Защита от DDoS-атак

В начале мая публичная облачная платформа Яндекс.Облако столкнулась с первыми серьезными DDoS-атаками на свою инфраструктуру. В целях безопасности мы не могли раньше объявить об инциденте и публикуем информацию лишь спустя месяц после произошедшей атаки.

Атаковали сразу двух клиентов, размещающих свои ресурсы в облаке, с разницей всего в 1,5 часа. В 19:40 по московскому времени была проведена атака на первого клиента Яндекс.Облака емкостью в 145 Гбит/сек, а в 21:21 на другую компанию обрушилась волна DDoS с большей полосой 159 Гбит/сек – это очень приличные цифры для облака, в особенности молодого.

Для проведения атак использовалась техника DNS Amplification (усиление). Техника амплификации заключается в том, что на сервер, содержащий сервис-усилитель, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. В данном случае для усиления атаки использовался протокол DNS. Обе атаки длились не больше минуты, при этом при нападении на второго клиента облака злоумышленники пытались несколько изменить тактику, чтобы атака проходила более эффективно. Однако это не помогло: благодаря новому сервису Yandex DDoS Protection, разработанному совместно с компанией Qrator Labs, обе атаки были полностью нейтрализованы сетью Qrator в автоматическом режиме, и в дальнейшем никаких попыток их возобновить не возникало. Возможно, это были «пробные удары» – злоумышленникам нужно было проверить, насколько облако готово к подобного рода угрозам, и есть ли смысл повторять атаки в будущем.

Сеть  Qrator, обладающая многотерабитной пропускной способностью и возможностями пакетной обработки большой емкости, успешно справилась с фильтрацией DDoS-атак. При этом оба нападения прошли совершенно незаметно для бизнеса клиентов: их сервисы продолжали работать в обычном режиме.

Рынок киберпреступлений разрастается невероятно быстрыми темпами, и чем шире становится хакерский инструментарий, тем чаще фиксируются новые атаки. Онлайн-бизнес находится в зоне повышенного риска:  уже не осталось практически ни одной компании, на которую хотя бы раз не была совершена кибератака. Поэтому всем пользователям платформы Яндекс.Облако рекомендуется своевременно позаботиться о защите бизнеса от DDoS-атак, подключив сервис Yandex DDoS Protection, интегрированный в облачную инфраструктуру. Это поможет сохранить работоспособность бизнеса и обеспечить наивысшее качество обслуживания клиентов.

Когда мы выбрали Qrator Labs в качестве поставщика решения по нейтрализации DDoS, мы уже использовали решение по защите от атак. Однако наш предыдущий поставщик не всегда мог предоставить необходимый нам уровень защиты из-за того, что время реакции на атаки было слишком длительным, а уровень распознавания атаки был неудовлетворительным, порождая слишком много ложных срабатываний. Общение со службой технической поддержки было медленным и неэффективным, так как мы не могли получить исчерпывающего ответа на все вопросы.

Мы поняли, что ситуацию необходимо менять и начали поиск решения, которое бы полностью удовлетворяло нашим требованиям. К тому моменту мы уже слышали о компании Qrator Labs и ее основателе Александре Лямине, поэтому решили рассмотреть в том числе и это решение среди прочих. После первоначальных тестов и анализа рынка стало ясно, что предложение Qrator Labs имеет лучшее соотношение цена/качество.

Lazada является самой быстрорастущей площадкой электронной коммерции в Юго-Восточной Азии и должна быть всегда доступна как для покупателей, так и для продавцов. «Доступность» означает не только то, что на сайт можно зайти, но и то, насколько быстро и беспрепятственно можно это сделать. Пути эскалации во время атак и других инцидентов являются критически важными; иногда просто необходимо иметь возможность позвонить техническому директору… однако мы ни разу этого не сделали.

Основываясь на 16 месяцах эксплуатации решения по нейтрализации DDoS компании Qrator Labs, мы можем утверждать, что техническая экспертиза службы поддержки — то, что дифференцирует данную компанию от всех остальных поставщиков схожих услуг на рынке. Комбинация столь высокого уровня сервиса, скорости решения технических вопросов, проблем и запросов от наших специалистов делает решение Qrator Labs, так же как и команду технической поддержки и сетевых операций компании, лучшими в сфере информационной безопасности. Так как к атакам и другим инцидентам практически невозможно подготовиться, крайне важно, чтобы при их возникновении коммуникация оставалась четкой, быстрой и профессиональной, удовлетворяя всем требованиям клиента. Мы не говорим о качестве работы сети фильтрации Qrator и способности нейтрализовать DDoS-атаки, так как высочайший уровень эффективности — это тот базис, с которого компания нашего размера и технической экспертизы начинает рассмотрение стороннего решения. Мы не можем позволить себе использовать сервис, принцип работы которого не понятен нам до конца, не говоря уже о любых сомнениях в его стабильности.

В среднем мы испытываем атаки средней степени опасности каждую неделю или две. Раз в два-три месяца мы фиксируем целенаправленные попытки вывести нашу систему из строя с помощью сложной DDoS-атаки. И раз или два в год происходят по-настоящему экстремальные события, имеющие своей целью выведение из строя уже не отдельно взятого сайта, но всей нашей сети и автономной системы. На подобные события мы должны реагировать молниеносно и агрессивно, нейтрализуя такие нападения совместно со специалистами Qrator Labs. Рано или поздно восприятие атак переходит в рутинную область, и мы узнаем об инциденте, только читая отчет, приходящий на следующее утро.

Решение Qrator Labs, согласно нашим замерам, также немного снизило задержки внутри нашей сети, благодаря грамотной архитектуре решения Qrator и глубокой интеграции. При том что у Lazada не так много возможностей подобного улучшения, выигрыш в несколько миллисекунд представляет собой положительное достижение.

После года совместной работы с Qrator Labs мы решили также защитить собственный DNS. У нас были некоторые, очень специфические, запросы к защите нашей системы доменных имен, и мы направили их в Qrator Labs. Через несколько недель запрошенные нами инструменты и опции управления были добавлены в решение Qrator. Иногда сложно просить компанию реализовывать какие-то решения, необходимые именно вам, но когда это происходит и вы получаете желаемое - ощущения фантастические.

Работа с такой компанией, как Qrator Labs, представляет собой замечательную возможность учиться и улучшать собственный продукт в высокопрофессиональной среде.

Вся суть данного бизнес-кейса заключается в количественном подходе при тестировании продуктов и сервисов, а также при сравнении различных сервисов в ключе специфических требований к их работе, а также реальных условий.

Сравнение было выполнено компанией SDVentures в конце 2017 года со следующей методологией:

“Используя инструментарий websitepulse, из 3-х локаций в Китае проводилось по 5 замеров, 1 лучший и 1 худший из них отбрасывались, после чего брался средний результат оставшихся 3-х измерений" *.

Таблица ниже иллюстрирует результат, полученный компанией SDVentures в конце тестирования в виде времени загрузки указанных страниц, в секундах.

Вся суть данного бизнес-кейса заключается в количественном подходе при тестировании продуктов и сервисов, а также при сравнении различных сервисов в ключе специфических требований к их работе, а также реальных условий. Методология может улучшаться постоянно, к ней можно бесконечно задавать вопросы. Однако, так как данное тестирование не было проведено компанией Qrator Labs, мы сочли возможным продемонстрировать данный результат в годовом отчете за 2017 год.

