Игорь Беляков
CISO в KUPIBILET
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ 2020 | Санкт-Петербург
22 октября 2020, Санкт-Петербург, Россия
Код ИБ 2020 | Санкт-Петербург
Запросить Q&A
Видеозапись
Будь готов! Несколько примеров реальных атак
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
11
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

Всем привет Меня зовут Игорь как Ольга сказала Спасибо отвечаю за безопасность компании купибилет вот сразу дополни его на то что если вы не контролируете то что происходит в вашей компании то значит вы обеспечиваете не безопасность ничего вы обеспечиваете в любом случае так всё в моём понимании должно быть завязаны на контроль того что происходит системе в периметре в кадрах в любом там активе которой вы защищаете слово Да я тоже добавился потом что он

продаёт Но это больше слать не то что мы продаём а то что мы делаем и о том что является нашим основным продуктом вот мы свои силы и ресурсы на то чтобы попросить компании сервисы о том какие билеты существуют и потом эти билеты показать нашим клиентам поэтому для нас важно чтобы те кто ходит были нашими клиентами или хотя бы людьми которые заинтересованы в покупке билетов дальше немножко акцентирует внимание Вот ну если мы стараемся наиболее хорошие лучше по нашему клиенту предоставить

так два слова Том об архитектуре нашего сервиса Он работает в Облаке то есть где-то в Облаке в каком-то есть Ну балансир и за ним группы которые обеспечивают обработку запросов пользователей формирование ответов среди нагрузка порядка 100 запросов в секунду это среднее количество которыми наш системы работают Вот тут более подробно. пресована Ну тут понятно, да, что, если всё использовать Amazon и недавно пришла домой только пришла примерно год назад Мы заметили что что-то

наша система стали долго обрабатывать запросы стали разбирать была в аналитике прекрасно видно что количество поисковых запросов на момент времени увеличивалась там порядок на два вот чтобы как-то защититься но для начала проанализировать что происходит как происходит решили поставить межсетевой экран прикладного уровня Ну в Облаке там достаточно всё просто можно там поставить галочку он автоматом подключается и дальше уже настраиваешь правил То есть тут сложности нет Вот и стали анализировать эту информацию которую мы смотрим Да там

какие запросы Какие источники Зачем Кто куда приходил Вот и буквально там После включения в таком мониторингу через пару месяцев уже был первый результат небольшой конкурс расскажу что я приду пять примеров но по факту вот так было больше но это такие типовые атаки которые происходили на наш сервис Вот и первая так и это был ну назовём брутом да Ну вот на графике видно, что атака длилось буквально 40 минут, чтобы количество. Да количество устройств, которые пришли она

увеличилась примерно. что ты там газ-20 наверное примерно так вот и они сгенерировали достаточно большой поток запросов к определенным определенным форматом вот в качестве ответной реакции Мы подумали что как-то получается многовато Вот таких вот запросов Тем более, что обычно клиенты они такого потока не генерирует, поэтому мы приняли решение ограничить максимальное количество запросов, основываясь на той статистики, как ведут себя обычно клиенты. Ну чтобы не было, что там

придёт, допустим, 100 ботов или не знаю 100 хакеров я не смогут озадачить wash-service на прикладном уровне вот это сработало и уже когда была следующая Таката Что случилось когда так началась война началась примерно на том же уровне мощности который был до этого но запросы блокировались и спустя примерно 6:00 будут такие видим достаточно большой пик и примерно через шесть часов видно что атакующий адаптировались к тем элементам которые были но вы взяли допустим запросов за 5 минут вот вот этот график показывает сколько

было обычное в обычное время запросов и вот видно что они достаточно быстро адаптировались в постели места которые были у нас есть ли защита О'кей тогда, мы еще больше ужесточили меры, чтобы, Ну да, есть пользователи, которые могут там. и 100 раз за 5 минут поискать билет но лучше Заблокируй там допустим 2 пользователей которые аномальные большое количество поисков генерирует чем когда уже время таки не предоставить качественный сервис тем пользователям которые идут среднестатистическим пользователям

вот поэтому ещё больше там сажали лимиты вот следующая так она уже следующий тип атаки он был примерно через 4 месяца Вот и он разделился на две небольших фазы сначала была Вот такая проверка она была как мёд на 40 по тем временам которые были в прошлый раз примерно вот что-то там попробовали попробовали проанализировали как мы блокируем запросы и всё и тише дальше нормальное распределение по запросам Вот но через три дня снова начался вот этот вот беспредел но он стартовал

уже несколько по-другому вот Нижний график он показывает среднее количество запросов с одного устройства и видно что он практически не изменился но очень сильно выросла примерно в 50 раз количество которых идёт атака конечно по косвенным признакам можно было предположить что это Бота но в том числе и потому что на них сильно не сработали не сканировали правила по которым и так далее так далее по черному списку ip-адресов поэтому скорее всего это были обычные устройство обычных там не знаю Здесь карты нет но это

