Как «инфобез» интегрируют в телеком и что это дает ритейлу
с какими трудностями сталкивается российский онлайн-ритейл, и о современных инструментах защиты
4 июля 2024 года
Евгений Крайнов
Генеральный директор «Телеком биржи»
Генеральный директор «Телеком биржи»
Для успешного выживания и развития в конкурентной среде компании должны ударными темпами внедрять цифровые инструменты в целях оптимизации операционной деятельности, снижения «time to market», уменьшения затрат и снижения рисков. При этом особенное значение приобретает обеспечение информационной безопасности, отвечающей за стабильность работы ИТ и, как следствие, функционирование всего бизнеса.
Лидерами цифровизации традиционно являются компании банковского сектора, телеком и ритейла. В России некоторые аналитики даже ставят ритейл на первое место по внедрению ИТ. Основным драйвером этого сектора в России является e-commerce, причем в разных формах: как через собственные интернет-магазины торгующих компаний, так и через площадки маркетплейсов. По данным Ассоциации электронных коммуникаций (РАЭК), рост сегмента e-commerce в 2023 году составил 35%, что является прекрасным показателем в современной экономической ситуации.
Как атакуют ритейл — популярные способы нападения и взлома
- Основной задачей кибератак является нанесение финансового ущерба: каждая минута, в течение которой интернет-магазин был недоступен для покупателей, и, следовательно, не было продаж, негативно скажется на прибыли.01
- Важно помнить, что интернет-магазины хранят и персональные данные покупателей, которые нужны для обеспечения удобства взаимодействия клиентов с площадкой, а также для маркетинговых мероприятий: формирования целевых предложений, настройки бонусных программ и т.д. Эта информация также составляет интерес для злоумышленников.02
- Для достижения своих целей хакеры часто используют многовекторные атаки. Например, отвлекая внимание службы инфобезопасности мощной DDoS-атакой, киберпреступники под прикрытием этой активности могут выполнять взлом ИТ-инфраструктуры.03
Виды и цели атак киберпреступников
направлены на использование уязвимостей сайтов или приложений конкретной компании. Целью может быть, как выведение из строя веб-приложения, так и кража персональных данных покупателей: адресов, телефонов и прочей информации, представляющей ценность для повышения эффективности фишинговых атак. Например, похищенные данные карт могут быть использованы для кардинга, то есть для совершения мошеннических операций с использованием реквизитов карт, не требующих инициации их держателей.
в целом направлен на «выуживание» конфиденциальной идентификационной информации — паролей, доступов к интернет-банкингу, паспортных данных и т.д. Это происходит путем создания сайтов, маскирующихся под настоящие с целью обмануть пользователя и заставить его поделиться личными данными. Попасть на такой сайт клиенты могут как из поиска, так и через фальш-рассылки от имени компании в социальных сетях или по электронной почте с просьбой перейти по указанной ссылке и подтвердить или обновить личные данные.
замедление или блокировка работы интернет-магазина без взлома. Метод прост: киберпреступники выполняют автоматизированную отправку большого количества фейковых запросов, превышающего органическую пропускную способность ресурса, сервера перестают справляться и, как следствие, реальные пользователи не могут оформить покупку. При монетизации DDoS-атак возможны варианты: иногда их проводят по заказу конкурентов, иногда останавливают после получения выкупа от атакуемой компании.
выполняет большое количество созданных киберпреступниками программных роботов, которые могут имитировать реальное поведение пользователей, например, на страницах интернет-магазина. Данный вид атак бывает сложно распознать, хотя они вредоносны также, как и DDoS-атаки — активность ботов «забивает» полосу пропускания и ограничивает или блокирует доступ к нему для реальных покупателей.
представляет собой массовые автоматизированные запросы SMS-кодов авторизации, выполняемые киберпреступниками. Это работает как и DDoS — исчерпывает ресурс (в данном случае — баланс у SMS-агрегатора), что может приостановить штатную работу сайта.
выполняют также роботы. В данном случае они генерируют большое количество фейковых обращений, требующих обратных звонков или других активностей «саппорта». Ресурс техподдержки тоже ограничен, его можно заблокировать созданием искусственной избыточной нагрузки.
могут быть в больших количествах созданы интеллектуальными ботами через формы на сайте интернет-магазина. Так киберпреступники могут резервировать товары в корзинах, регистрировать новых пользователей и вести другие активности, усложняющие бизнес-процессы в интернет-магазине и мешающие покупкам настоящих посетителей.
