МКБ
История комплексной защиты
Московского кредитного банка
Московского кредитного банка
Клиент
Московский кредитный банк
Задача
Внедрить технологию защиты от DDoS-атак
Решение
- Защищённый DNS-хостинг
- Защищённый IP-транзит
- Антибот
- DosGate
Московский кредитный банк — коммерческий частный банк, основанный в 1992 году. МКБ предоставляет весь спектр банковских услуг для корпоративных/частных клиентов и финансово-кредитных организаций. Банк входит в список системно значимых кредитных организаций, утверждённый Банком России. Это второй частный банк по объёму активов по итогам 2021 года (данные рэнкинга «Интерфакс-100»).
Подключенные продукты
Варианты подключения
- Резервный DNS + IP-транзит (L3/L4) + NGINX-модуль (Антибот, L7) + ПАК (DosGate, L3–L7)
Задачи и требования
- Защита интернет-канала от DDoS-атак на L3/L4
- Защита и резервирование DNS-сервера, размещаемого у стороннего поставщика, на случай его недоступности из-за DDoS-атак
- Защита сайта и приложения на L7, не требующая раскрытия SSL
- Локальная защита от любых DDoS-атак на L3-L7 с помощью ПАК
- Сохранение доступности банковских сервисов при DDoS-атаках
- Время восстановления сервисов при DDoS — не более 3 минут
- Использование для защиты только отечественных решений
Как подключали аварийную защиту от DDoS
Осенью 2022-го МКБ, как и многие российские банки, столкнулись с масштабной атакой на свою инфраструктуру. В течение нескольких часов после обращения для аварийного подключения защиты был организован GRE-туннель с Servicepipe. Затем для надёжности работы его заменили на выделенный L2-канал, по которому в инфраструктуру МКБ стал поступать очищенный от DDoS-атак трафик.
Масштабная DDoS-атака на инфраструктуру МКБ была успешно отражена. Для дополнительной отказоустойчивости DNS-серверов был также превентивно подключен Защищённый DNS-сервер.
Масштабная DDoS-атака на инфраструктуру МКБ была успешно отражена. Для дополнительной отказоустойчивости DNS-серверов был также превентивно подключен Защищённый DNS-сервер.
Дина Фомичева
директор департамента корпоративных продаж «Телеком биржа»
«До 2022 года наше сотрудничество с МКБ включало предоставление каналов связи. Позже мы познакомили коллег с передовыми анти-DDoS-решениями, разработанными вендором Servicepipe. В период роста киберугроз на российский банковский сектор МКБ обратился к «Телеком бирже» для усиления защиты. Два года спустя, после успешного внедрения решений, мы помогли интегрировать в инфраструктуру банка программно-аппаратный комплекс, полностью разработанный в России»
«Мы защищали себя с помощью различных сервисов, но осенью 2022 года одна из DDoS-атак потребовала привлечения «Телеком биржи». С этого началось наше партнёрство уже в части ИБ»
Вячеслав Касимов
директор департамента информационной безопасности МКБ
директор департамента информационной безопасности МКБ
Как атаки повлияли на усиление киберзащиты МКБ
ИБ-специалисты МКБ придерживаются стратегии локальной резервируемой защиты и больше не полагаются на антиддос-сервисы, предлагаемые интернет-провайдерами.
После успешного отражения ковровой атаки «Телеком биржа» стала одним из поставщиков защищённых каналов связи для МКБ. Чтобы обеспечить гарантированную доступность банковских сервисов при любых атаках, в 2023 году в инфраструктуру МКБ был установлен NGINX-модуль с Антиботом Servicepipe как дополнительное решение для веб-защиты. Продукт защищает все веб-приложения банка от любых автоматизированных атак без раскрытия ключей шифрования SSL.
К моменту инсталляции модуля веб-защиты у Servicepipe появился новый продукт — адаптивная система защиты IT-инфраструктуры от DDoS-атак и сетевых угроз DosGate. ИБ-специалисты МКБ решили протестировать DosGate и сравнить с другими российскими ПАК для защиты от DDoS-атак.
После успешного отражения ковровой атаки «Телеком биржа» стала одним из поставщиков защищённых каналов связи для МКБ. Чтобы обеспечить гарантированную доступность банковских сервисов при любых атаках, в 2023 году в инфраструктуру МКБ был установлен NGINX-модуль с Антиботом Servicepipe как дополнительное решение для веб-защиты. Продукт защищает все веб-приложения банка от любых автоматизированных атак без раскрытия ключей шифрования SSL.
