Компания Qrator Labs провела масштабное исследование в области кибербезопасности интернет-ритейла
Его целью было изучение масштаба киберугроз и, в частности, угрозы DDoS-атак в российском секторе e-commerce, а также оценка проникновения специализированных средств киберзащиты в данном сегменте.
В исследовании решались, в частности, следующие задачи:
- изучение уровня и динамики угроз, с которыми сталкиваются российские ритейлеры,
- определение уровня проникновения средств защиты от DDoS в розничной торговле в интернете.
Методика исследования
Оно включало полевой опрос. Респондентам-ритейлерам предлагалось ответить на вопросы анкеты. Были опрошены представители розничной торговли, ведущие бизнес в интернете (средний и крупный бизнес). В опросе участвовали директора по информационным технологиям, их заместители, а также руководители департаментов, отвечающие за информационную безопасность.
- ПОНИМАНИЕ УГРОЗЫ DDOS-АТАК
По данным опроса, проведенного в 3 кв. 2019 г., респонденты, представляющие средний и крупный e-commerce, наиболее часто сталкивались за последний год с DDoS-атаками (34%) и взломами (26%). При этом 10% отмечают, что в принципе не фиксировали серьезных инцидентов кибербезопасности.
Чуть более 8 % опрошенных явно акцентировали внимание на росте рисков DDoS-атак в 2018–2019 годах. По всей видимости, эти организации в течение года столкнулись с проблемой DDoS и отметили резкий рост нападений. В некоторых случаях эти компании подозревают агрессивную деятельность конкурентов, другая часто встречающаяся гипотеза — личные мотивы, например, чем-либо недовольных покупателей.
«Серьёзные, дорогие DDoS-атаки обычно проводятся либо в рекламных целях — демонстрация возможностей злоумышленников или же “проба пера”, — либо за счёт заказчика, как правило, прямого конкурента жертвы. В России основная битва ритейлеров, в которой в ход идут любые средства, как обычно, происходит не между крупными магазинами, а между небольшими, часто региональными, компаниями.
Современный российский крупный e-commerce — это цивилизованная среда, и DDoS-атаки на него — в основном среднего и низкого уровня, непрофессиональные и производимые, как правило, с целью вымогательства. С крупными и серьезными атаками заметные на рынке e-commerce-компании в массе своей сталкиваются реже», – комментирует Артем Гавриченков, технический директор Qrator Labs.
Более половины опрошенных отмечают рост DDoS-атак за последний год. В то же время, по мнению еще трети опрошенных, уровень этой угрозы за 12 месяцев не изменялся.
Треть опрошенных ритейлеров регулярно сталкивались за последний год с DDoS-атаками. 18% респондентов допускают, что могли не зафиксировать или не идентифицировать корректно небольшие инциденты.
Основным мотивом таких атак большинство респондентов из среднего и крупного e-commerce считают фактор вымогательства. Недобросовестная конкуренция находится на втором месте. В частности, компании из продуктового сектора в целом заказных атак от конкурентов не опасаются.
В то же время в отраслях, имеющих отношение к строительству, ремонту, домашней и офисной мебели настроения в контексте доверия к чистоплотности конкурентов заметно более пессимистичные. Это может быть обусловлено, в числе прочего, осознанием резко негативного отношения малого строительного, ремонтного и мебельного бизнеса к крупным сетям и онлайн-конкурентам, готовности индивидуальных коммерсантов и небольших фирм мстить и идти на всё, чтобы сохранить свой бизнес.
«Вымогательство часто становится основным мотивом при атаках на средний и крупный ритейл. Организовав атаку, например, во время «черной пятницы», злоумышленник может требовать серьезных сумм за приостановление нападения. Если магазин к атаке не готов, то даже весьма внушительные запросы атакующих будут удовлетворены. Также атака может быть приурочена к старту активной рекламной кампании.
В то же время, поскольку происходит активная консолидация рынка, индустрия стабилизируется, то организация атак по причине недобросовестной конкуренции отходит на второй план и наблюдается в основном в регионах и сегментах, где активен малый ритейл», – отмечает Артем Гавриченков.
- ТИПЫ ИСПОЛЬЗУЕМЫХ РЕШЕНИЙ ДЛЯ ЗАЩИТЫ
Наиболее эффективным средством защиты от DDoS-атак 42% респондентов считают аппаратное решение, размещенное на собственной инфраструктуре. Более четверти – операторское решение. Услугами распределенной сети фильтрации пользуются 18% опрошенных.