Подобные тесты демонстрируют корректный и практичный подход к получению исходных данных в форме индикаторов эффективности, приближенных к специфике бизнеса. Такая активность в тестировании облачных сервисов показывает высокий уровень технического профессионализма и осведомленности в компании, проводящей тесты. Не верить маркетинговым материалам и проводить собственные исследования — абсолютно нормально и даже хорошо, как мы неоднократно говорили в прошлом. Это же является причиной, по которой в прошлом году мы отдали в открытый доступ собственный набор инструментов для тестирования облачных сервисов с помощью Atlas RIPE всем заинтересованным сторонам.

Сама возможность формализации ключевых параметров, которые имеет смысл сравнивать в ходе тестирования, очень важна и далеко не всегда легка. Измеряя некорректные индикаторы, вы не сможете получить больше информации о сервисе или продукте, а также о том, какой из многих лучше подойдет вашему бизнесу. Континентальный Китай же представляет собой очень особенный случай из-за широко известного “Великого Файрволла”, влияющего на стандартную передачу и обработку сетевых пакетов.

* Данная методология и результаты берут свое начало от нашего клиента и должны быть рассматриваемы с некоторой осторожностью.

"В финансовом секторе репутация является одним из наиболее важных факторов успеха банка, и она во многом зависит от вопросов безопасности: если онлайн-сервисы финансовой организации становятся недоступны, это моментально подрывает доверие клиентов. Райффайзенбанк является одним из самых надежных российских банков и самым удобным российским банком по версии американской редакции Forbes, поэтому даже минимальные простои в работе ресурсов для нас недопустимы.

Обеспечение непрерывности нашего бизнеса и защиту от сетевых атак уже более шести лет мы доверяем Qrator Labs. Геораспределенная сеть фильтрации Qrator нейтрализует любые DDoS-атаки в режиме реального времени, выявляя аномальный трафик и моментально его блокируя.

Для нас особенно важно, что система способна блокировать атаки сетевого уровня в автоматическом режиме, за счет чего скорость реакции на атаки сводится к минимуму.

Сегодня под защитой Qrator Labs находится более 100 сервисов Райффайзенбанка. Мы считаем, что Qrator Labs – надежный партнер для любого бизнеса, чья инфраструктура нуждается в максимальной защите от сетевых атак и обеспечении ее непрерывного функционирования".

Работая в индустрии более 180 лет, Türk Telekom является первым интегрированным оператором связи в Турции.

Группа компаний Türk Telekom предоставляет услуги в 81 городе страны, а штат оператора насчитывает более чем 34 тысячи сотрудников. Türk Telekom способствует активному внедрению новых технологий и ускорению цифровой трансформации Турции. Для национальных операторов такого уровня, как Türk Telekom, крайне важно выявлять сетевые аномалии, которые могут существенно повлиять на доступность и качество их услуг на уровне глобальной маршрутизации.

Для глобального мониторинга трафика и обнаружения сетевых аномалий оператору связи требовался специализированный инструмент, работающий на уровне междоменной маршрутизации. Türk Telekom остановил свой выбор на крупнейшей в мире системе мониторинга Интернета Qrator.Radar с более 800 BGP-сессиями с крупнейшими провайдерами по всему миру. Qrator.Radar предоставляет оператору связи данные обо всех сетях, доступных в таблицах маршрутизации, и помогает обнаруживать глобальные инциденты сетевой связности, такие как утечки маршрутов и перехваты трафика (BGP Hijacks).

Возможность получать уведомления об аномалиях BGP в режиме реального времени позволяет Türk Telekom незамедлительно реагировать на инциденты, нивелируя возможные неблагоприятные последствия для бизнеса и улучшая работу сети в целом.

На войне, как известно, все средства хороши. Смысл этой фразы в полной мере оценили на себе рестораны «Тануки» осенью 2021 года. 29 августа  основатель движения «Мужское государство» Владислав Поздняков в своём телеграм-канале заявил об объявлении войны всем ресторанам работающих под брендом «Тануки». Причиной тому стали фотографии в сети Instagram с темнокожим мужчиной-моделью и радужным флагом. Активист угрожал парализовать работу, если компания не удалит снимки и не принесет извинения «перед нацией».

Представители компании не пошли на поводу у группировки, заявив, что «не планируют удалять свои посты и извиняться», поскольку все обвинения абсолютно не обоснованы, в том числе, с точки зрения законодательства РФ. После отказа подчиняться требованиям «Мужского государства» «Тануки» стала подвергаться массовой травле. Начались ложные звонки в правоохранительные органы о минировании ресторанов, активисты организовывали спам-атаки, вызывали курьеров по ложным заказам, делали заказы и отказывались от их оплаты, имитируя таким образом деятельность ботов. Кульминацией стала организация серии DDoS-атак на сайт и приложения «Тануки».

Лидер националистического движения Владислав Поздняков агитировал подписчиков своего телеграм-канала на проведение атак, объявляя сбор средств, и на вырученные деньги заказывал нападения. С 29 августа по 13 сентября список заблокированных IP-адресов 15 раз превышал порог в 5 тысяч, а в 9 случаях из них было заблокировано более 19 тысяч IP-адресов. Даже между пиками количество заблокированных адресов редко снижалось ниже 400*. Не менее семи раз были предприняты попытки исчерпать канальную емкость атаками с амплификацией, самая мощная из которых составила более 77,9 Гбит/с. Подробная хронология первых нескольких атак Около 15.00 29 августа началась первая атака, не имевшая заметного эффекта вплоть до 19:42, после чего количество входящего трафика стало многократно увеличиваться, и в пике атака достигала 7,08 Гбит/с. Почти всё это были запросы главной страницы с большого количества IP-адресов. К 19:46 было заблокировано уже 21,72 тысячи IP-адресов. В 20:11 и 21:19 - в самый пик оформления заказов на сайте - предпринимались повторные попытки атаковать, но, поскольку трафик сервисов автоматически фильтровался сетью Qrator Labs, нападения никак не повлияли на доступность ресурса, хотя и увеличили размер чёрного списка до 30,2 тысяч адресов в максимуме.

Около 9 утра 30 августа в телеграм-канале была опубликована подробная инструкция для атакующих, а сама атака началась уже около 14:40, за ней последовала третья, самая продолжительная из всех, длившаяся около 630 минут. В небольшую передышку между второй и третьей атакой злоумышленники произвели одну из самых массированных попыток исчерпать канальную емкость входящим трафиком на скорости 77,9 Гбит/с, но в пике атаки сеть Qrator Labs максимально пропустила только 3,84 Мбит/с, что совершенно не отразилось на защищаемом ресурсе. Во время атак злоумышленники использовали, как правило, различные прокси-сервера, так что у большинства атак в топе – адреса из Бразилии, Индонезии, Ирана и Индии. 13 сентября в телеграм-канале «Мужского государства» был опубликован последний призыв атаковать «Тануки».