скорее всего не скорее всего точно это очаг был из Азии и Восточной Восточной и Южной Америки Вот и так же, Судя потому что не было с Работки правила, которые Ну у вас top-ten, который называется. Да когда там какие-то инъекции бывает можно предположить, что были обычные запросы. например на не касаемо это такие Ну там например могли перебирать база аккаунтов например а утекает на чёрной форме вазы какой-нибудь базы email адресов и сразу фиксируем возможность фиксировать Что является попытки проверки А если эти адреса

на других сервисах вот ну и в частности датам информация о том что утекла база данных очередная и сразу зафиксировали примерно Да там через месяц что похоже адреса у нас пробивались на предмет того что есть у нас такие аккаунты вот Это пример номер три такой атаки был Вот пример номер четыре бесполезные полезная нагрузка он касался того что мы предоставляем основного нашего продукта а именно билетов вот Давайте тогда графику перейдём нормальное распределение запросов на поиск билетов она вот тут представлен, потом видно Да

что примерно 2 раза количество таких запросов увеличилась для нас в принципе это не так страшно потому что ну мощности хватает Но с другой стороны каждый запрос он идёт за счёт того что мы платим за ресурсы ты заработаешь разработчикам партнерам которые предоставляют нам информацию Поэтому как-то не хочется вот Оплачивать когда кто-то зачем ты тоже непонятно зачем сюда эту информацию в частности Вот это было так она билеты вот как она выглядела более подробно

вот снизу примерно количество запросов с одного нормального адреса то есть обычный клиент Ну не знаю, допустим 5-10 запросов часы пропадает куда-то, если мы говорим про атакующих Тут прям вот красиво показано, что они делают примерно одинаковое количество запросов за время И делали это постоянно делали делали делали делали. вот когда мы стали блокировать А так опять-таки было там из различных стран типа бангладешъ Бразилия и другие страны то стали блокировать уже печником по странам и в итоге как небольшой результат сейчас к этому слайда вернусь

проанализируй а что А сколько нам стоило такой атака оно длилось примерно 7 дней дополнительные затраты на оборудование составили на ресурсы Да так нас облака все ресурсы Мы покупаем есть у нас видим что количество запросов увеличивается то соответственно докупаем новые сервера новые вычислительные мощности вот ну тут примерно 1000 долларов за 7 дней на дополнительном потратили на то чтобы обработать эти запросы Ну и также так как поля, так и было достаточно большим зацепили примерно 50 пользователей, которые не смогли в нужное время осуществить поиск

билета и там политики в техподдержке о том, что ваш сервис не работает. вот а что ещё на Что необходимо обратить внимание что не только мы как сервис-партнер который предоставляет услугу легитимно оплачиваем ресурса для атаки но я такую ещё какие-то ресурсы но в частности вот видимо использовались какие-то облачные сервисы потому что например видно да что включается атака используется старый пол адресов он начинает блокироваться После этого они меняют полис на новой площади лесов которые нас не засвечен я так и

продолжается мы какое-то время подстраиваемся под эту атаку анализирую смотрим Что исходит начинаем блокировать их и ясно видно не только не на этом графике Но и на других что как только начинаю блокировать больше определенного количества запросов и можем предположить что такое шла с какого-то облачного сервиса то видно то, что она достаточно резко прекращается, как только хакер осознаешь, что нету смысла дальше атаковать, что непонятно правда больше по процентам если больше определенного порога количество запросов начинает блокироваться то всё атака прекращается и там с

другой стороны видим анализирует дас каких источников запросы блокировались как блокировались чтобы через какое-то время повторить эту атаку Вот надо было длинный обычно так говорит по ночам так по они видимо предположили когда у нас ну там ночь именно в нашей компании чтобы время реакции на так было побольше и именно вот когда у нас вот это вот потому что это они вот в 1:00 начинает это по нашему времени это нужно было там это за детектив проснуться всё это время не спать проанализировать что происходит

Вот ты уже какое-то правило надитекс создать Поэтому да это а я предполагаю но не уверен что в числе прочего Мы доехали достаточно много фишинговых сайтов который где-то должны брать контент о том какие билеты Они продают чтобы потом люди которых они обманывают сайт вели свою карточку и получили типа какой-то билет вот и стоит целью чтобы собрать базу билетов более-менее актуальную видимо к нам и приходили вот поэтому они Ну просто собираю информацию о том какие билеты есть чтобы показать это

опираясь на наши статистику примерно но мы смотрим по по тому Какие поисковые запросы к нам приходят по обращениям клиентов 23 надо пять фишинговых сайтов месяц мы выявляем вот Ну обычный Жалуемся на них через какое-то время закрывает но открывает следующие которые выглядят примерно так же вот мы снова жалуемся это всё повторяется Вот и к сожалению добывает клиенты которые что-либо не у нас купили билеты хотя на самом деле они вот стали жертвами Вот таких вот ресурсов Да поэтому есть такая проблема

