Взгляд изнутри: как защищаются современные веб-платформы
22.05.23, Пн, 12:07, Мск,
Защита от DDoS-атак для современных веб-платформ становится задачей стратегической важности. По данным компании «РТК-Солар», лишь в первом полугодии 2023 года средний ущерб только российских компаний от действий хакеров достиг примерно 20 млн рублей в годовом исчислении. При этом для крупных онлайн-ритейлеров потери от простоя сайта могут достигать миллиардов рублей, то есть час простоя крупного веб-сервиса может приводить к убыткам в сотни тысяч долларов. При этом атаки становятся все более изощренными: злоумышленники активно используют искусственный интеллект, а мощность атак может достигать нескольких терабит в секунду.
О том, как трансформируются методы защиты веб-платформ и почему классических подходов уже недостаточно, рассказал Артем Фролов — эксперт по кибербезопасности, специалист по защите веб-платформ в Wix.com.
Артем Фролов прошел путь от разработки защищенных SCADA-систем до обеспечения безопасности глобальных веб-платформ. За его плечами — создание комплексных систем защиты для нефтяной отрасли и банковского сектора, развитие практики информационной безопасности в системном интеграторе ICL и сертификация CCIE Security. В Wix.com он занимается разработкой и внедрением инновационных решений для защиты от современных киберугроз, включая противодействие DDoS-атакам и борьбу с вредоносными ботами.
- Артем, в 2023 году мы видим рост DDoS-атак на крупные веб-платформы. Как изменились методы атак и подходы к защите за последний год?
За последний год мы наблюдаем качественное изменение DDoS-атак. Если раньше это были преимущественно атаки на истощение канала или ресурсов серверов, то сейчас мы сталкиваемся с многовекторными атаками, которые комбинируют различные методы и динамически адаптируются к защите.
Особенно заметен рост сложных атак уровня приложений (L7), где злоумышленники имитируют легитимный пользовательский трафик. Такие атаки намного сложнее определить традиционными методами. Более того, мы видим активное использование ботнетов с машинным обучением, которые могут обходить стандартные механизмы защиты и приспосабливаться к ответным мерам в реальном времени.
В ответ на это мы существенно изменили подходы к защите. Во-первых, перешли от статических правил к динамическим системам, которые непрерывно изучают паттерны легитимного трафика. Это позволяет нам быстро выявлять аномалии и создавать точечные сигнатуры для блокировки атак, не затрагивая обычных пользователей.
Во-вторых, мы внедрили многоуровневую систему защиты, где каждый компонент отвечает за свой аспект безопасности. Уже в 2023 году мы столкнулись с ростом трафика ботов, связанным с использованием AI, что стало серьёзным вызовом для инфраструктуры с сотнями миллионов пользовательских сайтов. Чтобы адаптироваться к этим изменениям, мы усилили контроль за определёнными категориями ботов, добавив более гранулярные настройки. CDN помогает справляться с объемными атаками, WAF в режиме позитивной модели блокирует вредоносные запросы, а системы поведенческого анализа и классификации трафика выявляют подозрительную активность, позволяя предотвратить угрозу ещё до её эскалации.
Ключевым фактором стала скорость реакции. Когда каждая минута простоя может стоить огромных денег, очень важно автоматизировать процессы обнаружения и нейтрализации угроз. Поэтому мы активно используем машинное обучение для анализа трафика и автоматического принятия решений по митигации атак.
- Как разнообразный опыт, от защиты промышленных систем до работы с глобальными веб-платформами, повлиял на ваш подход к созданию современных систем безопасности?
Каждая отрасль дала мне уникальный опыт, который оказывается неожиданно полезным в новых условиях. В крупном российском интеграторе я работал над системой безопасности для Каспийского трубопроводного консорциума – это был масштабный проект, охватывающий более 100 объектов. Трубопровод останавливался только на 72 часа трижды в год, и это научило меня главному: защита должна быть "бесшовной", работать без влияния на основные процессы. Сейчас в Wix я применяю тот же принцип: безопасность не должна создавать задержек для пользователей платформы.
Работа с банковским сектором научила меня тщательному подходу к мониторингу и аудиту. Когда вы имеете дело с финансовыми транзакциями, важна каждая деталь, каждое действие должно быть зафиксировано и проанализировано. Этот опыт особенно полезен сейчас, когда мы защищаем персональные данные миллионов пользователей веб-платформы.