процесс автоматизированного копирования изображений и описаний товаров, считывание цен и другой информации, актуальной для недобросовестных конкурентов, по чьим заказам и осуществляется этот вид атаки.
автоматизированная массовая скупка товаров для их последующей перепродажи. Скальпинг создает проблемы маркетингу атакуемого ритейлера — отсутствие товара формирует негативный пользовательский опыт у покупателей, посетивших такой «sale».
Цена рисков и частота кибератак
По данным ГК «Солар», в период с августа по конец октября 2023 года количество кибератак на российский e-comm выросло в 1,5 раза по сравнению с предшествующим периодом, до 6 миллионов. При этом ежемесячный прирост составлял от 15% до 31%.
Стоимость минуты простоя интернет-магазина или приложения может быть разной в зависимости от сезона. Наиболее дорого обходится остановка продаж в периоды пикового спроса — «скоро в школу», «новогодние распродажи», «гендерные праздники» и т. д.
Стоимость минуты простоя интернет-магазина или приложения может быть разной в зависимости от сезона. Наиболее дорого обходится остановка продаж в периоды пикового спроса — «скоро в школу», «новогодние распродажи», «гендерные праздники» и т. д.
Хакеры и недобросовестные конкуренты это прекрасно понимают и наращивают уровень преступной активности. Так, перед февральскими и мартовскими праздниками количество веб-атак на российские онлайн-магазины выросло до 260 тыс. в сутки, причем длительность этих атак беспрецедентна — более двух недель. Для сравнения, в «Черную пятницу» 2023 года аналогичный бум продолжался всего трое суток, а в период распродаж «11.11» — два дня.
Вместе с тем, утечка персональных данных клиентов приводит к штрафным санкциям со стороны регуляторов, а также к существенным судебным и репутационным издержкам ритейлера.
Вместе с тем, утечка персональных данных клиентов приводит к штрафным санкциям со стороны регуляторов, а также к существенным судебным и репутационным издержкам ритейлера.
Как защититься от атак?
- Провести аудит безопасностиВыработать тактику повышения защищенности инфраструктуры и веб-сервисов позволяет проведение стресс-тестов на устойчивость к DDoS-атакам и непрогнозируемым нагрузкам и пентестов на выявление уязвимостей в коде.
Первый тип тестирования среди прочего способен определить не только предельные нагрузки и пороги отказа или деградации, но и типы целевых атак, к которым уязвима инфраструктура. Пентест, то есть моделирование целевой атаки, предназначен для выработки плана действий по доработке или построению периметра безопасности.01 - Подключить облачный сервис оперативной защитыСвоевременное отражение DDoS-атак может эффективно осуществляться с помощью облачных систем защиты. Они выявляют и отражают любые объемные, протокольные и прикладные DDoS‑атаки на сайт и веб‑приложение, обеспечивая надежную охрану ИТ‑инфраструктуры на сетевом и транспортном уровнях.
Интеграторы обеспечивают ритейлерам защищенный доступ в Интернет, пропуская трафик через платформу фильтрации, состоящую из геораспределенных, отказоустойчивых центров очистки, где он анализируется на наличие отклонений и аномалий, в результате чего вредоносный трафик отбрасывается, а легитимный передается на целевые IP‑адреса. Проверка последовательно выявляет и фильтрует объемный UDP Flood с усилением (L3), некорректные сетевые TCP и сессионные SSL‑соединения (L4), вредоносные HTTPS‑запросы ботов (L7).02 - Построить эшелонированную защиту ИТ-инфраструктурыЦелостность и, главное, доступность инфраструктуры гарантируется наличием гео‑распределенной сети узлов фильтрации онлайн-угроз и многовекторных DDoS‑атак.
Кроме того, предотвратить аномальные нагрузки, а также избыточный легитимный трафик позволяет резервный DNS‑сервер, дублирующий основной. Его задача — постоянно синхронизировать и реплицировать статус доменных зон Master DNS, а при его отказе взять на себя прием запросов пользователей.03 - Построить эшелонированную защиту веб‑приложений и APIОбеспечение Безопасности веб‑ресурсов от протокольных и прикладных DDoS‑атак, вредоносных ботов и продвинутых ботнетов, целевых атак на API и веб‑приложения возможно только за счет многофакторного анализа трафика и пост‑аналитики с применением машинного обучения. Многочисленные CAPTCHA и блокировки по IP хоть и являются зарекомендовавшими себя инструментами, при этом «рушат» пользовательский опыт.
