Колонки

Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак

Колонки
Даниил Кручинин
Даниил Кручинин

Основатель маркетплейса eTicket4

Софья Федосеева

Фраза «хочешь мира – готовься к войне» лучше всего отражает позицию компаний, которые уже сталкивались с хакерами. Но те счастливчики, которые еще не знакомы с такого рода злоумышленниками, зачастую не воспринимают их всерьез. А зря. 

Даниил Кручинин, основатель и CEO p2p-маркетплейса по продаже билетов на мероприятия Eticket4, рассказывает о выводах, которые сделал после нескольких DDoS-атак.

Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак

С чем нам пришлось столкнуться

Первая по-настоящему крупная DDoS-атака на наш сайт произошла в октябре 2018-го – с пятницы на субботу. Киберпреступники специально выбирают такое время атаки, когда вы будете наименее к ней готовы. 

И мы были не готовы. Наш саппорт работал с понедельника по субботу, но в субботу только днем. Ночью никого не было, а сисадмин не смог оперативно отвечать. 


Мы даже не сразу поняли, что нас дидосят: просто смотрели ночью на возрастающее число подключений. 

То, что это атака, стало понятно только на следующий день. Тогда же нам стали звонить наши клиенты, продавцы и покупатели, сообщать о нестабильной работе сайта – они не могли разместить заказы, провести сделку, купить билеты. Это продолжалось три дня, до понедельника. 

Фото: Unsplash

Из инфраструктуры информационной безопасности у нас тогда стояла только защита Cisco, которая фильтрует некачественный трафик. Но объем трафика во время атаки был таков, что ее не хватило. 

Тест: узнай, сможешь ли ты грамотно выйти на рынок в другой стране

Мы постарались ее увеличить, подключив дополнительную защиту. Системные администраторы пытались решать проблемы вручную (закрывали трафик из тех стран, откуда подключались боты, – Китай, Украина, США). Но с каждой нашей защитой атака только увеличивалась. Наконец, в понедельник нам позвонили злоумышленники и предложили за $500 прекратить атаку. 


Кстати, голос в телефонной трубке совсем не был похож на голос хакера, каким я его себе представлял. Скорее, можно было подумать, что нам позвонили из украинской деревни. 

Разговор был немного странным, мы отказались платить, так как к тому времени уже практически решили проблемы. Но все равно в итоге недополученная прибыль составила несколько сотен тысяч рублей в день. 

Последняя атака на наш сайт случилась в июле этого года, после того как несколько крупных СМИ опубликовали новость о привлечении инвестиций. Буквально на следующий день на нас обрушилась атака более 40 мегабит/сек – самая мощная за всю работу нашего сервиса. Для сравнения: однажды на варшавский аэропорт была совершена DDoS-атака в два раза слабее, но и из-за нее не смогли вылететь десять самолетов. 

В этот раз мы решили проблему буквально за полтора часа, наши клиенты и партнеры практически ничего заметили. Мы были полностью готовы, потому что извлекли уроки и сделали правильные выводы из прошлых атак. Вот несколько главных рекомендаций, которые пригодятся всем. 


Обеспечьте круглосуточную техническую поддержку

Техническая поддержка должна работать 24 часа в сутки семь дней в неделю, а системный администратор в любое время суток должен быть в доступе. Кстати, администратор, который не смог быстро справиться с первой атакой, был уволен.

Фото: Unsplash

Сейчас наш саппорт оперативно отвечает на все вопросы клиентов и партнеров. Это важно во время нестабильной работы сайта, так как помогает удержать конверсию на приемлемом уровне, а репутация не страдает. 

Как правило, мы стараемся не сообщать об атаке, чтобы не возникало лишних вопросов и разговоров. Говорим, что сайт работает нестабильно, ведутся технические работы, скоро все будет в норме. Сейчас так и происходит.


На информационной безопасности нельзя экономить

После того как мы справились с атакой в октябре 2018 года, мы сразу же максимально усилили инфраструктуру информационной безопасности – с запасом.

Тариф, достаточный для защиты от мощной атаки, обходится нам до 100 тысяч рублей в месяц. Также увеличивается ФОТ, ведь системный администратор должен быть всегда в доступе, затраты на техническую поддержку тоже увеличиваются. 

Не надо ждать, пока вас начнут атаковать. Более того, скорее всего, вас уже атаковали или атакуют прямо сейчас – просто вы об этом не знаете. Поэтому нужно быть готовым к любой атаке в любое время. Сейчас есть много сервисов, которые обеспечивают надежную защиту.


Не бойтесь жертвовать конверсией в пользу безопасности

Защита должна быть настроена не только против DDoS-атак, но и против фрода, который тоже может принести большие финансовые и репутационные потери. Правда, тут может возникнуть дилемма.

Установка капчи против «левых» айпишников при регистрации, обязательное использование 3D-Security при оплате – все это серьезно снижает конверсию. Без них она сразу увеличивается на 10-15%, а то и все 25%. 

Именно поэтому большие компании типа AliExpress не всегда используют подобные системы защиты. Но они могут позволить себе содержать целые отделы, которые занимаются выявлением мошеннических операций по оплате. 

У небольших компаний, которым важна каждая транзакция, велико искушение тоже не использовать защиту, но в итоге можно потерять гораздо больше. Поэтому не экономьте на защите.


Не спешите платить деньги хакерам

Как я уже говорил, фрод и DDoS – неизбежный этап развития. Чем вы популярнее, чем больше компания на виду, тем выше шанс, что вы привлечете внимание не только новых пользователей и клиентов, но и злоумышленников. Или вас закажут ваши конкуренты. Займитесь защитой прямо сейчас. 

Но если вы все-таки оказались не готовы, у вас сейчас нет ресурсов для выстраивания защиты и дорога каждая секунда, а хакеры выставили небольшой чек – возможно, на этом этапе будет проще заплатить. Но после нужно сразу же начинать строить хорошую защиту от DDoS. Потому что к вам обязательно вернутся – вы ведь уже попали в список компаний, с которых можно стрясти деньги. 

 

Не мешайте работать своей команде

Сейчас во время крупных атак я стараюсь максимально дистанцироваться – чтобы не мешать работать сотрудникам. Мы постоянно мониторим работу сайта, и если он «лежит» хотя бы пару минут, то об этом оповещаются все ключевые сотрудники, включая топ-менеджеров. 

Фото: Unsplash

Я слежу за происходящим, но не названиваю и не достаю сотрудников постоянными вопросами. У них есть план действий (конечно, если вы не экономили на команде при найме) и напряженная, нервная ситуация, а моя долбежка вряд ли им поможет. 


Фото на обложке: Unsplash

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 7 малоизвестных фактов о русских хакерах
  2. 2 Первая DDoS-атака произошла 20 лет назад. Вот что изменилось с тех пор
  3. 3 Кибербезопасность – это не только защита от хакеров
  4. 4 Как хакеры воруют популярные аккаунты в Instagram
  5. 5 Исследование: хакеры чаще крадут личные данные, чем деньги или криптовалюту
AgroCode Hub
Последние новости, актуальные события и нетворкинг в AgroTech-комьюнити — AgroCode Hub
Присоединяйся!

ВОЗМОЖНОСТИ

05 декабря 2021

05 декабря 2021