Однако несмотря на то, что координации действий через чат больше не производилась, сами атаки не прекращались и после этой даты. До 1 декабря было организовано еще 6 атак, во время каждой из которых было заблокировано более 5 тысяч адресов. Что необычно, 28 сентября произошла самая интенсивная атака за всё время «интернет-войны», но, в отличие от остальных, трафик из RU сегмента во время неё не рос, а только падал, поэтому можно предположить, что данная атака не была связана с «Мужским государством» или была заказана кем-то из её членов без координации действий с остальными участниками. Атака длилась 260 минут, во время неё было заблокировано 33,7 тысячи адресов, а интенсивность входящего трафика составила 132,85 Гбит/с в пике.

Как известно, 18 октября 2021 года Нижегородский суд признал «Мужское государство» экстремистской организацией, запретив его деятельность на территории России, а «Тануки» через суд добивается возмещения убытков. «Сеть Qrator Labs помогла нам сохранить высокий уровень клиентского сервиса в период атак со стороны «Мужского государства». Мы довольны помощью нашего партнера, специалисты компании Qrator Labs были всегда на связи, атаки оперативно нейтрализовывались и практически не повлияли на работу наших сервисов, несмотря на то что мы действительно испытали на себе массированные волны DDoS-атак. Благодаря атакам мы смогли обновить свою инфраструктуру, а наша техническая команда получила большой опыт. Это позволит нам обеспечить устойчивое развитие и надежность работы сервисов Тануки и и большую готовность к подобным событиям вне зависимости от их масштаба.

Для нас это интересный опыт, мы готовы делиться знаниями с теми кто сталкивается с подобными проблемами», – комментирует Илья Силиневич, СТО «ТанукиТех». После благополучного окончания конфликта с “Мужским государством” «Тануки» решила подключить дополнительную услугу Qrator Labs, не ограничиваясь только защитой от DDoS-атак. На данный момент компания приступает к внедрению и тестированию продукта Bot Protection для защиты от ботов. Ранее служба поддержки Qrator Labs помогала «Тануки» бороться с активностью ботов, в том числе отличной от DDoS-атак, когда злоумышленники имитировали деятельность ботов на сайте, кладя товары в корзину и бросая их, а теперь сайт и мобильное приложение компании будут в проактивном режиме фильтровать бот-трафик с помощью решения Qrator Bot Protection.

Ботнеты, используемые для проведения DDoS-атак, также применяются для майнинга криптовалюты. При высоких курсах криптовалют злоумышленники перенаправляют мощности на майнинг, что становится значительно выгоднее, чем организация DDoS-атак.

При возникновении обратной ситуации – когда курс криптовалют снижается, ботнеты монетизируются иным способом: используются уже для выполнения коммерческих заказов на DDoS.

Так, на фоне резкого обвала криптовалют 25 мая 2021 года компания Cindicator и её продукт Stoic, трейдинговый крипто бот с искусственным интеллектом подверглись двум широкомасштабным DDoS-атакам, организованным с интервалом всего в 2 часа.

Длительность каждого инцидента не превышала 15 минут непрерывного потока вредоносного трафика. В первом эпизоде полоса атаки достигла 160 Гбит/с. По своему характеру атака являлась низкоуровневым пакетным флудом, который был успешно отфильтрован сетью Qrator Labs. Во втором, более серьезном эпизоде полоса атаки достигла 487 Гбит/с и 47 MPPS, затронув и прикладной уровень: злоумышленники генерировали более 8 тыс. запросов в секунду к атакуемому веб-приложению. В блокировку системы фильтрации попали порядка 4 тыс. адресов ботов, 25% которых приходились на Юго-Восточную Азию и РФ.

Высокий потенциал проекта Cindicator и актуальность платформы в контексте бурного развития криптовалют делают этот инструмент очень заметным на конкурентном рынке трейдинга, что не может не провоцировать злоумышленников на организацию DDoS-атак.

«Безопасность пользователей Stoic является нашим основным приоритетом. Подключение к сети Qrator Labs помогло Cindicator нивелировать инфраструктурные и репутационные риски, что приобретает особую важность при работе с большим числом пользователей. Мы не можем позволить себе ни минуты простоя нашей платформы – она должна работать, как часы, 24/7, и в этом нам очень помогает сотрудничество с Qrator Labs. Сеть фильтрации нейтрализует DDoS-атаки любой сложности в абсолютно невидимом режиме, что дает возможность сосредоточиться на наших бизнес-задачах по созданию целостной и востребованной экосистемы для трейдеров», – комментирует Влад Казаков, Head of Products в компании Cindicator.

SberFood стал одним из хедлайнеров развития Foodtech в России – интеграции цифровых технологий в ресторанную сферу, предоставив ресторанам новые маркетинговые инструменты и современные технологии для охвата новой аудитории.

Как любой высокотехнологичный бизнес, SberFood испытывал острую необходимость в обеспечении непрерывной доступности приложения, активная аудитория которого довольно широка, а сервис представлен в 150 городах России.

DDoS-атаки и взломы популярных мобильных платформ могут заметно сказаться на лояльности пользователей и продажах в ресторанах в случае деградации сервиса. Поэтому для нивелирования своих инфраструктурных рисков компания приняла решение заранее, до запуска приложения, подключиться к сети фильтрации трафика Qrator для нейтрализации DDoS-атак. Дополнительно был настроен WAF (WEB Application Firewall) для защиты веб-приложения от хакерских атак и блокирования вредоносного трафика, а также защита от ботов.

WEB Application Firewall включал в себя проактивный фильтр, блокирующий большую часть атак на веб-приложение, систему обнаружения уязвимостей и Virtual Patching (виртуальные патчи), защищающий приложения сайта от неисправленных уязвимостей, обнаруживая и блокируя попытки атак и вторжений в режиме on-line. Для настройки защиты от ботов была проведена подготовительная работа с заказчиком еще в 2018 году: включена разметка трафика ботов и реализовано распознавание источников, с которых чаще всего совершается парсинг и фрод – публичные прокси-серверы, TOR и пр.

Благодаря проактивному подключению всех сервисов безопасности запуск приложения и последующее функционирование происходило без каких-либо сбоев и простоев в работе, а сочетание аналитики Qrator Labs с реагированием на стороне клиента помогло минимизировать эффекты от нежелательной бот-активности.

________________________________________

Foodplex — объединенная компания, включающая в себя платформу SberFood, которая помогает выбрать подходящее заведение, забронировать столик, воспользоваться привилегиями, сделать предварительный заказ, а также быстро оплатить счет без официанта и оставить безналичные чаевые, систему цифрового маркетинга и платежей Plazius Marketing Cloud, медиа-сервис «Афиша-Рестораны», систему бронирования столов Smart Reserve и систему автоматизации ресторанов r_keeper, которая позволяет автоматизировать работу ресторана: зала и кухни, а также склада, офиса и бухгалтерии. Акционерами компании являются Сбербанк и Mail Group.

Под ударом оказались многие компании из различных индустрий, в первую очередь, системы онлайн-дневников и образовательные платформы. Они стали одной из основных целей у атакующих. По данным Qrator Labs, в конце марта 2020 года рост нападений на сектор онлайн-курсов и сервисов дистанционного обучения был довольно агрессивным: по сравнению с февралем того же года число DDoS-атак увеличилось почти в 4 раза. В первую очередь, это связано с тем, что школьники старались использовать любые возможности, чтобы не продолжать образование в онлайн-формате, а инструменты для организации DDoS-атак сейчас доступны даже подрастающему поколению. Кроме того, велика и конкуренция на этом рынке – в борьбе за пользователя и государственное финансирование компании могут прибегать к любым способам, даже противозаконным, таким как DDoS-атаки.

