У крупной российской компании есть множество сайтов для клиентов из разных стран. Они размещаются на стороннем облачном хостинге, а для распределения нагрузки используется балансировщик.
С 24 февраля веб-ресурсы компании подверглись целевым атакам “хактивистов”. Хакеры запускали на сайт ботов, а также на специализированных сайтах предлагали всем желающим стать участниками DDoS. Стандартные системы безопасности не справлялись с атаками, сайты оказывались недоступны. Компания обратилась в DataLine для защиты веб-ресурсов.
Быстро восстановить доступность сайтов под атакой. Вернуть сайты к работе нужно было максимально оперативно. Компания искала решение, которое не потребует переезда, а позволит отразить атаку на текущем хостинге.
Настроить защиту для противодействия атакам. Хакеры использовали сложную атаку, которая шла и со стороны ботов, и со стороны “хактивистов”. Часть вредоносного трафика маскировалась под пользовательский, поэтому автоматическая блокировка могла не отразить нападение или затронуть реальных клиентов. Нужно было создать профиль защиты, который распознает атаку по конкретным признакам и отразит ее без ущерба для посетителей сайта.
Заказчику предложили комплексный сервис для защиты веб-приложений, который включает анти-DDoS и Web Application Firewall (WAF). К этому сервису можно подключить сайт на любом хостинге: заказчику достаточно изменить DNS-запись сайта и указать IP-адрес из белой подсети сервиса анти-DDoS. После этого трафик на сайт будет идти через узлы очистки от DDoS на модули WAF и приходить на веб-сервер по защищенному каналу.
Инженеры DataLine завели сайты компании за DDoS-защиту в течение 3-4 часов. Это позволило сразу же отфильтровать машинную атаку на узлах анти-DDoS и частично восстановить работу сайтов.
За следующие 2 дня инженеры центра киберзащиты изучили паттерны атак пользователей-”хактивистов” с помощью аналитики на основе ELK (Elasticsearch, Logstash, Kibana). Неструктурированные данные из журналов событий WAF собираются в базу, конвертируются в нужный формат и визуализируются на дашбордах. С помощью такого инструмента можно увидеть неочевидные закономерности в трафике.
Это позволило выявить и запретить подозрительные действия, непохожие на обычных клиентов:
- Пользователи-злоумышленники чаще всего приходили с определенных хакерских ресурсов. Эти сайты запретили на уровне параметра referrer.
- Часть трафика шла из регионов, где компания не ведет свою деятельность. Такой трафик отсекли на уровне геополитики.
- “Хактивисты” использовали не обычные браузеры, а специальное ПО для атак. Эти обращения отфильтровали на уровне параметра user agent.
- Также инженеры ввели правила на основе количества запросов с определенными параметрами. Это позволило ограничить слишком частые действия, которые не мог совершать обычный человек.
Такая комбинация политик не задевала легитимных посетителей, но защищала от замаскированной атаки от живых пользователей.
Настроенный профиль защиты можно было использовать как основу и для других клиентов WAF. Похожие атаки одновременно велись на множество российских сайтов, и за счет знания паттернов инженеры уменьшили время реагирования на подобные инциденты.
Для отслеживания подозрительных действий инженеры настроили оповещения в системе мониторинга. Атаки на сайты продолжаются, но политики на WAF справляются с защитой. Даже если “хактивисты” изменят какой-то из параметров атаки, инженеры смогут увидеть это на дашбордах, предупредить заказчика и доработать политики под новый паттерн.
Для отражения машинной атаки достаточно завести сайт за анти-DDoS, который будет пропускать на веб-сервер уже очищенный трафик.
Тонкая настройка политик WAF защищает от замаскированных атак и не блокирует обычных посетителей.
Сайты продолжают работать, несмотря на атаку длиной в несколько недель. Опытные инженеры сразу видят подозрительные паттерны в аналитике и совершенствуют политики.