В ICL, создавая отдел безопасности с нуля, я научился выстраивать процессы так, чтобы безопасность была встроена в разработку с самого начала. Сейчас это критически важно в Wix, где новый код деплоится сотни раз в день, и каждое изменение должно проходить автоматическую проверку безопасности.
Каждая сфера научила меня разным аспектам безопасности: промышленные системы – отказоустойчивости, банки – скрупулезности в защите данных, корпоративный сектор – интеграции безопасности в бизнес-процессы. В веб-безопасности все эти знания складываются в комплексный подход, где важны и надежность систем, и защита данных, и скорость работы.
Главный урок, который я вынес из этого опыта: независимо от отрасли, успешная система безопасности – это та, которая органично встроена в основные процессы и развивается вместе с защищаемой системой. Будь то нефтепровод или веб-платформа, принцип остается неизменным.
- Конкретно в Wix вы пришли из корпоративного сектора безопасности. Насколько отличается защита веб-платформы от корпоративной безопасности?
Это два разных мира. В корпоративном секторе вы обычно имеете дело с известным набором пользователей, определенной инфраструктурой и чётко регламентированными процессами. Можно выстроить периметр безопасности, контролировать доступ, работать с конкретными угрозами.
В случае с глобальной веб-платформой всё иначе. У вас миллионы пользователей по всему миру, каждый из которых может стать как целью, так и источником атаки. Нагрузка на системы защиты колоссальная – мы обрабатываем терабайты трафика в режиме реального времени, и каждая транзакция должна быть проверена за миллисекунды.
В корпоративном секторе я привык к тому, что можно тщательно проанализировать инцидент перед принятием мер. Здесь же системы защиты должны принимать решения мгновенно. При этом цена ошибки очень высока: ложное срабатывание может заблокировать доступ легитимным пользователям, а пропущенная атака – привести к массовым сбоям.
Но есть и то, что объединяет оба мира – необходимость глубокого понимания бизнес-процессов и способность находить баланс между безопасностью и удобством использования. Опыт работы с критической инфраструктурой научил меня оценивать риски и выстраивать многоуровневую защиту, что оказалось очень полезным в веб-безопасности.
- Как искусственный интеллект помогает в защите от современных атак? Какие конкретные задачи он решает?
Искусственный интеллект стал неотъемлемой частью современной защиты. В Wix мы используем его для решения задач, с которыми традиционные методы уже не справляются.
Первое и самое важное – это анализ поведенческих паттернов. ML-модели изучают, как легитимные пользователи взаимодействуют с платформой: их типичные сценарии навигации, скорость взаимодействия, последовательность действий. Когда появляется аномальное поведение, система мгновенно это фиксирует. Такой подход особенно эффективен против современных ботов, которые пытаются имитировать человеческое поведение.
В области DDoS-защиты AI помогает создавать динамические сигнатуры атак. Система анализирует множество параметров трафика и автоматически формирует правила фильтрации, которые блокируют вредоносный трафик, не затрагивая легитимных пользователей. Это важно, учитывая, что современные атаки часто меняют свои характеристики в процессе.
Мы также применяем машинное обучение для предиктивной аналитики. Модели анализируют исторические данные об атаках и могут предсказывать потенциальные угрозы еще до их реализации. Это позволяет проактивно усиливать защиту в наиболее уязвимых местах.
Отдельная область — это обнаружение аномалий в API-запросах. Здесь AI играет ключевую роль, помогая выявлять нетипичные паттерны использования API, которые могут указывать на попытки эксплуатации уязвимостей или сбор данных. Однако атаки на API не всегда связаны только с проникновением. Например, злоумышленники могут использовать API для целей abuse или fraud. Один из распространённых сценариев — API, который вызывает отправку SMS-сообщений пользователю. В случае компрометации такой API может быть использован для генерации массовых запросов, что приведет к значительным финансовым убыткам для компании или пользователей. Чтобы предотвратить такие сценарии, мы внедрили механизмы мониторинга и защиты, позволяющие оперативно реагировать на подозрительные запросы и ограничивать доступ на основе поведенческих моделей.
