Как пережить DDoS-атаку — опыт и советы билетного оператора Karabas.сom

4391

Основатель билетного сервиса Karabas.com Максим Плахтий рассказал в колонке для AIN.UA, как его компания в течение месяца отражала кибератаку. Оказавшись под ударом нахлынувшего трафика, им удалось выйти из ситуации с минимальными потерями — не потеряв клиентов.

Весной 2018 года Karabas.com стал самым популярным билетным оператором в мире. В апреле мы поставили рекорд: каждую секунду к нам заходило около 1 000 000 людей. Вот только они ничего не покупали: жители Индии, Южной Африки, Бразилии и Вьетнама не хотели попасть на концерт MONATIK или THE HARDKISS.

В течение пары месяцев мы были под мощной DDoS-атакой. У нас получилось выстоять и не потерять клиентов. Вот какие выводы мы сделали.

Как выглядит DDoS с точки зрения компании

Первыми атаку всегда замечают системные администраторы. К тому моменту, как наша клиентская поддержка стала получать жалобы на проблемы с сайтом, техническая команда админов уже знала о проблеме. Когда об атаке узнал я, наши программисты уже латали дыры.

Поначалу вы можете не до конца осознавать масштаб трагедии. DDoS-атаки — это относительно постоянная история в IT-бизнесе. Иногда студенты проверяют свои навыки, иногда хакеры ломают ради получения компенсации, иногда мошенники пытаются добраться до базы. Сначала мы получили проверочный наплыв аномального трафика, он не был очень большим. Уже через несколько дней с помощью ботоферм нам начали отправлять по миллиону запросов в секунду.

В нашем случае, DDoS — это не история нескольких часов. Атака на Karabas.com длилась месяц. Активная фаза атаки продолжалась 2 дня, в это время сайт находился в критическом состоянии, каждый час мы теряли деньги и репутацию. Спустя несколько дней, после выполнения работы по блокировке каналов атаки, нам стало значительно легче.

Атаки продолжали идти, но мы находились в режиме боевой готовности и все мониторили. Есть и позитивный аспект: в этот период мы, по сути, получили бесплатный краш-тест нашей системы.

Чем это нам грозило

У DDoS-атак бывают разные цели: пробить защиту сайта и добраться до конфиденциальной информации, положить сайт и требовать выкуп или просто остановить работу бизнеса. В нашем случае хотели именно остановить работу.

Ситуация осложнялась тем, что на Karabas.com не просто лили трафик. Наша бэкенд-система работает как с сайтом, так и с нашими партнерами. Для второго у нас реализовано непубличное API, с помощью которого они могут делать заказы, следить за статистикой и получать отчеты. Именно к этому API злоумышленники каким-то образом получили доступ.

В течение 2 дней сайт был недоступен, потому что десятки тысяч зараженных компьютеров домохозяек из Азии запрашивали у нас партнерские отчеты, каждый из которых должен был проходиться по нашей базе данных и обрабатывать ресурсоемкий запрос.

Допустим, в день к нам заходит 50 000 человек, а пропускная способность сайта — 100 000. Когда каждую секунду ты получаешь 1 000 000 запросов, это не значит, что сайт лежит. Он пропускает все те же 100 000 запросов, вот только реальных клиентов из них не более 2%. Для остальных сайт выглядит неработающим.

DDoS — это по сути чистая экономика. Чем грозит такая атака? Посчитайте свой дневной оборот. Каждый день удачной атаки вы теряете эту сумму.

Кроме этого, в таких случаях обычно начинают паниковать ваши партнеры, которым нужно продавать свои билеты, а клиенты не могут попасть на сайт. Они не будут разбираться в ваших проблемах, они просто временно уйдут к конкурентам.

Что мы делали

Работа с атакой проходит в 2 этапа.

Сначала ваш личный системный администратор должен посмотреть, как он может решить проблему грубо и быстро. Поскольку мы работаем на украинском рынке, зарубежного трафика у нас немного. Поэтому для начала мы закрыли доступ от зарубежных IP. Это не идеальное решение: сайт работает в аварийном режиме, Google-роботы не сканируют сайт, так как порты закрыты, мы проваливаемся по SEO, теряем какие-то деньги от зарубежных клиентов. Но это помогает нам удержаться на плаву для украинской аудитории.

Дальше в работу вступает сторонняя компания по кибербезопасности. В нашем случае — CyberLab. К счастью, мы работали с ними раньше, достаточно было сообщить о проблеме.

Не питайте иллюзий, что справитесь с масштабной атакой сами. Не справитесь.

Во время DDoS вам нужно огромное количество человеческого ресурса и круглосуточная поддержка квалифицированных специалистов.

Такие компании работают по разным моделям оплаты: они могут как взять ваш сайт на постоянную поддержку, так и подключиться в критический момент. Мы воспользовались второй услугой и оплачивали работу сотрудников службы почасово.

Когда подключаются специалисты по кибербезопасности, они начинают закрывать атакующие IP-адреса. Именно в этот момент вам нужно много человеческого ресурса. После этого они ищут уязвимости в самой системе и описывают их. Они ищут места, куда уже бьют. В нашем случае это были «тяжелые» отчеты, получаемые по запросам через партнерские API. Далее, эту информацию мы передаем в отдел разработки, и наша внутренняя команда тут же решает найденные проблемы. В это время киберспециалисты в ручном режиме продолжают бороться с атакующими.