К моменту инсталляции модуля веб-защиты у Servicepipe появился новый продукт — адаптивная система защиты IT-инфраструктуры от DDoS-атак и сетевых угроз DosGate. ИБ-специалисты МКБ решили протестировать DosGate и сравнить с другими российскими ПАК для защиты от DDoS-атак.
«С учётом нашей статистики, DDoS-атаки на среднестатистическую организацию происходят десятками в год. Соответственно, если ничего не делать, то получается, что будет минимум 20 дней простоев. А 20 дней простоев в современном мире не нужно никому. Поэтому правильнее выстроить свои корпоративные сервисы и корректно подключить их к сервисам очистки, с которыми в том числе проще масштабироваться. Чтобы в итоге получить работоспособные системы, на которые DDoS-атаки особо не влияют».
Вячеслав Касимов
директор департамента
информационной безопасности МКБ
Вячеслав Касимов
директор департамента
информационной безопасности МКБ
Зачем МКБ потребовался ПАК DosGate
«Основная причина использования DosGate в сети МКБ — снять первую волну DDoS-атаки. Например, если вышестоящему провайдеру требуется время на анализ аномалий в трафике, то DosGate подстрахует его, начав фильтрацию DDoS-атаки без задержки. Или если все вышестоящие провайдеры вдруг пропустили вредоносный трафик, то DosGate очистит его с помощью тонко настроенных правил. С DosGate МКБ защищены всегда, даже если один из провайдеров отключился сам, или его необходимо выключить из-за проблем. Кроме того, благодаря DosGate теперь можно менять провайдеров защиты без потери всех правил фильтрации.
Таким образом, DosGate — это автономное решение для стабильной always-on фильтрации, не зависящее от вышестоящих операторов и обеспечивающее высокий уровень защищённости инфраструктуры и доступности сервисов МКБ в любых ситуациях».
Михаил Хлебунов
директор по продуктам Servicepipe
Таким образом, DosGate — это автономное решение для стабильной always-on фильтрации, не зависящее от вышестоящих операторов и обеспечивающее высокий уровень защищённости инфраструктуры и доступности сервисов МКБ в любых ситуациях».
Михаил Хлебунов
директор по продуктам Servicepipe
Как МКБ тестировали DosGate
МКБ тестировали DosGate на ряду с двумя другими российскими решениями.
«Мы рассматривали ещё два аналогичных решения. Тестировали их под DDoS-атаками. Сравнивали скорость включения защиты, то есть начала фильтрации трафика с атакующих IP-адресов, и удобство использования в целом. Но, разумеется, при условии сохранения крайне важной комбинации — отражая атаку, ПАК не блокирует IP-адреса легитимных клиентов».
Михаил Хлебунов
директор по продуктам Servicepipe
«Мы рассматривали ещё два аналогичных решения. Тестировали их под DDoS-атаками. Сравнивали скорость включения защиты, то есть начала фильтрации трафика с атакующих IP-адресов, и удобство использования в целом. Но, разумеется, при условии сохранения крайне важной комбинации — отражая атаку, ПАК не блокирует IP-адреса легитимных клиентов».
Михаил Хлебунов
директор по продуктам Servicepipe
Как тестировали сервисы банка
В рамках испытаний оценивалось качество работы сервисов в случае аномальных нагрузок на инфраструктуру и приложения банка.
К примеру, во время одной из тестовых атак сотрудники заходили в корпоративный чат и VoIP-сервис ВКС, проверяли качество звука и видеоизображения, работу чата, проявление задержек. Так тестировалось влияние системы защиты DosGate на качество работы внутренних сервисов МКБ во время DDoS-атаки.
Виды тестовых атак
Для проверки работоспособности DosGate ИБ-специалисты МКБ провели более 10 различных тестов с помощью сторонних подрядчиков. Это были тесты на прохождение обычного сетевого трафика, отражения различных атак: UDP-флудов, TLS-флудов, ботнетов, спуфинга, доступных в интернете стрессеров. В том числе проводилась оценка ложноположительных срабатываний.
Почему в итоге выбрали DosGate
Ключевые критерии при выборе решения On-premise:
- 01.
Скорость срабатывания защиты - 02.
Отсутствие влияния на легитимных пользователей при фильтрации - 03.
Совместимость с системами мониторинга и реагирования на инциденты - 04.