Но важно понимать: искусственный интеллект – это не магическая таблетка. Он эффективен только как часть комплексной системы безопасности, где каждый компонент, включая традиционные средства защиты, выполняет свою роль.
- Расскажите о многоуровневой защите веб-платформ. Как работает каждый уровень и почему это важно?
Защита веб-платформы – это как конструктор, где каждый элемент должен идеально подходить к другим. В Wix я столкнулся с задачей, где нужно было защитить не просто сайт, а платформу, на которой работают миллионы клиентских проектов. На внешнем уровне мы используем CDN для кэширования и первичной фильтрации трафика. Я помню случай, когда это помогло нам выдержать масштабную DDoS-атаку: основной трафик был отфильтрован еще на уровне CDN, не дойдя до наших серверов.
Следующий уровень – WAF, который я настроил работать в режиме позитивной модели. Это мое решение, основанное на опыте защиты банковских систем: вместо того чтобы пытаться блокировать все возможные атаки, мы создаем точную модель легитимного поведения. Перед каждым релизом приложения модель переобучается, что позволяет поддерживать высокую точность детектирования атак.
Особую роль играет система защиты от ботов. В моей практике около 60% трафика – это боты, и важно отличить легитимных (например, поисковые системы) от вредоносных. Я разработал многоступенчатую систему верификации: от валидации JavaScript до сложного поведенческого анализа.
На уровне приложений мы внедрили непрерывный мониторинг и анализ аномалий. Этот подход я перенес из опыта работы с SCADA-системами, где важно было выявлять малейшие отклонения от нормы. Система анализирует паттерны использования приложений и автоматически реагирует на подозрительную активность.
Все уровни защиты объединены в единую систему мониторинга и реагирования. Моя инновация здесь – подход к корреляции событий: любая аномалия, даже не связанная напрямую с безопасностью, анализируется на предмет потенциальных угроз. Этот комплексный подход позволил нам значительно снизить количество успешных атак и минимизировать влияние инцидентов на работу платформы.
Но главное – система постоянно эволюционирует, адаптируясь к новым угрозам.
- В сфере информационной безопасности много специалистов, но мало экспертов высокого уровня. Как, по вашему опыту, определяется настоящий профессионализм в этой области?
Я бы сказал, что настоящий профессионализм в информационной безопасности определяется сочетанием глубоких технических знаний и способности видеть общую картину угроз. За годы работы в крупном интеграторе, где я занимался защитой критической инфраструктуры, стало очевидно: недостаточно просто знать, как настроить оборудование или развернуть систему защиты. Нужно понимать, как различные компоненты взаимодействуют между собой, как атака на одну часть системы может повлиять на всю инфраструктуру.
Подготовка к CCIE Security стала для меня важным этапом профессионального роста. Это не просто сертификация – это подтверждение способности решать комплексные задачи безопасности в условиях, максимально приближенных к реальным. Особенно ценными оказались знания, полученные при подготовке к практической части экзамена, где нужно не только настроить сложную инфраструктуру безопасности, но и уметь быстро диагностировать и устранять проблемы.
Сейчас в Wix, работая над защитой глобальной веб-платформы, я вижу, что профессионализм – это еще и способность постоянно учиться и адаптироваться. Технологии и угрозы эволюционируют настолько быстро, что вчерашние решения могут оказаться неэффективными против сегодняшних атак.
По моему опыту, настоящий эксперт по безопасности – это специалист, который не только обладает техническими знаниями и практическим опытом, но и способен предвидеть развитие угроз и проактивно развивать системы защиты.
Артем несколько раз возвращался к мысли о том, что современная безопасность – это не реактивная защита, а продуманная архитектура, где каждый элемент работает на опережение угроз.
"В современной кибербезопасности нет универсальных решений", – подводит итог Артем. |
И действительно: каждый новый виток технологического развития приносит не только новые угрозы, но и новые возможности для защиты. Успех здесь определяется способностью учиться на прошлом опыте, быстро адаптироваться к изменениям и находить нестандартные решения для стандартных, казалось бы, задач.
А глядя на то, как развиваются технологии защиты веб-платформ, становится ясно: мы находимся в начале нового этапа эволюции кибербезопасности, где ключевую роль будут играть умные системы, способные не только реагировать на угрозы, но и предвидеть их появление.
Автор: Елизавета Трудова