Журнал "Information Security/ Информационная безопасность" #1, 2024

Мы используем подход secure by design и стремим- ся к тому, чтобы требования по безопасности закладыва- лись в новые сервисы еще на этапе их проработки, до момента написания первой строчки кода. Из всех продуктов, кото- рые мы посмотрели, у ком- пании Вебмониторэкс пока- затель ложных срабатыва- ний был на минимальном уровне, потому что в их платформе используется хитрая интеллектуальная система постаналитики. в резюме строчку, нам как раз нужно безопасность сделать". Тогда у Авито еще не было ни одного безопасника. Вот так, примерно с августа 2015-го, я сначала стал архитектором по информационной безопас- ности, а теперь занимаю пози- цию руководителя. – Какая архитектура безопасности сейчас выстроена в компании? – Безопасность Авито тради- ционно строилась на защите внешнего сетевого периметра и разделении ресурсов с раз- ным уровнем доверия. Но неза- долго до начала пандемии мы начали двигаться в сторону архитектуры Zero Trust и уже прошли часть этого пути. Внед- рили персональные сертифика- ты для сотрудников, двухфак- торную аутентификацию на всех доступных извне системах и ряд других вещей. Что касается разработки: мы используем подход secure by design и стремимся к тому, чтобы требования по безопас- ности закладывались в новые сервисы еще на этапе их про- работки, до момента написания первой строчки кода. В этом нам помогает наша платформа, построенная на базе Kubernetes и PaaS собственной разработки, в который "зашиты" большин- ство наших проверок. "Выка- тить" сервис мимо этих прове- рок просто невозможно. – Какая архитектура защиты ресурсов исполь- зуется в вашем проекте и почему? Какая нагрузка на защищаемые ресурсы фиксируется вами сейчас, какой рост вы прогнози- руете в ближайшие годы? – Это интересные вопросы. Сейчас мы фиксируем нагруз- ку порядка 9 млн внешних пользовательских запросов в минуту, в пике. Если говорить про прогнозируемую, то за последние годы мы проделали огромную работу с точки зре- ния повышения производитель- ности наших продуктов, уда- лось добиться того, чтобы мобильное приложение, сайт не делали лишние запросы на наши сервера, поэтому за про- шедший год мы не увидели огромного роста нагрузки. Если сопоставить рост поль- зовательской базы с трафи- ком, то увидим, что он не вырос, – это хороший момент, показывающий, что мы научи- лись эффективнее использо- вать ограниченные ресурсы наших пользователей, мобиль- ного Интернета и т.д. – Какие задачи вы хоте- ли решить с помощью межсетевых экранов? Что послужило причиной внедрения этого решения? – В первую очередь нам был нужен инструмент для отсле- живания атак. Думаю, что мы всегда будем использовать эшелонированную защиту, не полагаясь на какое-то одно средство, а имея несколько, на случай, если одно окажется неэффективным – выйдет из строя, например. Нам нужен был инструмент, который допол- нил бы нашу систему защиты информации и позволил бы мониторить, отслеживать в реальном времени входящие на сайт запросы, какие из них вредоносные, а какие нет. И соответственно, этот инстру- мент должен блокировать на лету вредоносные запросы. Есть, конечно, альтернативные подходы к этой проблеме, например сетевые системы обнаружения вторжения, но поскольку наши продукты рабо- тают через веб, то в первую очередь мы обратили внимание именно на Web Application Fire- wall (WAF) – этот класс решений заточен под работу в таких условиях. – Каким образом вы выбирали вендора и про- дукт? – Несколько лет назад мы проводили достаточно крупное исследование рынка, в том числе смотрели на WAF от ком- пании Вебмониторэкс и на несколько западных вендоров, которые считаются наиболее топовыми в этой области. Мы посмотрели четыре или пять разных продуктов, скрупулезно оценивая их: брали заведомо уязвимое приложение, разво- рачивали его, настраивали WAF, добавляли несколько опенсорс- ных списков с векторами атак, которые прогоняли относитель- но этого приложения, и смотре- ли, как то или иное решение класса WAF себя ведет, какие блокирует векторы, а какие не блокирует. Таким образом оце- нивались два параметра: пол- нота – сколько из атак каждый продукт смог найти и показать; ложное срабатывание – этот параметр мы еще дополнитель- но проверяли на реальном тра- фике, для нас это было важно, потому что Авито – сайт объ- явлений, где пользователи сами вводят произвольный контент. Довольно часто в этом контенте • 17 ПЕРСОНЫ www.itsec.ru Фото: Юлия Полушкина