобы иметь возможность быстро закрывать подобные задачи, целесообразно работать только с одним нишевым интегратором, так как он функционирует по принципу «единого окна». Это значит, что техподдержки сервисов самостоятельно взаимодействуют друг с другом, как единое целое, и благодаря накопленному опыту задача закрывается максимально быстро.

работа с единым интегратором приносит бонусы уже на этапе внедрения: все услуги заранее проверены на совместимость, что гарантирует отказоустойчивость комплекса услуг

Вместо заключения
Стабильность бизнеса ретейлера требует создания многопрофильной эшелонированной и гибкой системы инфобезопасности. Собственный отдел ИБ в большинстве случаев не сможет полноценно реагировать на увеличивающийся спектр угроз, если будет действовать в одиночку. Для противостояния угрозам нужны мощные базовые компетенции, квалифицированные «безопасники» стоят дорого, ситуация с угрозами меняется быстро. Решения кибербеза оптимально разворачивать и развивать с опорой как на свои ресурсы, так и на возможности партнеров.

Все чаще для выстраивания системы инфобезопасности прибегают к услугам аутсорса, которые упаковывают в формат услуг. Приобретение услуг сегодня востребовано по ряду причин: скорость получения нужного сервиса, возможность масштабирования, перевод затрат из CAPEX в OPEX. Однако партнерами в обеспечении инфобезопасности могут выступать как профильные компании со специализацией в области ИБ, так и поставщики традиционных услуг, которые сегодня располагают «зашитыми» внутрь дополнительными сервисами «инфобеза».
Статья опубликована на retail-loyalty.org
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»