С какими проблемами кибербезопасности сталкиваются онлайн‑магазины
13.09.2021
Веб-приложения сегмента e-commerce бурно развиваются: тренд на рост рынка электронной торговли, который ускорился в пандемию, пока не сбавляет обороты. В связи с этим рынок e-commerce все чаще сталкивается с киберугрозами, которые развиваются в не менее быстром темпе, чем растет аудитория онлайн-пользователей или появляется новый функционал. Проблемы защиты инфраструктуры и данных актуальны для любого современного веб-ресурса, но в случае с сегментом e-commerce они приобретают особый масштаб.
Соблюдение законодательства
В e-commerce много legacy-приложений. На рынке существует множество веб-ресурсов, архитектура которых была разработана давно и не была изначально рассчитана на нагрузку, которую может сгенерировать даже не самая масштабная атака. С другой стороны, ввиду перспектив рынка в последние годы массово возникали новые сервисы, которые нужно было быстро выводить на рынок — в коде этих веб-приложений нередко есть изъяны и уязвимости.
Быстрые темпы разработки косвенно способствуют увеличению рисков кибербезопасности. Во-первых, использование различных сторонних инструментов и платформ предполагает рост количества интеграций и, соответственно, рост вероятности допустить возникновение «дыры». Во-вторых, быстрые циклы разработки нередко не оставляют времени на тщательный аудит кода на уязвимости.
Рынок электронной торговли высококонкурентен. Спланированные DDoS-атаки, а также парсинг цен и контента создают проблемы для большинства веб-ресурсов сегмента. Не всегда чистоплотная конкурентная борьба становится причиной DDoS-атак для вывода конкурентов из строя во время сезонных распродаж, парсинга цен для создания более конкурентных предложений и так далее.
В отличие от многих других сегментов, для e-commerce каждая минута даунтайма стоит реальных «живых» денег. Время, пока веб-ресурс недоступен для посетителей, выливается в убытки. Во-первых, происходит отток покупателей и их уход к конкурентам, не испытывающим в моменте проблем с доступностью сайта: около 37% посетителей уйдут с сайта и никогда не вернутся, чтобы совершить покупку. Во-вторых, неработающий сайт — это репутационный ущерб: покупатели не упустят возможности пожаловаться в соцсетях на плохой опыт покупки, по статистике 12% расскажут о негативном опыте другим пользователям. В-третьих, стоимость транзакции в сегменте высока, а значит, даунтайм означает недополученную прибыль. Например, 1 час простоя во время большой распродажи у Amazon равен $100 млн недополученной прибыли.
Если атака не вывела из строя веб-ресурс, даже частичное замедление его загрузки ведет к снижению конверсии. DDoS- или бот-атаки генерируют повышенную нагрузку, которая сказывается в увеличении времени обработки пользовательских запросов. После 2,3 секунд конверсия снижается на 7% каждую секунду, пока пользователь ждет загрузки веб-страницы.
Особенности рынка предполагают большее количество атак, направленных на сегмент. Например, парсинг и кража контента веб-ресурса при помощи ботов позволяют злоумышленникам быстро создавать клоны онлайн-магазинов или фишинговые сайты для кражи персональных и платежных данных. Большое количество чувствительных данных делают ecommerce-ресурс целью взлома и кражи информации — это предполагает не только репутационные издержки, но и ответственность перед регуляторами.
Какие типы кибератак чаще всего досаждают ИТ-командам в сегменте e-commerce?
Мы спросили об этом участников рынка и узнали, что боты доставляют проблемы 48% опрошенных, а регулярные DDoS-атаки — 30% респондентов.
Кроме того, есть внутренние проблемы, которые ослабляют устойчивость ecommerce-ресурсов перед эволюционирующими кибератаками. Ускоренные циклы разработки и сопутствующие риски появления уязвимостей волнуют 26% опрошенных. Для 17% респондентов проблемой являются ложные срабатывания: ИТ-командам непросто соблюдать баланс между юзабилити и защищенностью, корректно детектировать хороших и плохих ботов, а также легитимные и нелегитимные запросы.
Серьезным фактором, влияющим на эффективность киберзащиты, для 22% стал дефицит ресурсов, которые необходимы для обеспечения кибербезопасности онлайн-магазина: во-первых, немногие закладывают бюджет на специалистов по ИБ. Те, у кого он есть, признают, что технологии постоянно обновляются, а киберугрозы быстро эволюционируют — служба ИБ не всегда успевает за таким изменчивым ландшафтом и не всегда имеет достаточно данных о внешнем периметре и его уязвимостях. Во-вторых, дефицит компетенций в сфере ИБ выражен в сфере e-commerce намного сильнее, чем в других отраслях, и найм специалистов в этой сфере — это порой дорого и долго.
Как облако может помочь онлайн-магазину справиться с актуальными киберугрозами?
По сути, весомое преимущество, которое предоставляет облачная платформа — это возможность «аутсорсинга» функций, связанных с обеспечением кибербезопасности, в облако. В течение последних лет облачные провайдеры совершенствовали свои подходы к кибербезопасности, и заказчикам не нужно идти на компромисс между удобством и экономичностью использования и степенью защищенности данных.
Облако упраздняет необходимость в найме большой ИБ-команды и снижает капитальные затраты за счет более удобной и прогнозируемой тарификации: получая сервис по подписке и подключая нужные сервисы по требованию, ИТ-команда веб-ресурса снимает себя серьезную нагрузку в части интеграции и тонкой настройки средств защиты, поддержания актуальности лицензий, управления несколькими решениями от различных вендоров — все это берет на себя провайдер.
На базе облачной платформы NGENIX реализован ряд решений для защиты от различных видов кибератак:
Защита от DDoS
По данным PwC, это один из важнейших факторов в пользу миграции в облако: наличие надежных каналов связи и средств защиты от DDoS важно 41% участников исследования «Страх облаков» 2020 года — это даже больше, чем соответствие нормативным требованиям. Платформа NGENIX защищает от мощных DDoS-атак до 5 Тбит/c на уровне сети.
Защита от взлома
На платформе развернуты WAF от нескольких вендоров для защиты от взломов и эксплуатации уязвимостей. Копии WAF от Wallarm и Positive Technologies установлены на edge-серверах платформы — это снижает нагрузку на сервера WAF, а наличие встроенных средств защиты от DDoS помогает пресечь DDoS-атаки, направленные на WAF с целью вывести его из строя. Настроить WAF — непростая задача, но ее можно делегировать инженерам NGENIX в. рамках отдельного пакета обслуживания.
Защита от ботов
Пользователи платформы, подключившие сервис Edge Logic Rules (ELR) могут настроить собственные правила обработки запросов. Если детектирована атака ботов, можно создать правило, блокирующее HTTP-запросы от ботов по ряду признаков (User-Agent, геолокация, ASN и так далее). Для этого не нужен ИБ-специалист — создать правило в личном кабинете может системный администратор, а применение правил на всех серверах платформы занимает несколько минут.
Схема работы облачного сервиса NGENIX Edge Logic Rules
Фильтрация HTTP-запросов с помощью облачного сервиса NGENIX Edge Logic Rules
Защита от атак на DNS
Масштабная атака на DNS может полностью «положить» веб-ресурс. При делегировании доменной зоны на платформу NGENIX DNS-серверы распределены по множеству точек присутствия, и при отказе одного из них запросы пользователей перенаправляются на другой DNS-сервер, ближайший к источнику запроса с точки зрения топологии сети. Благодаря тому что платформа способна выдержать мощные атаки и защищена от них на уровне сети и приложений, риск «потерять» DNS-сервер из-за кибератаки многократно снижается.
Управление и аналитика
В личном кабинете NGENIX Multidesk можно отслеживать количество заблокированных запросов в режиме реального времени:
Мы провели полезный вебинар с Wallarm, посвященный основным киберрискам в сфере e-commerce. Проверьте, с какими из них сталкиваетесь вы и как можно с ними справиться. Запись и много полезного контента здесь: https://events.ngenix.net/top-security-challenges-for-ecom/
Протестировать платформу NGENIX и работу сервисов защиты в течение 14 дней можно, заполнив заявку ниже ?