Скорость реакции и квалификация технической поддержки вендора
Донастройка продукта под потребности МКБ
«Мы дополнили код DosGate, чтобы сделать его совместимым с драйверами сетевых карт с байпасом. Также мы адаптировали профили сетевой защиты под задачи МКБ для эффективной фильтрации при атаках на определённые сервисы банка с помощью специфичных правил. В итоге мы выстроили автоматическую эшелонированную защиту банка, подразумевающую включение более грубых правил фильтрации, если не сработали предыдущие. Фильтрация организована так, что даже если придёт новая сложная атака, требующая ручного анализа, то DosGate всё равно защитит инфраструктуру МКБ за счёт срабатывания более грубых правил очистки».
Михаил Хлебунов
Михаил Хлебунов
директор по продуктам Servicepipe
В рамках интеграции команда DosGate разработала 2 важные функции эксклюзивно для МКБ:
- Управление Bypass на сетевых картах
В веб-интерфейс DosGate добавили возможность полностью контролировать Bypass на сетевых картах: активировать и деактивировать Bypass-режим, получать информацию об актуальном состоянии. - Интеграция с SOC
Настроили прямую интеграцию с системой управления событиями кибербезопасности. В случае детектирования DosGate сетевых аномалий, сообщения с информацией об атаках отправляются напрямую в SOC.
«Решения для защиты от DDoS-атак должны автоматически адаптироваться под потребности любого банка. Эффективная защита отдельного интернет-сервиса предполагает возможность применения специализированных настроек для данного сервиса».
Вячеслав Касимов
директор департамента информационной безопасности МКБ
директор департамента информационной безопасности МКБ
О внутреннем SLA и резервировании
«У нас в банке есть чёткая договорённость с бизнес-департаментом, что во время любой DDoS-атаки мы не можем „лежать“ больше 3 минут. Значит, чтобы гарантировать доступность, мы не можем жить на одном поставщике защищённого интернет-канала. Нам нужно минимум два. Поэтому мы выбрали двух лучших, один из которых — Servicepipe.
Чтобы даже в первые секунды атаки не было деградации сервисов, необходимо использовать и локальные решения. Поэтому сервис очистки трафика мы дополнили решением DosGate, который призван снимать первые волны DDoS».
Вячеслав Касимов
Чтобы даже в первые секунды атаки не было деградации сервисов, необходимо использовать и локальные решения. Поэтому сервис очистки трафика мы дополнили решением DosGate, который призван снимать первые волны DDoS».
Вячеслав Касимов
директор департамента информационной безопасности МКБ
О снижении количества инцидентов после подключения DosGate
«Количество DDoS-атак не сокращается, однако их последствия стали менее ощутимыми: они не вызывают простоя сервисов и не наносят ущерба МКБ. Если бы банк оставался уязвимым к DDoS-атакам, количество инцидентов было бы выше, так как для злоумышленников представляет интерес только успешная атака».
Вячеслав Касимов
директор департамента информационной безопасности МКБ
Вячеслав Касимов
директор департамента информационной безопасности МКБ
Как устроена киберзащита МКБ сегодня
МКБ использует 2 защищённых канала связи от разных провайдеров. Один из них от Servicepipe. Всего в рамках целостной эшелонированной защиты мы предоставляем сразу 3 решения:
01. Защищённый IP-транзит
Выделенный канал, по умолчанию защищающий сеть МКБ от любых DDoS-атак на L3/L4
02. NGINX-модуль Антибот
Дополнительная защита сайта и веб-приложений от DDoS-атак и ботов на L7
03. DosGate
Адаптивная система защиты IT-инфраструктуры от атак всех типов от L3 до L7 с минимальной задержкой и возможностью очень гибкой настройки фильтрации под каждый сервис МКБ
Почему МКБ выбрали Servicepipe
- Эшелонированная защита IT-инфраструктуры, сайта и веб-приложений от DDoS-атак и ботов на L3-L7: все решения от одного вендора
1
- Возможность донастройки защиты под каждый тип сервиса банка
2
- Минимальный уровень ложноположительных срабатываний
3
- Непрерывно пополняемая база вредоносных сигнатур (пресеты)
4
- Старт фильтрации DDoS-атаки <1 мс
5
- Доработка функционала DosGate по запросу
6
- Успешная интеграция DosGate с SOC МКБ
7
- Наличие продукта DosGate в реестре российского ПО
8
Мы получили комплексную защиту от DDoS-атак, и на данный момент решения Servicepipe играют ключевую роль в поддержании защищённости инфраструктуры и доступности веб-сервисов МКБ
Вячеслав Касимов
директор департамента информационной безопасности МКБ
директор департамента информационной безопасности МКБ
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»