вот Это пример номер четыре. пример номер пять он идёт постоянно то есть нас есть сервис который заточен на обслуживание определённых партнеров и там есть белый список то есть мы понимаем Да какие запросы легитимными которые не точно не являются Катину и со стопроцентной вероятностью так вот на этом сервисе постоянно есть небольшая нагрузка Ну обычно анализируют Какие возможности есть там такие пути есть что происходят вот Ну примерно в среднем вот если всё это здесь два запроса

в час стабильно приходит какого-то пока не знаю каких-то исследователей которые смотрят а что же там есть такое вот это по большому счёту не должно приносить какого-то ещё бы если вас допустим если мы говорим про вот этот фоновый шум есть у вас реализованы базовые меры защиты если мы говорим про У вас top-ten что она анализируется вот то ни для кого не должна стать проблема вот это вот существовании такого шума немного информации о том откуда этот шум приходит то так сюда приходит Да

Азия Россия Европа Америка Вот ты и завтраки разве что не будет из Австралии и из Ну может быть Может быть Вот Подводя небольшой Подводя небольшой итоге что на что хотелось бы обратить внимание во-первых как в начале сказал так ещё раз повторяю обязательно нужно контролировать то что происходит на вашем сервисе на серверах на пропускном каком-то оборудование Если вы этого не знаете вы не знаете атакуют вас не атакуют вас что вообще происходит А раз вы этого не знаете то большой вероятности можно сказать что вы не понимаете даже какие риски есть какие

возможны взаимности как их могут блокировать вот второй будет касается больше нас для нас мы платим своими деньгами за каждый отработанный запрос соответственно конечно там на четвёртом примере сказал мы определённую сумму заплатить за то куда только за то чтобы обработать закупить сервера вот поэтому с другой стороны если мы покупаем какие-то средства защиты которые позволяют нам эффективно этим работать то с другой стороны мы экономим деньги компании на Что еще можно обратить внимание Такую еще достаточно быстро адаптируется к тому

что вы применяете применили новые правила применения какое-то средство защиты вот под до того что там буквально вот идёт атака часов максимум вот я так уже меняется она направлена другое там с других устройств заходит с другими параметрами экономит ресурсы Да если так вот эти Да всё это оплачивается У всего есть кто-то заинтересован и кто заплатил забота кто заплатил за какие-то сервера в каком-то Облаке Вот и если они видят что так и неэффективно то соответственно так и прекращается

достаточно быстро что считаю должно быть обязательно должен быть обязательно базовый набор соцзащиты бейзлайн если мы говорим про интернет-сервис есть классификатор эластотин нужно передать нарисовать защиту от такого от таких Атак потому что они идут постоянно из разных источников с разной интенсивностью если у вас нет такой защиты соответственно есть вероятно такая-то такая-то к вам зайдёт поэтому это прямо-таки обязательно нужно сделать различные ограничения на количество запросов в частности есть но говорю допустим про наш сервис Да там

количество попыток входа в личный кабинет Количество попыток поиска билетов должно иметь Разумное ограничение иначе есть вероятность что кто-то придет завалится с огромным количеством носят форму входа то высока вероятность того что есть что будет брут учетных записей вот если мы говорим про тот контент который вы даете то высока вероятность того что будут бросить этот контент Да если мы будем про наш сервис, что обязательно в последнее время. очень эффективные атаки с той стороны И для нас очень сложно это когда к нам

приходят боты чем они отличаются Они ведут себя очень похожи на обычных людей Да там потому что патроны есть примерное поведение обычного пользователя вот и не сложно И следовательно хакер сделать так чтобы каждый Вот это устройство велосипеда примерно так как ведет себя обычный пользователь вот если он сделает это качество его детектировать очень сложно вот поэтому остаётся раздавать клиентом токены проверять их как-то и как-то блокировать вот ну потому что у нас есть белый список клиентов которые на 100% доверяем И

если придёт мощная Так мы сделаем так что те клиенты которые мы которым мы доверяем они получат сервис а остальные уже будут подвергнуты более детальной проверки вот, когда вы являетесь, вот так нужно атаку можно поиграть по различным косвенным признакам, например, название устройства user-agent различных стран, А вот это очень эффективно позволяет быстро фильтровать запросы понять каких источников они приходят эти источники заблокировать вот ну такие нужно по тем данным которым мы

доверяем Ну по прямым адресом по прямым данным ответы всё это айпи адрес дашь то что мы точно уверен что это не меняется вот поэтому если блокируется запросы по косвенным признакам мы можем заблокировать атпа юзерагенты например атаку Но точно не составит большого труда поменять useragent я так продолжится но уже нам нужно будет потратить много ресурсов на то чтобы понять каких источников она ведется

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Будь готов! Несколько примеров реальных атак»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Код ИБ 2020 | Санкт-Петербург

Доступ к записям всех докладов «Код ИБ 2020 | Санкт-Петербург»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
150
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Александр Учителев
Менеджер по работе с партнерами в RuSIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Роман Подкопаев
Генеральный директор в Makves
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Николай Казанцев
Начальник отдела ИБ в НТТФ "ПОЛИСАН"
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Будь готов! Несколько примеров реальных атак»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно