Как взаимодействовать с подрядчиком при аутсорсинге защиты от DDOS?

Выступление Артёма Гавриченкова на интенсиве для CISO Код ИБ Профи

Код ИБ

Краткий конспект мастер-класса с закрытого выступления Алексея Пикулева на интенсиве для CISO Код ИБ Профи

Артём Гавриченков Технический директор в Qrator Labs

 

Борьба с DDoS — это, в числе прочего, гонка исследований и гонка вооружений

Конечно, очень дорого покупать оборудование, содержать и обслуживать его, проводить нужный объём линий оптической связи и нанимать квалифицированный персонал.

Подходы к выбору аутсорс-подрядчика:

Company team

Выбор на основе тестирования

 

Company team

Выбор на основе обзоров и рекламных брошюр

 

Company team

Выбор на основе мнений независимых организаций

 

Company team

Старинные методы

 


Проблемы первого такого заключаются в  том, что тестированиие DDoS-атаками — это очень сложно, полноценное тестирование (скажем, ботнетом) — нелегально, тестирование 12-ю виртуалками с Амазона — ненадёжно: оно покрывает лишь половину задач, нет spoofed-трафика, нет атак уровня приложения (запросы в login, search, tags, form-data), нет повторяемости, яд «тестирующих компаний» параллельно продают свои решения по защите, что приводит к конфликту интересов.

А к старинным методам можно отнести сарафанное радио, умение работать с вашей технологией и личное общение.

Что же касается [D?]DoS :

Разница между распределённой атакой и нераспределённой, мягко говоря, нестрогая. Традиционной значение: распределённая атака организуется с нескольких источников. Возникает много вопросов: а что же такое источник? Это IP-адрес или устройство? Если это устройство, виртуальная машина считается? А если это несколько VM в одном гипервизоре? А если VM мигрируют между физическими серверами? И если я жертва, как мне это понять и какая для меня разница? Если это IP, то, что, spoofed-трафик нераспределённый?

Одна их основных вещей, о чём нужно помнить:

• Блог — это одно

• Финансовая организация — совсем другое

• А если есть карточный процессинг, то третье

• А если есть банкоматы, то четвёртое

• Мобильные приложения…

• Платёжные терминалы…

• СДБО (ЮЛ)…

• ГОСТ…

• …

Поэтому требуйте от подрядчика опыт работы с вашей индустрией. Иначе — вы будете оплачивать его исследования

 Чтобы построить отказоустойчивое решение, нужно использовать минимум 2 ЦОДа. Интернет – ненадёжная платформа для связи. Полноценная защита возможна только когда внешнее решение обрабатывает и входящий, и исходящий трафик. Инструкции по подключению предоставляет подрячик.

Помните, что активные методы защиты нельзя применять для:

• мобильных приложений

• промо-страниц

• переходов их поисковой выдачи

• сайтов и приложений, предназначенных для использования пожилыми людьми

• сайтов и приложений, для которых нельзя раскрывать ключи шифрования

 

Кстати, фазы интеграции, проведённые с одним подрядчиком, легче воспроизводить со вторым! 

 

Основные выводы:

• Много бумажной работы. Но это —во благо!

• Услуг «под ключ» не бывает. Подходит ли вам предоставляемое решение, чем придётся пожертвовать —нужно уточнять заранее

• Модель постепенной инвентаризации и интеграции прощает ошибки в выборе подрядчика

 

Посмотреть запись выступления