Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак

С чем нам пришлось столкнуться

Первая по-настоящему крупная DDoS-атака на наш сайт произошла в октябре 2018-го – с пятницы на субботу. Киберпреступники специально выбирают такое время атаки, когда вы будете наименее к ней готовы. 

И мы были не готовы. Наш саппорт работал с понедельника по субботу, но в субботу только днем. Ночью никого не было, а сисадмин не смог оперативно отвечать. 

То, что это атака, стало понятно только на следующий день. Тогда же нам стали звонить наши клиенты, продавцы и покупатели, сообщать о нестабильной работе сайта – они не могли разместить заказы, провести сделку, купить билеты. Это продолжалось три дня, до понедельника. 

Из инфраструктуры информационной безопасности у нас тогда стояла только защита Cisco, которая фильтрует некачественный трафик. Но объем трафика во время атаки был таков, что ее не хватило. 

Мы постарались ее увеличить, подключив дополнительную защиту. Системные администраторы пытались решать проблемы вручную (закрывали трафик из тех стран, откуда подключались боты, – Китай, Украина, США). Но с каждой нашей защитой атака только увеличивалась. Наконец, в понедельник нам позвонили злоумышленники и предложили за $500 прекратить атаку. 

Разговор был немного странным, мы отказались платить, так как к тому времени уже практически решили проблемы. Но все равно в итоге недополученная прибыль составила несколько сотен тысяч рублей в день. 

Последняя атака на наш сайт случилась в июле этого года, после того как несколько крупных СМИ опубликовали новость о привлечении инвестиций. Буквально на следующий день на нас обрушилась атака более 40 мегабит/сек – самая мощная за всю работу нашего сервиса. Для сравнения: однажды на варшавский аэропорт была совершена DDoS-атака в два раза слабее, но и из-за нее не смогли вылететь десять самолетов. 

В этот раз мы решили проблему буквально за полтора часа, наши клиенты и партнеры практически ничего заметили. Мы были полностью готовы, потому что извлекли уроки и сделали правильные выводы из прошлых атак. Вот несколько главных рекомендаций, которые пригодятся всем. 

Обеспечьте круглосуточную техническую поддержку

Техническая поддержка должна работать 24 часа в сутки семь дней в неделю, а системный администратор в любое время суток должен быть в доступе. Кстати, администратор, который не смог быстро справиться с первой атакой, был уволен.

Сейчас наш саппорт оперативно отвечает на все вопросы клиентов и партнеров. Это важно во время нестабильной работы сайта, так как помогает удержать конверсию на приемлемом уровне, а репутация не страдает. 

Как правило, мы стараемся не сообщать об атаке, чтобы не возникало лишних вопросов и разговоров. Говорим, что сайт работает нестабильно, ведутся технические работы, скоро все будет в норме. Сейчас так и происходит.

На информационной безопасности нельзя экономить

После того как мы справились с атакой в октябре 2018 года, мы сразу же максимально усилили инфраструктуру информационной безопасности – с запасом.

Тариф, достаточный для защиты от мощной атаки, обходится нам до 100 тысяч рублей в месяц. Также увеличивается ФОТ, ведь системный администратор должен быть всегда в доступе, затраты на техническую поддержку тоже увеличиваются. 

Не надо ждать, пока вас начнут атаковать. Более того, скорее всего, вас уже атаковали или атакуют прямо сейчас – просто вы об этом не знаете. Поэтому нужно быть готовым к любой атаке в любое время. Сейчас есть много сервисов, которые обеспечивают надежную защиту.

Не бойтесь жертвовать конверсией в пользу безопасности

Защита должна быть настроена не только против DDoS-атак, но и против фрода, который тоже может принести большие финансовые и репутационные потери. Правда, тут может возникнуть дилемма.

Именно поэтому большие компании типа AliExpress не всегда используют подобные системы защиты. Но они могут позволить себе содержать целые отделы, которые занимаются выявлением мошеннических операций по оплате. 

У небольших компаний, которым важна каждая транзакция, велико искушение тоже не использовать защиту, но в итоге можно потерять гораздо больше. Поэтому не экономьте на защите.

Не спешите платить деньги хакерам

Как я уже говорил, фрод и DDoS – неизбежный этап развития. Чем вы популярнее, чем больше компания на виду, тем выше шанс, что вы привлечете внимание не только новых пользователей и клиентов, но и злоумышленников. Или вас закажут ваши конкуренты. Займитесь защитой прямо сейчас. 

Но если вы все-таки оказались не готовы, у вас сейчас нет ресурсов для выстраивания защиты и дорога каждая секунда, а хакеры выставили небольшой чек – возможно, на этом этапе будет проще заплатить. Но после нужно сразу же начинать строить хорошую защиту от DDoS. Потому что к вам обязательно вернутся – вы ведь уже попали в список компаний, с которых можно стрясти деньги. 

Не мешайте работать своей команде

Сейчас во время крупных атак я стараюсь максимально дистанцироваться – чтобы не мешать работать сотрудникам. Мы постоянно мониторим работу сайта, и если он «лежит» хотя бы пару минут, то об этом оповещаются все ключевые сотрудники, включая топ-менеджеров. 

Я слежу за происходящим, но не названиваю и не достаю сотрудников постоянными вопросами. У них есть план действий (конечно, если вы не экономили на команде при найме) и напряженная, нервная ситуация, а моя долбежка вряд ли им поможет. 

Фото на обложке: Unsplash