Журнал "Information Security/ Информационная безопасность" #1, 2024

WAF, входящий в состав платформы "Вебмонито- рэкс", оказался оптималь- ным решением и с точки зрения функциональности, и с точки зрения нефункцио- нальных требований про- изводительности, и с точки зрения минимального коли- чества ложных срабатыва- ний, и с точки зрения стои- мости. В нашем случае ценность внедрения решения класса WAF заключалась скорее не в оптимизации процессов или сокращении издержек, а в снижении рисков. С этой задачей WAF на платформе "Вебмониторэкс" справился. попадаются какие-то ключевые слова, которые WAF считает атакой, – важно, чтобы процент ложных срабатываний был минимальным. Из всех продуктов, которые мы посмотрели, у компании Вебмониторэкс показатель лож- ных срабатываний был на мини- мальном уровне, потому что в их платформе используется хитрая интеллектуальная систе- ма постаналитики, которая поз- воляет отсеивать большую часть ложных срабатываний. Помимо всего прочего, мы оценивали производительность, поскольку ресурс высоконагру- женный – 9 млн запросов в минуту, необходимо, чтобы нагрузка на каждый из серве- ров, которые фильтруют тра- фик, не превышала определен- ный порог. В итоге WAF, входя- щий в состав платформы "Веб- мониторэкс", оказался опти- мальным решением и с точки зрения функциональности, и с точки зрения нефункциональ- ных требований производитель- ности, и с точки зрения мини- мального количества ложных срабатываний, и с точки зрения стоимости. – На этапе внедрения были какие-то сложности, которые пришлось решать параллельно? Как реагировала команда ком- пании Вебмониторэкс на это? – У нас была и до сих пор остается специфичная конфи- гурация. Платформа "Вебмони- торэкс" из коробки работает по принципу "есть веб-сервер, в который встраивается его модуль, а рядом на этом же физическом сервере должна находиться постаналитика, которая перерабатывает эти данные". Нам такая конфигура- ция не очень подходила, потому что мы придерживаемся очень четкого функционального раз- деления: один сервер должен выполнять одну функцию. Поэтому нужно было постана- литику с этого сервера вынести на отдельный сервер; учитывая наш масштаб, получается кла- стер серверов. На тот момент это была новая конфигурация для вендора, которую никто из их клиентов не использовал. Соответственно, они специ- ально под нас "допилили" свой продукт, сделав возможным разнесение отдельных узлов. И сделали довольно быстро. До сих пор, положа руку на сердце, могу сказать, что ребята очень быстро реагируют на любые другие наши запросы. В основ- ном мы скидываем им фолзы, для того чтобы они поправили в правилах, но и по функцио- нальным темам тоже. – Насколько сложно про- ходило пилотирование внедрения платформы, какие процессы, отделы были задействованы? – Во внедрении участвовал отдел информационной без- опасности, были активно вовлечены системные админи- страторы, поскольку продукт интегрируется глубоко в нашу платформу, наш балансиров- щик трафика – важный элемент инфраструктуры. На каждом этапе нам помогали и форми- ровали требования, так как дальше им предстояло поддер- живать этот продукт. Сейчас полностью справляемся сами, мы расширили отдел, наняв сисадминов и аналитиков, кото- рые работают с интерфейсом платформы "Вебмониторэкс", поэтому другие отделы в экс- плуатации не задействуем. – Как вы оцениваете результаты внедрения, удалось ли оптимизиро- вать процессы и сокра- тить издержки? – В первую очередь мы внед- ряли решение класса WAF, чтобы мониторить и блокиро- вать вредоносные запросы – с этим WAF от компании Вебмо- ниторэкс прекрасно помогает. Мы каждый день отслеживаем несколько тысяч, если не сотен тысяч, блокируемых вредонос- ных запросов. Вторая важная задача, кото- рую мы решали, – это вирту- альный патчинг. Поскольку достаточно часто в коробочных версиях программного обес- печения обнаруживают уязви- мости, для которых нет патча, то, чтобы быстро снизить риск, не ожидая патча от вендора, мы используем виртуальный патчинг, исправляя найденную уязвимость быстрее. И последнее, специфичное для Авито, поскольку класси- файд – это большая часть информации от пользователя, которую он вводит публично, но не только: есть, например, и внутренние идентификаторы пользователей, которые нам очень не хочется "светить" ни в коем случае, и мы воспользо- вались платформой "Вебмони- торэкса" для того, чтобы такие ситуации отслеживать. Мы соз- давали в базе данных какие-то "канареечные" объявления пользователей, конкретные идентификаторы которых мы знали, а потом просто смотрели в исходящем трафике, видит ли WAF от компании Вебмони- торэкс эти строки. Как только он их находил, мы понимали, что в этом месте может быть потенциальная утечка. Так он нам несколько раз помог. В нашем случае ценность внедрения решения класса WAF заключалась скорее не в опти- мизации процессов или сокра- щении издержек, а в снижении рисков. С этой задачей WAF на платформе "Вебмониторэкс" справился. – Как внедрение повлия- ло на другие элементы инфраструктуры? – Наша инфраструктура изна- чально заточена под максималь- ную отказоустойчивость и про- изводительность. Мы не допус- каем ситуацию, в которой какой- то функциональный узел инфра- структуры существовал бы в единственном экземпляре, это всегда кластер, всегда несколь- ко таких экземпляров. И WAF не исключение. Платформа "Вебмониторэкс" предоставляет- ся в виде модуля для веб-сер- вера Nginx, который мы активно используем. Соблюдая политику кластеризации, мы этот модуль внедрили на каждый из более сотни балансировщиков трафи- ка. Благодаря гибкости продукта "Вебмониторэкс" был доступен наиболее естественный способ интеграции, чему мы очень рады. Если бы архитектура плат- формы была другой, то для нас внедрение прошло бы гораздо сложнее. Некоторые вендоры настаивали на том, что они пре- доставляют коробочную версию своего продукта либо вообще не программный продукт, а про- дукт на основе оборудования – ставьте его в свой дата-центр либо раскатывайте на отдель- ные сервера и через него весь трафик пропускайте. Для нас это было крайне неудобно, появлялись дополнительные затраты и точки отказа. С платформой "Вебмонито- рэкс" мы справились с задачей довольно быстро, каких-то про- блем у нас с ней не возникло, просто появился дополнитель- 18 • В ФОКУСЕ