16 марта 2020 года онлайн-школа «Фоксфорд» открыла доступ к бесплатным занятиям по школьной программе для всех учеников 1-11 классов, которые оказались в условиях самоизоляции из-за эпидемии коронавируса. Сразу после этого сервисы компании стали подвергаться регулярным интенсивным атакам на отказ в обслуживании.

В марте было зафиксировано более десятка инцидентов, наиболее серьезная волна которых пришлась на вторую половину месяца: с 23 по 30 марта было организовано 5 DDoS-атак общей длительностью более 25 часов. Самый крупный инцидент произошел 30 марта: он длился более трех часов, а его максимальная скорость достигала 160 Гбит/сек, тогда как средняя скорость большинства атак сегодня не превышает 40-50 Гб/сек.

Обращает на себя внимание тот факт, что наряду с типичными для таких случаев атаками типа amplification (усиление) злоумышленники активно использовали атаки, основанные на TCP, включая SYN-флуд (отправка большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок). Также были зафиксированы атаки прикладного уровня с ботнетов, расположенных в России и Юго-Восточной Азии. Подобный агрессивный профиль атак хоть и не является редкостью сам по себе, однако ранее не был свойственен ресурсам онлайн-школ (по крайней мере, за вычетом короткого промежутка времени с 1 по 5 сентября).

Ресурсы школы продолжили подвергаться атакам и в апреле. Так, атака 6 апреля носила прикладной характер и использовала ботнет, расположенный на IP-адресах, принадлежащих компаниям из США, Южной Америки и Юго-Восточной Азии.

Столь разнообразный характер источников паразитного трафика заставляет предположить не только то, что онлайн-школа являлась постоянной целью таргетированных DDoS-атак, но и то, что организацией атак занимались различные группы злоумышленников, каждая из которых ставила своей основной целью вывод сервиса из строя.

«Защищая ряд образовательных платформ уже несколько лет подряд, мы отмечаем, насколько помолодели современные злоумышленники. Инструментарий DDoS-атак стал доступен не только опытным программистам, но и подрастающему поколению, с успехом участвующему в киберпреступлениях. Школьники уже вполне могут самостоятельно “ддосить” образовательные порталы или, возможно, даже находить финансирование для использования услуг сторонних исполнителей, — комментирует Артем Гавриченков, технический директор Qrator Labs. — Однако, если для того чтобы “положить” абсолютно любой ресурс, достаточно провести атаку со средней скоростью в 40 Гб/сек, то нападение на “Фоксфорд” 30 марта явно не было организовано любителями. Проведение подобного рода атак скоростью более 150 Гб/сек требует существенных финансовых вложений для аренды серверов, обеспечения технической базы и, возможно, привлечения профессиональных злоумышленников».

Финансовая компания Olymp Trade появилась в 2014 году, и за столь короткий срок успела занять особое место на рынке. Статистика пользования онлайн-платформой впечатляет: число одновременно торгующих трейдеров достигает 20 000. При этом, в течение месяца появляется по 100 000 новых трейдеров, которые совершают порядка 15 миллионов сделок.

Подобная финансовая активность в интернете не может остаться незамеченной, а потому проблематика возможных кибератак остается крайне актуальной.

Инженеры Olymp Trade отмечают, что попытки взлома системы со стороны злоумышленников фиксировались неоднократно. Однако существенных негативных последствий для системы и критичных потерь удается избежать за счет комплекса технических и административных мер. Например, это разделение и дополнительная защита средств, циркулирующих в системе: «просто так» вывести деньги не получится. При любой попытке вывода необходимо получить подтверждение от владельца аккаунта, а потому любая подозрительная активность будет мгновенно пресечена.

Переломный момент

Некоторое время назад Olymp Trade впервые столкнулась с целенаправленной DDoS-атакой – крупнейшей за всю историю компании. Хакеры планировали вывести систему из строя и начать требовать деньги. Так, на адреса сотрудников поступали различные письма с прямыми угрозами и вымогательством.

«Стоит честно признаться, что мы далеко не сразу поняли, что за аномальной активностью скрывается реальная угроза, - комментирует представитель Olymp Trade. – Проводя обширную рекламную активность, мы уже сталкивались с серьезным ростом запросов, оказывающих существенную нагрузку на платформу, и поначалу считали, что наша система не выдерживает большого количества новых релевантных пользователей. Нам казалось, что этот трафик валиден, до тех пор, пока специалисты не начали разбирать его по журналам.

Предпринималась атака L2 и L7, по нескольким векторам, начиная с пробных ударов по нашим сервисам и заканчивая продолжительной ночной серией непрерывных запросов. Наша круглосуточная служба технической поддержки сразу зафиксировала существенное ухудшение сервиса и нестабильность работы платформы: ночью мы подняли команду наших технических специалистов и, оценив проблему, начали переключение на сеть фильтрации Qrator».

Через некоторое время после подключения, обучения и настройки сети, весь мусорный трафик оказался отфильтрован, и работа нормализовалась.

Мобильный взлом

Для удобства клиентов, некоторые мобильные приложения не требуют для входа ввода captcha, чем пытаются пользоваться злоумышленники. Olymp Trade периодически сталкивается с попытками компрометации конечных устройств и приложений – к примеру, в случае с подбором паролей брутфорсом (brute force).

Компания знает о подобных попытках эксплуатации и активно борется с ними. Для защиты клиентов вводятся новые алгоритмы защиты учетных записей, внедряется WAF для предотвращения риска взлома торгового приложения и т.п.

При этом часть возможных векторов атак слабо поддаются контролю. Заражённые вирусом Android-устройства, которые перенаправляют sms злоумышленникам, десктопные кейлоггеры (key logger) — данность сегодняшнего дня. Переломить ситуацию достаточно сложно, потому как данная уязвимость существует на стороне конечного пользователя. Надо отдать должное специалистам технической поддержки Olymp Trade, которые всегда предупреждают трейдеров о возможных нерыночных рисках и стараются подобрать оптимальные варианты обеспечения безопасности.

No pasarán!

В Olymp Trade отмечают, что далеко не все типы атак эффективно отражать собственными силами – часто это экономически невыгодно.

После подключения к сети фильтрации Qrator Labs, сервисы компании вошли в привычный режим работы. Однако это не значит, что атаки прекратились: на протяжении нескольких недель наблюдались интенсивные кибернападения. Но даже после того, как хакеры меняли вектор атаки, сеть Qrator быстро адаптировалась к изменениям и эффективно нейтрализовывала новые массовые запросы. Следует отметить работу технической поддержки и разработчиков, которые оперативно подключаются к процессу анализа новых атак.

Olymp Trade рассматривала DDoS-mitigation услуги и нескольких других подрядчиков, но, в итоге, остановилась именно на решении Qrator. Среди основных причин – положительный опыт совместной работы, высокий профессионализм и полное понимание внутреннего технического устройства финансовой компании.