Первый способ, к которому обычно прибегают ритейлеры, — это организация самостоятельной защиты путем установки средств противодействия на собственном сервере. Однако подобный вид мер безопасности способен нейтрализовать лишь самые простые атаки и в большинстве случаев не дает положительного результата. Некоторые ритейлеры предпочитают полагаться на облачное масштабирование серверных мощностей, в облаках наподобие Amazon, однако в случае организации DDoS-атаки компании также придется оплачивать весь «мусорный» трафик, ведь ни одно публичное облако не будет отрабатывать паразитные пакеты бесплатно.
Средний и крупный e-commerce уже имеет достаточно средств на покупку дорогостоящего “железа” для защиты, однако, как правило, закупает и устанавливает оборудование без предварительно заказанного и рассчитанного проекта, включающего в себя анализ потенциальных рисков атак. Купленные, фактически, наудачу продукты, тем не менее, часто выдерживают подаваемую на них нагрузку, поскольку ввиду устоявшегося рынка серьёзные атаки на крупный e-commerce проводятся очень редко.
«Сложно, наверное, представить, чтобы крупный сетевой магазин закупал бы системы пожаротушения или складские холодильные установки без проекта, подготовленного профессионалом. Однако информационные технологии и в особенности защита информации — даже у тех компаний, которые специализируются на ИТ — обычно имеют репутацию отрасли, где проектирование необязательно, а ошибка не будет стоить дорого. Осознание того, что это не совсем так, приходит обычно очень не вовремя», — сетует Артем Гавриченков.
В отсутствие регулярных «проверок боем» серьёзнейшую потенциальную угрозу для российского крупного e-commerce начинают представлять профессиональные киберпреступные группировки, преследующие цели вымогательства или саморекламы.
Так, аналогичную конфигурацию (с точки зрения защиты информации) имел в 2012 году финансовый рынок США, что в итоге привело к серьёзным проблемам с доступностью банков JP Morgan Chase, Wells Fargo, Bank of America и других в ходе так называемой «операции Абабил» кибертеррористической бригады под названием «Кибервоины Изз ад-Дин аль-Кассам». DDoS-атаки на крупнейшие банки США проводились группировкой периодически с сентября 2012 по март 2013 г. и каждый раз приводили к недоступности веб-сайтов и мобильных приложений.
Спустя 3 года, в марте 2016 года ФБР сообщило об успешной идентификации семи граждан Ирана, стоявших за атаками группировки, однако ввиду отсутствия соглашений об экстрадиции между США и Ираном подвергнуть виновников уголовному преследованию не вышло. В этом смысле российский рынок находится под ещё более серьёзной угрозой, поскольку связанные с Россией риски преследования для множества зарубежных киберпреступников (в том числе из стран ближнего зарубежья) мизерны.
Ряд e-commerce-компаний представляет себе катастрофичность последствий атак на отказ в обслуживании, поэтому заранее подключает внешние средства защиты, особенно при подготовке к пиковым периодам активности. Однако многие игроки по-прежнему относятся к этому вопросу в лучшем случае формально, после чего, осознав, что модернизация системы безопасности подразумевает под собой существенные операционные затраты, такие компании, как правило, уже не могут найти на это достаточно времени и ресурсов.
- ВЗЛОМЫ И БОТЫ
При приобретении WAF-решения (Web Application Firewall) большинство опрошенных (54%) сфокусированы на защите от взлома, на втором месте — защита от перебора паролей. Часто муссировавшаяся в течение года тема защиты от парсинга волнует респондентов из среднего и крупного бизнеса намного в меньшей степени.
Основной причиной взломов респонденты считают нарушение работоспособности магазина, также часто упоминается кража пользовательской базы. Обращает на себя внимание опыт небольшого числа респондентов, столкнувшихся со взломом их серверов с целью последующего майнинга криптовалют. Хотя такая проблема в данном сегменте отрасли сегодня не стоит остро, сбрасывать её со счетов спустя ровно 10 лет после появления биткоина по-прежнему нельзя.
По словам Артема Гавриченкова, компании из сферы онлайн-ритейла достаточно серьезно относятся к вопросам кражи пользовательской базы, особенно ввиду последних событий с крупными утечками клиентских данных банков и операторов связи. Опрошенных волнует как доступ к отдельным учетным записям, так и кража всей пользовательской базы. Поскольку попытки хищения пользовательской базы или данных аккаунтов производятся в массе своей именно через эксплуатацию уязвимостей, при приобретении Web Application Firewall для большинства магазинов наиболее ценна именно защита от взломов, а не от парсинга и перебора паролей.
