Бум e-commerce как драйвер национального ИТ. Часть III
Особенности сегмента e-com на специфику "инфобеза" для компаний в данной области действуют двунаправленно: одни упрощают решения ряда задач для обеспечения защиты, другие, наоборот, резко усложняют. Рассмотрим, как это выглядит на практике и к чему приводит на российском рынке ИТ/ИБ.
Сложность инфраструктуры — рост поверхности атак
Современный e-com использует ИТ-инфраструктуру, состоящую из множества разнородных компонент. Системы для бэк-офиса традиционные — серверная и сетевая инфраструктура, СУБД и персональные компьютеры сотрудников, на которых работают офисные приложения, CRM, docflow, бухгалтерия, программы для складского учета и т. д. — и защита им нужна тоже обычная. Однако наличие фронт-офиса в виде собственно интернет-магазина требует защиты веб-приложений, интеграции с банковскими подсистемы, обеспечивающими прием платежей, являются лакомой целью для хакеров, поэтому нуждаются в особом внимании ИБ, а наличие приложений для мобильных платформ тоже требует специфических форм защиты.
Инфраструктуру интернет-магазинов атакуют всеми теми способами, что и компании с других вертикальных рынков: шифровальщиками-вымогателями, вирусами и другим зловредным программным обеспечением. Однако хакеры даже для традиционных действий применяют специфические активности плюс есть вариации атак, характерных именно для e-com.
Как атакуют маркетплейсы
Для атак на предприятия электронной коммерции киберпреступники часто применяют DDoS, причем как в традиционной форме, так и в адаптированных вариантах. DDoS популярен в силу простоты монетизации — иногда атаки этого типа проводят по заказу конкурентов, но иногда их целью является получение выкупа от атакуемой компании — и относительной легкости технической реализации. Поэтому этот тип атак остается достаточно распространенным.
Поток фейковых запросов, интенсивность которого превышает пропускную способность ресурса, способен нарушить штатную работу интернет-магазина, в результате реальные посетители и покупатели не могут получить полноценный доступ на протяжении всего времени DDoS-атаки. Однако традиционный DDoS в последнее время стал менее популярным, поэтому киберпреступники экспериментируют с новыми формами атак, построенными по тому же принципу.
С прошлого года популярность традиционного DDoS стала падать. "Количество DDoS-атак снижается, но они по-прежнему находятся в тренде", — говорит Денис Кувшинов, руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies, отмечая падение количества таких активностей в прошлом году примерно на 10-20%. Причина проста: традиционным DDoS-атакам — даже высокого уровня — научились эффективно и быстро противодействовать. Но есть и другие формы хакерской активности, выполненные в аналогичном формате.
Боты: чем умнее, тем зловредней
Боты, проводящие атаки, аналогичные DDoS, сегодня могут быть интеллектуальными, что позволяет киберпреступникам разными способами затруднять работу ресурса e-commerce. Например, боты могут создавать в автоматическом режиме большое количество фейковых заказов в интернет-магазине. Такую атаку бывает сложно распознать: боты могут достаточно разнообразно имитировать поведение реальных покупателей. При этом высокая активность ботов "забивает" ресурс по тем же принципам, что и DDoS, ограничивая или блокируя доступ к нему реальных покупателей. Например, фейковые заказы приводят к реальному резервированию товаров в интернет-магазине, что мешает покупкам настоящих посетителей.
Интеллектуальные ботнеты могут создать перегрузку техподдержки, генерируя большое количество фейковых обращений, требующих от "саппорта" обратных звонков или других активностей. Ресурс техподдержки ограничен; если искусственно создать избыточную нагрузку, то штатная работа этой службы будет затруднена. На аналогичных принципах построен так называемый "SMS-бомбинг", в ходе которого активность ботов приводит к автоматизированной массовой отправке запросов SMS-кодов авторизации. Эта активность также может исчерпать отдельный ресурс (в данном случае — баланс у SMS-агрегатора) и в результате затруднить штатную работу сайта.
Умные боты могут быть использованы и для атак других форм, специфических для интернет-ритейла и за его пределами практически не встречающихся. Примеры: скальпинг и парсинг.