«Эффективность решения Qrator Labs оценивается нами действительно высоко», - подытожил представитель компании Olymp Trade.

Как известно, сложная атака влияет не только на ваш сервис, но и на расположенные в одном дата-центре, использующим физический канал соединения с поставщиками IP-транзита и другими операторами связи. Поэтому так часто происходит отключение провайдером сервиса от услуги ради защиты собственной инфраструктуры и предоставления гарантированного сервиса всем остальным клиентам. Это произошло с Tilda, так как провайдер отключил их от сети на 2 часа во избежание большего ущерба.

Данная ситуация не является уникальной — мир знает много случаев отключения дата-центрами ценных клиентов от услуги предоставления хостинга или доступа в интернет ради защиты всей остальной клиентуры и/или инфраструктуры. Поэтому не стоит сильно удивляться, если во время распределённой атаки на отказ в обслуживании ваш провайдер просто перестанет предоставлять вам услугу.

В современном цифровом мире, где даже несколько часов отсутствия доступности к ресурсу с большим количеством клиентов могут негативно сказаться на долгосрочном состоянии и развитии бизнеса, компания Tilda обратилась за помощью в Qrator Labs.

Фильтруя трафик в облаке компании Qrator Labs, Tilda Publishing нивелировала собственные инфраструктурные, репутационные и выраженные в конкретных финансовых показателях риски. Что особенно важно, когда мы говорим о глобальном сервисе с клиентами по всей планете.

Помимо этого попытка справится с атакой на стороне защитника - всегда большой стресс, так как техническим специалистам приходится работать в неурочное время, атакующие специально выбирают такие моменты для атаки, когда наблюдение и мониторинг происходят в пассивном режиме (ночью, в выходные).

Tilda Publishing быстро сделала правильный вывод — в современном мире интернет-проектов, «бегущих» на максимально возможной скорости, часто о маловероятных рисках никто не думает до их реализации. В этот момент правильно взвесить все «за» и «против» и принять решение. Компания Qrator Labs благодарна Tilda Publishing в первую очередь за доверие как поставщику услуг непрерывной доступности и нейтрализации распределённых атак на отказ в обслуживании.

Требования Tilda:

— Непрерывная доступность платформы и сайтов клиентов;

— Нулевой отказ в обслуживании;

— Полноценная защита по всей модели ISO OSI;

— Подключение под атакой и успешная нейтрализация в короткий срок.

Для таких крупных компаний, как Kassir.ru, обладающих сложной инфраструктурой и бизнес-процессами, особенно остро стоят вопросы обеспечения высокого уровня информационной безопасности, ведь простой сервиса билетного оператора федерального масштаба может повлечь за собой колоссальные убытки. Не говоря уже о существенной потере репутации среди клиентов, которым доступ к онлайн-покупкам билетов часто требуется в любое время суток.

DDoS-атаки наряду с мошенничеством стабильно удерживают первое место в списке угроз бизнесу в индустрии продажи электронных билетов. Неудивительно, что, проанализировав свою конкурентную среду и тенденции в области сетевых атак, Kassir.ru решил предпринять профилактические меры по защите от DDoS. Проведя сравнительное тестирование нескольких DDoS mitigation-решений, компания остановила свой выбор на сети фильтрации трафика Qrator Labs.

«Qrator Labs – лидер рынка. Собственные алгоритмы фильтрации, профессиональная команда разработчиков и, конечно, простота и эффективность использования, стали для нас решающим фактором при выборе решения для фильтрации DDoS-трафика. Для высокотехнологичного бизнеса Kassir.ru очень важно, чтобы защита от атак обеспечивалась непрерывно и в максимально «невидимом» режиме для наших клиентов. Для нас также важно, чтобы сервисы стабильно работали в режиме повышенной активности пользователей, например, при проведении федеральных акций. В такие дни количество одновременных обращений к системе может в десятки раз превышать средние значения. Сейчас мы уверены в своей готовности к таким стрессовым ситуациям в том числе благодаря сотрудничеству с Qrator Labs», – комментирует технический директор Kassir.ru Кирилл Дьяков.

Настройка подключения к сети Qrator заняла несколько месяцев: вначале были тестовые прогоны трафика, потом перешли на работу в «боевом» режиме. Закончив мониторинг работы сервиса и удовлетворившись качеством предоставляемой услуги, в январе 2019 года Kassir.ru официально стал клиентом Qrator Labs. Спустя некоторое время компания впервые столкнулась с целенаправленной попыткой вывести систему из строя с помощью DDoS-атаки. Атака была небольшая – видимо, пробная: скорость не превышала 1 Гб/сек, а наиболее интенсивный период «бомбардировки» мусорными запросами длился не более нескольких минут. Сеть Qrator мгновенно нейтрализовала атаку в автоматическом режиме, и в дальнейшем злоумышленники, столкнувшись с «умной» фильтрацией трафика, больше не предпринимали попыток повторения инцидента.

Являясь высокотехнологичной и быстрорастущей компанией, Kassir.ru постоянно масштабирует свой бизнес, привлекая в свою экосистему все новых игроков рынка и партнеров. Параллельно развивается и ИТ-инфраструктура компании, где первыми приоритетами ставятся обеспечение отказоустойчивости и 100-процентной доступности. «Мы благодарим Kassir.ru за выбор решения Qrator по нейтрализации DDoS-атак. Наша сеть фильтрации растет вместе с бизнесом клиента, подстраиваясь под его задачи, и мы готовы предоставлять свою площадку и экспертизу для реализации самых смелых проектов национального билетного оператора», – комментирует Александр Лямин, основатель и генеральный директор Qrator Labs.

Domino’s Pizza Russia – один из лидеров в сегменте доставки пиццы, и для нее очень важно быть онлайн 24/7, ведь каждая секунда простоя означает не только большую потерю денег, но и репутационные издержки. Современный мир настолько динамичный, конкуренция острая, а пользователь так избалован, что, если сайт загружается дольше 20 секунд, клиент уже открывает в соседней вкладке браузера страницу конкурента. Поэтому интернет-бизнесу Domino’s Pizza Russia важно быть постоянно доступным, предоставлять лучший сервис и быстро доставлять самую вкусную пиццу.

DDoS-атаки в таких индустриях, как сфера быстрого обслуживания, организуются в основном в целях вымогательства и конкурентной борьбы. Коммерческие заказы на DDoS не сбавляют своих позиций. Многие вынуждены бороться за своё существование и готовы использовать для этого практически любые методы, устраняя конкурентов и стараясь завоевать большую долю рынка.

Qrator Labs уже более трех лет сотрудничает с Domino's Pizza, обеспечивая устойчивое развитие сети пиццерий в России и предоставляя защиту от DDoS-атак. «Свой выбор мы остановили на компании Qrator Labs именно в силу эффективности технологии защиты, выгодного тарифа, простоты подключения к сервису и высокого уровня технической поддержки», – комментирует Константин Баев, руководитель отдела информационных технологий Domino’s Pizza Russia.

За время подключения к сети фильтрации специалисты Qrator Labs помогли заказчику нейтрализовать 8 инцидентов с DDoS-атаками, в том числе атаки прикладного уровня общей длительностью более 60 часов.