Когда мы отразили самый тяжелый удар, атака не остановилась, она длилась еще около месяца, но к тому времени нам было уже все равно. Мы были защищены и просто наблюдали за действиями хакеров.

Сколько это стоит

Один день атаки на сайт с посещаемостью в 1 млн человек в месяц стоит около $2000-3000. 

Какие выводы мы сделали

Наши системы и решения соответствуют стандарту ISO 27000. Это значит, что и техническая часть, и процедуры в компании построены таким образом, что мы не можем потерять данные клиентов.

Никто из сотрудников не имеет доступа к данным билетов. Даже если предположить, что нас взломают и все же украдут билеты, достаточно заново сгенерировать штрих-коды и разослать новые. Если бы не предварительная работа по стандартизации, мы не смогли бы бросить все силы только на решение проблемы с трафиком. Сертификация дала нам большое преимущество.

В Karabas всегда были жесткие процедуры внутри компании, теперь мы ужесточили их и в вопросах работы с партнерами. Мы не ожидали недобросовестных действий с участием партнеров. Именно эта уязвимость позволила DDoS-атаке быть настолько эффективной.

Мы полностью пересмотрели процесс авторизации. Наши клиенты иногда жалуются, что не могут купить билет, пока не введут код из СМС-сообщения на этапе входа. Да, мы осознанно идем на некоторые неудобства. Но в итоге это приносит огромную пользу, ведь тогда все ваши билеты в безопасности.

Исходя из нашего опыта, у меня есть несколько советов для владельцев компаний. Не надейтесь, что подобные проблемы обойдут вас стороной. Если хоть кому-то выгодно, чтобы вы не работали сутки, если ваш оборот больше $2000 в день, скорее всего вас будут атаковать.

Вот что стоит сделать, чтобы минимизировать риски:

  1. Прописать процедуры. Вы должны знать, что будете делать, если началась DDoS-атака. Куда будете звонить, кто ответственен за эту задачу? Если ваш админ целыми днями меняет картриджи в принтере, а вы рассчитываете, что он будет вас спасать, то это утопия.
    У вас должен быть внутренний специалист, который знает, как отразить первую атаку: как закрыть порты, отследить аномальный трафик, поднять бекапы, перевести сайт на второй сервер. Он должен разбираться в защите.
  2. Пройти сертификацию ваших процедур ISO 27000. Она с технической и организационной точки зрения гарантирует, что данные клиентов останутся в безопасности.
  3. Иметь группу специалистов, которая сможет подключиться как дополнительный ресурс. Один человек физически не может справляться с объемом работы при мощной DDoS-атаке. Вы должны работать с командой киберспециалистов.
  4. Если цель атаки — получение данных, то на этот случай у вас также должна быть прописана процедура. Для нас важная информация — это билет и его уникальный штрих-код. Если его украдут, мы рассылаем всем клиентам информацию, что билет стал недействителен. Потом мы генерируем новые штрих-коды и перевысылаем новые билеты. Разработайте подобную процедуру в своей компании.
  5. Раз в полгода мы делаем кибер-аудит сервиса. Сторонняя компания имитирует действия хакеров. Вы не сможете проверить себя сами: во-первых, у вас нет столько экспертизы, во-вторых, вы не мыслите как хакеры. Компании по кибербезопасности привлекают специалистов, которые знают кейсы, как обычно атакуют.
  6. Если проблема только в нагрузке, переход в облако (где нет лимитов на нагрузки) работает лишь частично. Ведь если поступают миллионы запросов в секунду, то ваш ежедневный счет за услуги «облака» будет «заоблачным» и может подняться до нескольких тысяч долларов в день. Будьте к этому готовы.
  7. Если цель атаки — получить от вас выкуп, то это шантаж. А в таком случае каждый сам выбирает модель поведения. Если бы мы столкнулись с такой проблемой, то скорее всего не платили бы, а боролись с атакой. Нам ведь все равно нужно решить проблему. В каждой ситуации все зависит от цены вопроса и доверия к диалогу.
  8. Иногда компанию атакуют белые хакеры, которые говорят вам о найденной уязвимости и предлагают заплатить за обнаружение. В таком случае мы платим: были случаи, когда отправляли $1000. Почему мы это делаем? Хакеры общаются между собой — и у вашей компании есть некий имидж. Если они видят, что вы понимаете, как все работает в их мире, то впоследствии могут не согласиться на заказ против вас.
  9. Не привлекать специалистов — ошибка. Не надейтесь, что спустя 2 дня ваш админ сделает все сам. Посчитайте, сколько стоит день работы вашей компании и сколько вы теряете на простое. Что вам выгоднее: привлечь профессионалов со стороны или просто не работать? Не забывайте, что кроме финансовых потерь, есть еще и имиджевые. В нашем случае однозначно дешевле было нанять специалистов.
  10. DDoS-атака — это чистая экономика. Если она не выгодна кому-то, ее не будут проводить. Кибератаки ради фана не существует, ради развлечения не тратят тысячи долларов. Не тешьте себя надеждами, что это произошло случайно. Думайте, кто может быть заинтересован в ваших проблемах и готовьтесь заранее.

Автор: Максим Плахтий, основатель билетного сервиса Karabas.com 

Оставить комментарий

Комментарии | 0

Поиск