Более 60% отмечают, что сталкиваются (постоянно или периодически) с ботами, мешающими рабочей деятельности.
Современный ритейл действительно страдает от нападений, организованных с помощью ботов и направленных на прикладной уровень сайтов, то есть на сами веб-страницы.
Боты также занимаются перебором паролей на сайтах крупного ритейла с целью кражи учетных данных в программах лояльности, позволяющих получить товар за накопленные баллы, или с целью покупки товаров по привязанной к онлайн-магазину пластиковой карте взломанного пользователя. Для перебора также используются многочисленные базы, включающие себя пары email-пароль, от других взломанных ресурсов — как те, которые есть в публичном доступе, так и приватные. Существуют также боты, занимающиеся анализом цен и товарного ассортимента – так называемый web scraping (парсинг).
Однако в реальности ботов, опять же за редким исключением, хорошо замечают те компании, на чьи сайты проводятся DDoS-атаки прикладного уровня с использованием ботнетов. Есть также компании, которые пытаются прицельно анализировать, что боты делают на их сайте, и наблюдают (обычно безуспешные) попытки перебора паролей, увода аккаунтов, либо же парсинг. В целом, без наличия продвинутой системы мониторинга онлайн-ритейл может зачастую даже не замечать проблематики ботов.
Более того, защититься от парсинга практически невозможно, поскольку информация, доступная легитимным пользователям, доступна и для ботов в том числе. При правильно подготовленной методике парсинга отличить бота от пользователя практически невозможно. Магазины периодически прибегают к услугам различных сервисов, предлагающих фильтрацию подобного трафика, однако оценить их эффективность крайне сложно: практически невозможно выявить, удается ли парсерам до сих пор собирать данные, или проблема уже спала. Поэтому борьба с ботами и парсерами больше напоминает сражение с ветряными мельницами.
Выводы
— DDoS-атаки остаются заметной угрозой для российского ритейла, в особенности развивающего цифровые каналы услуг. Количество атак в этом сегменте продолжает расти.
— В некоторых сегментах рынка, несмотря на его, в целом, стабилизацию и консолидацию, доверие к чистоплотности конкурентов всё ещё находится на невысоком уровне. При этом крупные онлайн-магазины в массе своей доверяют своим клиентам и не считают личные мотивы клиентов серьёзной причиной кибератак.
— Как правило, о своей готовности к DDoS-атакам средний и крупный e-commerce-бизнес узнаёт исключительно на практике, проходя “проверку боем”. Необходимость предварительной оценки рисков, подготовки проекта осознают далеко не все, и ещё меньше компаний реально проводят такую оценку.
— Основными причинами взломов респонденты считают нарушение работоспособности магазина, а также кражу пользовательской базы.
— В целом, уровень зрелости ритейла в подходах к обеспечению кибербезопасности растет. Так, все респонденты используют те или иные средства DDoS-защиты и WAF.
— В дальнейших исследованиях планируется включить в число респондентов репрезентативную выборку малого онлайн-бизнеса и детально исследовать этот сегмент рынка, его риски и текущий уровень защищённости.
О компании
Qrator Labs – номер один в области противодействия DDoS в России (согласно отчету IDC Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Компания основана в 2009 году и предоставляет услуги противодействия DDoS-атакам в комплексе с решениями WAF (Web Application Firewall), организованными по технологии партнёрской компании Wallarm. Для эффективного противодействия DDoS-атакам Qrator Labs использует данные собственного сервиса глобального мониторинга интернета Qrator.Radar. Сеть фильтрации Qrator построена на узлах, расположенных в США, России, ЕС и Азии, что наряду с собственными алгоритмами фильтрации является конкурентным преимуществом компании.
Команда Qrator Labs занимается исследованиями в области противодействия DDoS-атакам с 2006 года, и постоянно совершенствует уникальные алгоритмы фильтрации, которые строятся с использованием технологий машинного обучения. Это позволяет фильтрам оперативно реагировать на новые типы угроз в автоматическом режиме.
Клиенты Qrator Labs – это компании из различных отраслей по всему миру. В числе российских клиентов ведущий банк «Тинькофф Кредитные Системы», платёжные системы (Qiwi, Cyberplat, Элекснет), сайты электронной коммерции (Lamoda, Юлмарт, Эльдорадо, Wildberries, Ситилинк), СМИ (МИА «Россия Сегодня», Регнум, телеканалы «Звезда», ТНТ, «Дождь», НТВ-Плюс) и многие другие.