«В сфере онлайн-продаж и индустрии быстрого питания заказы совершаются в любое время суток, и для обеспечения наивысшего качества обслуживания мы взаимодействуем с клиентами практически 24 часа в сутки. Наша технологическая инфраструктура постоянно расширяется, и для нас критически важно обеспечение ее непрерывного функционирования, – отмечает Константин Баев. – За 3 года сотрудничества с Qrator Labs ни одна атака не затронула наш бизнес. Сеть Qrator мгновенно нейтрализует все нападения так, что они проходят максимально незаметно для нас. Хотим отметить также уровень технической поддержки и квалификации сетевых инженеров компании: скорость ответа и обработки запросов соответствует нашим высоким требованиям».

«По нашим оценкам, общее количество DDoS-атак за 2019 год выросло примерно в 1,5 раза, в том числе это касается и индустрии онлайн-заказов быстрого питания, которая стремительно развивается и находится под пристальным вниманием злоумышленников. Постоянно совершенствуя уникальные алгоритмы фильтрации, мы помогаем Domino’s Pizza Russia управлять трафиком и обеспечивать клиентам комфортные условия для совершения покупок без перебоев в работе сервиса. Сеть Qrator оперативно реагирует на появление новых типов угроз в автоматическом режиме и становится надежной основой для построения инфраструктуры, устойчивой к любым внешним воздействиям», – комментирует Александр Лямин, основатель и генеральный директор Qrator Labs.

«За счет постоянной фильтрации трафика, минимального времени реагирования на инциденты, нейтрализации наиболее сложных интеллектуальных атак сеть Qrator обеспечивает работоспособность наших ресурсов в режиме 24/7. Сервис Qrator Labs – это надежная защита бизнеса от сетевых атак любой сложности, – отмечает Маркович Леонид, директор по маркетингу А1 Системс. – Для А1 Системс – первой российской компании, предоставляющей услуги по управлению профилями eSIM на коммерческой основе и успешно прошедшей первичный аудит ассоциации GSMA SAS-SM – непрерывная доступность технологической инфраструктуры для заказчиков является критической частью бизнеса. Простои в работе сервиса для компании не допустимы».

Сегмент электронной коммерции до сих пор прочно удерживает первое место в списке самых атакуемых индустрий. По нашим данным, во втором квартале 2021 года на его долю пришлось 19,97% всех DDoS-атак, организованных на наших клиентов.

Основным мотивом таких атак большинство является фактор вымогательства, а также недобросовестная конкуренция, в особенности в сфере строительства и ремонта. Организовав атаку, например, во время масштабных промо-акций, злоумышленник может требовать серьезных сумм за приостановление нападения. Если магазин к атаке не готов, то даже весьма внушительные запросы атакующих будут удовлетворены.

Также атака может быть приурочена к старту активной рекламной кампании. Одним из видных игроков рынка онлайн-ритейла является строительный торговый дом «Петрович». По версии аналитического агентства INFOLine, это самый быстрорастущий игрок на рынке DIY и крупнейший отечественный ритейлер товаров для строительства и ремонта. В 2020 году выручка компании выросла на 23,07% по сравнению с 2019 годом, а число доставок увеличилось на 30%, до 3 млн единиц.

Повышенное внимание со стороны конкурентов, значительный рост доли онлайн-заказов, цифровизация бизнес-процессов – все эти факторы послужили отправной точкой для начала модернизации ИТ-инфраструктуры компании и организации превентивной защиты от распределенных атак на отказ в обслуживании. Хорошо понимая катастрофичность последствий DDoS-атак, особенно в пиковые периоды активности, в 2019 году торговый дом «Петрович» подключил свою инфраструктуру к сети фильтрации Qrator Labs, дополнительно реализовав защиту от уязвимостей Web Application Firewall. За время сотрудничества торговый дом «Петрович» не раз подвергался высокоскоростным атакам на отказ в обслуживании.

В октябре 2020 года была зафиксирована атака уровня приложений длительностью более 3-х часов с паразитной нагрузкой 870 запросов в секунду. В марте 2021 года на ресурсы клиента обрушилась целая волна DDoS-атак сразу на два ресурса клиента, самая продолжительная из которых длилась почти 3 часа, а мощность достигала 400 тысяч пакетов в секунду. Судя по тому, что атаки шли каждый день, злоумышленники, вероятнее всего, искали слабые места в системе защиты, но найти их не удалось: сеть фильтрации Qrator Labs моментально выявила аномальный трафик и моментально его заблокировала.

В июне 2021 года атаки повторились: на этот раз атака была непродолжительной – всего несколько минут – но достаточно масштабной – порядка 1000 паразитных запросов в секунду на уровне L7. “Мы сотрудничаем с Qrator Labs практически 3 года, за это время мы полностью забыли о проблеме DDoS-атак и взломов. «Умная» фильтрация трафика Qrator Labs работает, как часы, помогая нашему бизнесу оставаться онлайн в любое время суток, особенно в пиковые периоды активности, что максимально важно для любой компании, в особенности работающей в сфере крупного ритейла.

Для нас работа с Qrator Labs – это залог процветания нашего бизнеса и возможность сфокусироваться на его устойчивом развитии, не отвлекаясь на попытки взломов и DDoS-атак”, - комментирует Роман Фирсов, старший системный администратор Unix-систем, торговый дом «Петрович».

нормой стали атаки в несколько сот гигабит в секунду, для защиты от DDoS нужны правильные инструменты. Компания Qrator Labs стала надежным партнером, который помог

обеспечить нужный бизнесу SLA, проявив гибкость в работе с нашей непростой веб-инфраструктурой. Wallarm мы отдельно используем для защиты веб-приложений и наших многочисленных API. Особенно радует, что мы смогли интегрировать оба решения с нашим центром реагирования на инциденты и системой мониторинга.

В некоторых сферах бизнеса нейтрализация DDoS-атак может осложняться ввиду ряда особенностей той или иной индустрии и различных механизмов работы с пользователями интернет-ресурсов. Бывает, что алгоритмы очистки трафика, работающие вплоть до уровня L7 модели OSI и базирующиеся на поведенческом анализе трафика, не всегда могут помочь там, где отсутствует паттерн поведения пользователей, например, в финансовой индустрии. В частности, на сайтах платежных систем сложно анализировать поведение пользователей за счет того, что большинство клиентов, находясь на сайте, придерживается единого сценария, и обнаружить отклонения от нормального поведения практически невозможно.

Работая с большим количеством клиентов из различных отраслей, мы пришли к выводу, что такие проблемы могут возникать не только у компаний из финансовой сферы. Актуальны они и для образовательной индустрии, и для онлайн-игр и других отраслей, что подтолкнуло нас к поиску новых, более тонких подходов к распознаванию действий атакующих.

В декабре 2020 года с атаками прикладного уровня столкнулась крупная российская школа, предлагающая дистанционные инструменты обучения детей.
Сложность кейса заключалась в большом количестве учеников онлайн-школы и не менее высоком уровне ложноположительных срабатываний при блокировке трафика: либо слишком много нелегитимного трафика забивало канал, и трансляция не работала, либо при управлении белыми и черными списками на стороне клиента блокировался трафик DDoS-атаки вместе с частью трафика пользователей, и ряд учеников не могли зайти на сайт.