Защита от ботов выявляет сетевые аномалии с помощью статистического анализа сотен метрик, которые сопоставляются с сигнатурами известных атак, регистрируя даже единичные запросы.
Облачный WAF подвергает проверке все входящие HTTP‑запросы и немедленно блокирует вредоносные, оповещая о важных инцидентах и временно защищая приложение от выявленных уязвимостей моделью виртуального патчинга.04
Как еще снизить риски
Достаточно часто случаются ситуации, когда при возникновении проблемы сложно определить, где она локализована. Например, отказывает какой-либо сервис, размещенный в облаке: тут дело может быть либо в самом облаке, либо в связи или, например, действительно происходит DDoS-атака.
Если услуги связи, облака и защиты ИТ-инфраструктуры предоставляются разными компаниями, либо через одного комплексного интегратора, но у разных вендоров, восстановление работоспособности сервиса занимает долгое время, поскольку ритейлеру приходится общаться с техподдержками нескольких компаний, у каждой из которых свой регламент и SLA. В таком случае к решению приходится идти сложным путем, пинговать всех по очереди, что занимает срок до недели, а в некоторых случаях — и того больше.
Для того, чтобы иметь возможность быстро закрывать подобные задачи, целесообразно работать только с одним нишевым интегратором, так как он функционирует по принципу «единого окна». Это значит, что техподдержки сервисов самостоятельно взаимодействуют друг с другом, как единое целое, и благодаря накопленному опыту задача закрывается максимально быстро.
Если услуги связи, облака и защиты ИТ-инфраструктуры предоставляются разными компаниями, либо через одного комплексного интегратора, но у разных вендоров, восстановление работоспособности сервиса занимает долгое время, поскольку ритейлеру приходится общаться с техподдержками нескольких компаний, у каждой из которых свой регламент и SLA. В таком случае к решению приходится идти сложным путем, пинговать всех по очереди, что занимает срок до недели, а в некоторых случаях — и того больше.
Для того, чтобы иметь возможность быстро закрывать подобные задачи, целесообразно работать только с одним нишевым интегратором, так как он функционирует по принципу «единого окна». Это значит, что техподдержки сервисов самостоятельно взаимодействуют друг с другом, как единое целое, и благодаря накопленному опыту задача закрывается максимально быстро.
работа с единым интегратором приносит бонусы уже на этапе внедрения: все услуги заранее проверены на совместимость, что гарантирует отказоустойчивость комплекса услуг
Вместо заключения
Стабильность бизнеса ритейлера требует создания многопрофильной эшелонированной и гибкой системы инфобезопасности. Собственный отдел ИБ в большинстве случаев не сможет полноценно реагировать на увеличивающийся спектр угроз, если будет действовать в одиночку. Для противостояния угрозам нужны мощные базовые компетенции, квалифицированные «безопасники» стоят дорого, ситуация с угрозами меняется быстро. Решения кибербеза оптимально разворачивать и развивать с опорой как на свои ресурсы, так и на возможности партнеров.
Все чаще для выстраивания системы инфобезопасности прибегают к услугам аутсорса, которые упаковывают в формат услуг. Приобретение услуг сегодня востребовано по ряду причин: скорость получения нужного сервиса, возможность масштабирования, перевод затрат из CAPEX в OPEX. Однако партнерами в обеспечении инфобезопасности могут выступать как профильные компании со специализацией в области ИБ, так и поставщики традиционных услуг, которые сегодня располагают «зашитыми» внутрь дополнительными сервисами «инфобеза».
Все чаще для выстраивания системы инфобезопасности прибегают к услугам аутсорса, которые упаковывают в формат услуг. Приобретение услуг сегодня востребовано по ряду причин: скорость получения нужного сервиса, возможность масштабирования, перевод затрат из CAPEX в OPEX. Однако партнерами в обеспечении инфобезопасности могут выступать как профильные компании со специализацией в области ИБ, так и поставщики традиционных услуг, которые сегодня располагают «зашитыми» внутрь дополнительными сервисами «инфобеза».
Статья опубликована на retail-loyalty.org
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»