Скальпингом называют автоматизированную массовую скупку товаров в атакуемом интернет-магазине. На первый взгляд, тут нет проблем: хотели продать товары по сниженным ценам — и продали. Однако скальпинг создает проблемы маркетингу атакуемого ретейлера, поэтому такую атаку нередко проводят по заказу конкурентов. Товары быстро распроданы, реклама, привлекающая внимание к распродаже, неактуальна, а пользовательский опыт покупателей, посетивших такой sale после его завершения по естественным причинам, становится негативным и т. д.
Парсинг — автоматизированное копирование умными ботами с сайта интернет-магазина изображений и описаний товаров, считывание цен и другой информации. Как мы отмечали в предыдущей части статьи, интернет-магазины инвестируют существенные средства в подготовку "продающего контента", поэтому возможность получить его, заказав хакерам парсинг, может быть экономически выгодна недобросовестным конкурентам.
Специфика таких атак — от DDoS до парсинга — состоит в том, что киберпреступники решают задачи замедления или блокировки работы интернет-магазина без взлома ИТ-инфраструктуры компании. Для противостояния таким угрозам нужно привлекать ресурсы внешних подрядчиков, собственных будет недостаточно.
"Результативная инфобезопасность" как новая норма
Структурам электронной коммерции приходится привлекать для защиты внешние компании. Большая поверхность атак и их широкое разнообразие приводит к практической невозможности организовать безопасность только своими силами — сложно нужные компетенции вырастить и поддерживать внутри. Для защиты используют как услуги и сервисы профильных компаний, специализирующихся на ИБ, так и поставляющих услуги инфобезопасности в комплекте с другими сервисами. Например, защиту от DDoS можно получить "в нагрузку" от телеком- или от CDN-провайдера, NGFW — из "облака" и т. д.
Новый подход, предусматривающий широкую кооперацию в вопросах обеспечения ИБ, является одним из составляющих "результативной инфобезопасности", в переходе к которой сегмент электронной коммерции является одним из лидеров. Нарушение стабильности бизнес-процессов — а именно продаж — вызванные атакой на любой компонент корпоративных ИТ-системы, для любого предприятия из сегмента e-com является недопустимым событием.
Ритейлу просто посчитать стоимость минуты простоя, так как магазинам всегда известен суточный оборот, отметил Ярослав Иссинский, руководитель домена "ИТ для ИТ" в "М.Видео-Эльдорадо", выступая на конференции GoCloud. Стоимость минуты остановки продаж в периоды пикового спроса — "скоро в школу", "новогодние распродажи" и т. д. — может оказаться очень высокой! Поэтому ритейлеры давно рассматривают инфобезопасность как один из ключевых элементов для достижения непрерывности бизнеса, а вложения в ИБ — как инвестиции в развитие основного бизнеса, а не накладные расходы.
Далеко не на всех вертикальных рынках смена парадигмы в сторону "результативной инфобезопасности" идет так же активно, как в e-com. Например, в среднем лишь 60% руководителей подразделений ИБ уже определили недопустимые для своих организаций события или планируют сделать это, а 40% к соответствующему анализу бизнес-процессов в собственных организациях приступят непонятно когда, по данным исследования Positive Technologies.
Вместо заключения
Сегмент ИБ развивается очень быстро, чтобы сохранять релевантность новым рискам. "Развитие "искусственного интеллекта" и "интернета вещей" открывает новые возможности для хакеров, — говорит Евгений Крайнов, генеральный директор компании "Телеком биржа". — Угрозы становятся сложнее и масштабнее, и нам приходится быть на шаг впереди, чтобы эффективно справляться с ними".
Появляются специфические виды атак, новые инструменты и даже новые тренды. "Сращивание кибер- и традиционной преступности представляет собой серьёзную угрозу для глобальных цепочек поставок, — говорит Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти в группе компаний "Гарда". — Компаниям следует уделять первостепенное внимание кибербезопасности и постоянно совершенствовать методы защиты".
"Инфобез" все чаще рассматривают как компонент других процессов: комплекса обеспечения непрерывности бизнес-процессов, экономической безопасности и т. д. Заметим, что для этих задач также активно применяют цифровые решения. Например, уже 9% руководителей высшего звена готовы полностью делегировать функцию автоматизации экономической безопасности машинам, по данным исследования ГК "Гарда". Обеспечение этих процессов требует отдельного рассмотрения и выходит за рамки темы с e-com. Но подчеркнем, что тренды приводят к изменениям бизнеса ИБ-компаний, требуя охвата новых областей, получения специфических компетенций и кооперации с новыми партнерами из областей консалтинга в бизнес-процессах, финансах и т. д.