Как оказалось, наше решение, изначально разработанное для индустрии финансов, смогло пригодиться и для сферы образования. Мы предложили встроить в код программы-клиента разработанный нами алгоритм аутентификации, который в случае DDoS-атаки позволяет выполнять дополнительную верификацию IP-адреса пользователя сайта. По этой схеме можно добавлять в доверенные белые списки IP-адреса учеников, прошедших авторизацию на сайте. В случае атаки белый список становился приоритетным, а остальные адреса отсекались на периметре сети, и атаки таким образом успешно блокировались.

С этой целью мы выделили для клиента методы API, предоставив ему возможность автоматизированного управления белыми/черными списками системы и позволяя осуществлять фильтрацию на периметре нашей сети. За счет гибкости глобальной сети фильтрации Qrator Labs мы дали клиенту возможность управлять системой и пользоваться ее ресурсами максимально, кастомизировав решение под запрос онлайн-школы.

Современные боты могут легко имитировать легитимную нагрузку, и с каждым разом становится все сложнее отличить бота от человека. Для этого необходимо использовать уже другие подходы – не только из области искусственного интеллекта, но и с применением методов социальной инженерии. Поиск вредоносной активности должен производиться как на основе анализа запросов, так и цифрового отпечатка пользователя с помощью активных проверок. Мы в Qrator Labs разрабатываем индивидуальные решения для клиентов, которые не просто блокируют трафик атаки, а применяют более строгие и тонкие правила фильтрации, осуществляя поведенческую кастомизацию там, где выявление ботов затруднено.

Ресурсы с такой широкой аудиторией должны быть доступны для пользователей в любое время суток, а значит – защищены от всех атак, которые могут вызвать простой сервисов. Этой задачей руководство сайта озаботилось еще в 2012 году, когда скорости DDoS-атак стали нарастать экспоненциально и превысили 100 Гбит/сек. Тогда на Хакер было совершено несколько крупных DDoS-атак. Сайт работал на собственном железе, и постоянные даунтаймы создавали огромную проблему для пользователей, не говоря уже об администраторах ресурса, которым приходилось вручную отрабатывать атаки.

Как раз в то время редакция издания делала интервью с основателем Qrator Labs Александром Ляминым, и, по словам основателя Хакера Дмитрия Агарунова, “он показал себя и свою команду как довольно опытных инженеров”. «Было видно, что Qrator — не теоретики, а имеют реальный опыт отражения сетевых атак, — комментирует Дмитрий Агарунов. — По этой причине мы сразу решили попробовать Qrator Labs в качестве поставщика решения по нейтрализации DDoS». После подключения к сети фильтрации Qrator работа ресурса нормализовалась, и в дальнейшем, за последние семь лет, никаких проблем с DDoS у Хакера больше не возникало.

За время сотрудничества у клиента было несколько обращений в службу технической поддержки Qrator. Каждый раз инженеры давали оперативные ответы на все вопросы, присылая четкие и внятные инструкции по решению задачи. «Нас никогда не «футболили» между линиями поддержки, не присылали отписок в духе "Спасибо за ваш вопрос!". Действительно очень качественный и быстрый сервис, иногда вопросы решались за 30 минут» - говорит Дмитрий Агарунов.

Англоязычный ресурс был заведен под защиту не сразу: руководство посчитало, что, пока он маленький, атаковать его будут вряд ли. Однако злоумышленники решили иначе, и спустя несколько месяцев после запуска на зарубежный ресурс было совершено сразу несколько массированных DDoS-атак. В итоге Qrator Labs встала на защиту также и Hackmag.com, успешно нейтрализовав все нападения на платформу.

За годы совместной работы Qrator Labs сэкономила Хакеру десятки тысяч долларов. «Сайт — это не только наш источник дохода, но и наше лицо как издания про информационную безопасность. Даже если потерянная прибыль за несколько часов простоя, возможно, не велика, то репутационные издержки огромны и неисчислимы», — резюмирует Дмитрий Агарунов.

Во время кризиса существенно обострилась конкуренция, и предприниматели стали все чаще прибегать к внерыночным средствам конкурентной борьбы, в первую очередь, к DDoS-атакам.

Этот тренд повышенного внимания злоумышленников к сегменту электронной коммерции сохранился и в 2021 году: мы до сих пор наблюдаем массированные атаки на ряд ecommerce-компаний вне зависимости от их размера и масштабов бизнеса.

Так, в феврале 2021 года мы зафиксировали атаку на один из крупнейших интернет-магазинов в России и СНГ. Скорость атаки составила почти 200 Гб/с, осуществлялась она с помощью UDP-флуда, который в 2020 году стал наиболее распространенной техникой атаки.

Скорость этой атаки в разы превышала возможности операторских решений, средняя пропускная способность которых составляет около 60 Гб/сек. С подобными атаками операторы связи могут справиться не всегда, поскольку их решения зачастую отстают от темпов роста атак. Ежегодные обновления оборудования подразумевают для оператора существенные капитальные затраты, а наращивание емкости сети в сжатые сроки, когда уже идет атака, бывает проблематично.

К счастью, в нашем случае деградации сервиса зафиксировано не было. Клиент даже не заметил атаки, поскольку она была нейтрализована распределенной сетью Qrator Labs полностью в автоматическом режиме.

По нашим прогнозам, в 2021 году мы увидим еще больше динамичных атак: коротких, но очень интенсивных. Под особым ударом будет находиться сфера ecommerce, особенно сегмент, отвечающий за оперативную доставку продуктов. В России эта сфера развивается невероятно быстрыми темпами, и высокая конкуренция здесь порождает всплески атак.

В сложившихся условиях бизнесу не обойтись без защиты от DDoS-атак, взломов и кражи данных. Чтобы избежать катастрофичных последствий от подобных киберинцидентов, компаниям стоит заранее подключать внешние средства защиты, особенно при подготовке к пиковым периодам активности.

Удовлетворенность клиентов компании стабильно держится на отметке 80% в год, что выше среднего по отрасли, а значит, уровень предоставляемого сервиса должен соответствовать самым высоким стандартам. Сегодня обеспечение постоянной доступности ресурса становится буквально синонимом успеха и популярности компании среди пользователей.

Прибыльный бизнес всегда находится под прицелом злоумышленников – они устраивают DDoS-атаки с целью вымогательства и похищения данных или работают на конкурентов жертвы, устраивая заказные нападения. Можно даже проследить явную корреляцию усиления атак в связи с праздничными днями и каникулами, что особенно актуально для сервисов бронирования путешествий. Часто случается, что компания рассчитывает на значительный прирост выручки в высокий сезон, а вместо этого, из-за DDoS-атаки получает финансовые и репутационные потери.

Помимо атак на отказ в обслуживании, современный бизнес сильно страдает и от нападений, организованных с помощью ботов и направленных на прикладной уровень сайтов, то есть на сами веб-страницы. Боты занимаются скачиванием контента, перебором паролей с целью кражи учетных данных, эксплуатированием нагруженных компонентов сайта. Такая активность зачастую является вредоносной и направленной на нарушение штатной работы приложения, получение несанкционированного доступа к личным данным пользователей, конкурентную разведку и пр.

Для защиты от DDoS-атак, взломов и парсинга Туту.ру сотрудничает с Qrator Labs уже более шести лет. За время сотрудничества была предотвращена массовая активность парсеров, направленная на ряд сервисов по бронированию билетов, в том числе Туту.ру. Атаки шли периодами, на протяжении двух недель. Все это время решение Qrator блокировало вредоносные источники с первого же отправленного ими запроса, не позволяя ему выполниться на стороне защищаемого приложения.

В 2020 году была нейтрализована наиболее разрушительная атака прикладного уровня, длившаяся несколько часов. Выявить такие атаки можно только с помощью поведенческого, корреляционного анализа и мониторинга трафика, что является одной из ключевых компетенций Qrator Labs. За счет работы в автоматическом режиме сеть фильтрации Qrator обеспечила работоспособность веб-ресурсов клиента, сведя к минимуму скорость реакции на атаки.

«При выборе решения по защите от DDoS-атак мы руководствовались несколькими принципами. Для нас важно, чтобы процесс подключения сервиса был максимально простым, а его работа не оказывала негативного влияния на функционирование сети. При этом было необходимо обеспечить фильтрацию трафика без задержки при передаче данных, – комментирует технический директор Туту.ру Вадим Мельников. – Уже более шести лет мы доверяем Qrator Labs защиту наших ресурсов не только от DDoS-атак, но также взломов и парсинга и очень довольны качеством предоставляемого сервиса. После успешного внедрения решений Qrator проблема атак на отказ в обслуживании для нас совершенно потеряла актуальность – наш бизнес работает 24/7 без перебоев. Qrator Labs обеспечивает минимальную скорость реакции на атаку без влияния на продуктивность работы наших веб-ресурсов».

Принципы DevOps и DevSecOps в Avito просты и прозрачны:

— Использование простых, но эффективных технологий и подходов;

— Оценка необходимости внедрения того или иного решения и использование экономически эффективного подхода;

— Контроль над инфраструктурой и качеством сервиса для пользователей, основанный на собственной или заимствованной внешней экспертизе.

Нейтрализация DDoS стала одной из немногих областей, в которых Avito доверился стороннему поставщику. При этом разработчики Avito получили больше возможностей управления инфраструктурой благодаря доступу к личному кабинету, предоставленному Qrator Labs.

6 лет несмотря на стремительный рост базы пользователей Avito, Qrator Labs успешно обеспечила возможность фильтрации трафика.

Avito уделяет большое внимание вопросам распределённости и доступности собственной сетевой инфраструктуры, а также надежности защиты против взлома сетевого периметра. Однако до использования сети Qrator уровень готовности к отражению атак, цель которых — отказ в обслуживании, специалисты компании считали недостаточным.

В 2015-2016 гг. компания Avito осуществила перенос существующей инфраструктуры из одного дата-центра в другой, что вызвало необходимость изменения сетевой топологии. В процессе поиска подходящего решения Avito рассматривала как отдельные CPE-решения, так и облачных поставщиков услуг нейтрализации DDoS. Однако для компании гибкость CPE-устройств оказалась чрезмерной, а техподдержка компаний-поставщиков не показала достаточной готовности оперативно реагировать на возникающие у Avito вопросы по установке и настройке оборудования.

В итоге было решено задействовать Qrator Labs в качестве внешнего консультанта по планированию сети, обеспечивающего такой важный для Avito критерий безопасности, как сетевую отказоустойчивость.

«Работа с Avito выявила новые требования к эффективности нашей фильтрационной сети, но мы смогли обеспечить широкие возможности гибкого подключения для компании. Мы рады, что наше партнёрство за несколько лет сотрудничества доказало свою эффективность», — Александр Лямин, генеральный директор Qrator Labs.

В сентябре 2013 года, Александр Лямин — основатель и генеральный директор Qrator Labs был приглашен в эфир передачи ведущего Павла Лобкова как раз для ответа на вопросы ведущего по-поводу успешно нейтрализованной атаки на отказ в обслуживании, рассказав о ней в подробностях.

Та атака была многофакторной — не добившись успеха с первой попытки, злоумышленники, пытавшиеся положить сайт телеканала «Дождь», после неудачи с атакой по доменному имени переключились на внутреннюю инфраструктуру телеканала, обеспечивающую стабильную передачу видео в интернет. И на некоторое время добились своего, после чего Qrator Labs взяла под защиту и эти сервера.

По словам представителей телеканала уже несколько лет они не вспоминают о том, что такое DDoS-атаки. Это не значит, что атак нет — периодически они проводятся, однако благодаря Qrator Labs ни технические специалисты, ни зрители атак их не замечают.

Технические специалисты «Дождя» также используют и WAF-решения, при этом добавляя, что большинство попыток «сломать» что-нибудь на сетевом периметре обнаруживают собственными силами и средствами.

Услугами Qrator Labs «Дождь» доволен настолько, что не пробовал другие услуги компаний-конкурентов.

Требования телеканала «Дождь»:

— Непрерывная доступность платформы и внутренних корпоративных сетевых ресурсов;

— Нулевой отказ в обслуживании;

— Полноценная защита по всей модели ISO OSI;

— Подключение под атакой и успешная нейтрализация в короткий срок.

«Мы серьезно относимся к этой проблеме. На нас регулярно осуществляют атаки, чтобы помешать распространению наших новостей. Мы считаем, что это осознанные действия злоумышленников. Крупные атаки случаются раз в полгода, когда возникает острая тема международного масштаба. У нас есть свой взгляд на такие события, кому-то это мнение может не нравиться», -- объясняет Игорь Фионов, заместитель генерального директора REGNUM.

В сентябре 2015 года компания приняла решение подключиться к сети фильтрации трафика Qrator. До того в REGNUM использовалась защита, поставляемая Интернет-провайдером, но произошел инцидент, который показал, что этих средств недостаточно.

Qrator Labs предоставляет услугу противодействия DDoS-атакам всех классов, включая комбинированные и сопровождаемые взломом. После подключения к Qrator веб-ресурсы REGNUM остаются доступными даже во время атак, которые проходят незаметно для клиента и пользователей его сайта.

СМИ – частый объект DDoS-атак. По данным отчета Qrator Labs, за 2014-2015 гг. число атак на СМИ выросло на 17%, что связано в первую очередь с политической и социальной обстановкой в стране и в мире в этот период. Мотивация злоумышленников обычно «идеологическая», а не материальная. Атаки устраиваются не с целью вымогательства или обогащения, а для того, чтобы помешать аудитории получить доступ к медиа-контенту (новости, статьи, интервью). Активность киберпреступников сложно предвидеть – катализатором часто выступает внезапный инфоповод (стихийное бедствие, катастрофа, политическое событие и т.д.). В такой ситуации может расти количество посещений сайта СМИ за счет интереса к теме со стороны его читателей, и это же привлекает злоумышленников. Главная задача Qrator в такой ситуации – правильно отфильтровать ботов и «мусорный» трафик, предоставив доступ к сайту настоящим пользователям. СМИ – один из крупнейших клиентских сегментов Qrator Labs, это говорит о том, что компания справляется с задачей, что подтверждается также примером сотрудничества с REGNUM.