Как защитить веб‑приложения от кибератак с помощью Yandex Smart Web Security

В 2023 году число DDoS‑атак в мире выросло на 63%. За три квартала 2024 года Яндекс отразил порядка 600–700 подобных нападений.

Веб‑приложения в 2024 году оказались главной мишенью мошенников. По данным Verizon, с атаками на них связано 80% всех сетевых инцидентов, которые в 60% случаев приводят к утечке данных. Хакеры всё чаще используют многовекторные атаки — одновременно бьют по сервису несколькими способами. В 2023 году число таких атак выросло на 108% по сравнению с 2022 годом.

В статье расскажем о типах кибератак и о том, как защитить веб‑приложения с помощью сервиса Smart Web Security (SWS). Он защищает веб‑ресурсы от атак и соответствует нормам законодательства в области кибербезопасности.

Основные типы кибератак на веб‑приложенияОсновные типы кибератак на веб‑приложения

1. DDoS‑атаки1. DDoS‑атаки

Направлены на то, чтобы перегрузить сайт или приложение большим потоком запросов, сделав его недоступным для пользователей. Такие атаки бывают разных уровней по модели OSI. Злоумышленники всё чаще атакуют на уровне L7, где имитируется поведение обычных пользователей и генерируется множество запросов к серверу, из‑за чего преступников сложнее выявить и заблокировать.

В 2023 году появился новый опасный тренд — атаки типа Smokescreen (дымовая завеса). Хакеры используют DDoS как отвлекающий манёвр, чтобы замаскировать другие вредоносные действия: кражу данных или проникновение в сеть. По данным исследований Yandex Cloud Security в 2023 году число таких атак увеличилось более чем на 50%.

2. Автоматизированные бот‑атаки2. Автоматизированные бот‑атаки

В третьем квартале 2024 года интенсивность бот‑атак резко выросла: пиковая скорость достигла 77 тыс запросов в секунду — в пять раз больше, чем в предыдущем квартале. Большинство атак длятся 2–3 минуты, и за это время боты успевают сгенерировать более 22 млн запросов.

Если раньше злоумышленники использовали в основном IoT‑ботнеты, то теперь их вытеснили более мощные VM‑ботнеты. Они составляют 43% от общего числа атак. Чаще всего от ботов страдают онлайн‑магазины (44% атак), букмекерские компании (8%) и сайты по продаже недвижимости (7%).

3. Атаки на цепочки поставок3. Атаки на цепочки поставок

Согласно исследованию Positive Technologies, в 2023 году хакеры стали чаще атаковать компании через уязвимости в программном обеспечении поставщиков. Яркий пример — атака хакерской группы Cl0p через уязвимость в платформе MOVEit Transfer, которая использовалась компаниями для передачи файлов. Хакеры внедряли вредоносный код и похищали данные пользователей. От этой атаки пострадали более 2,5 тыс организаций, а утечка данных затронула свыше 66 млн пользователей.

4. Атаки через доверенные каналы4. Атаки через доверенные каналы

В 2023 году хакеры стали в два раза чаще атаковать компании через своих партнёров и поставщиков. Они взламывают подрядчиков, у которых есть доступ к IT‑системам основной цели. Это позволяет им обойти защиту как доверенным пользователям и проникнуть внутрь.

Яркий пример — группа Shedding Zmiy. Она атаковала российские госструктуры, промышленные и телекоммуникационные компании. Хакеры взламывали серверы партнёров и через них загружали вредоносное ПО в сети своих главных целей.

5. Скрытый шпионаж под видом шифрования данных5. Скрытый шпионаж под видом шифрования данных

Злоумышленники сначала незаметно похищают информацию, а потом шифруют инфраструктуру компании и требуют выкуп за расшифровку. При этом они не угрожают публикацией украденных данных и даже не размещают их в сети после отказа платить. Хакеры не афишируют сам факт кражи, поэтому пострадавшие компании могут долго не знать о том, что их данные уже переданы третьим лицам.

В 2023 году группа LockBit так взломала несколько крупных производителей и финансовых компаний. Хакеры тихо выкачивали конфиденциальные данные, шифровали системы и требовали деньги якобы только за восстановление доступа. О краже информации они умалчивали.

6. Попытки взлома через уязвимости в коде и настройках6. Попытки взлома через уязвимости в коде и настройках

Хакеры ищут ошибки в конфигурации серверов, пытаются получить доступ к важным данным с необычных IP‑адресов или используют известные уязвимости. По статистике, компании часто становятся жертвами атак из‑за старых уязвимостей.

Как работает Smart Web SecurityКак работает Smart Web Security

Smart Web Security обеспечивает защиту от DDoS‑атак и ботов на уровне приложений, а также защиту от эксплуатации уязвимостей веб‑приложений с помощью встроенного WAF. В его основе — технология Smart Protection от Яндекса, которая больше десяти лет защищает сервисы компании.

SWS анализирует поведение пользователей с помощью алгоритмов машинного обучения. ML‑модели постоянно дообучаются на большом объёме реального легитимного и вредоносного трафика, а аналитики сервиса расследуют инциденты и совершенствуют модели для повышения точности защиты. При выявлении подозрительной активности сервис отправляет данные запросы на дополнительную проверку через SmartCaptcha, где пользователю нужно пройти два этапа верификации — решить основное и дополнительное задания.

Три модуля защитыТри модуля защиты

SWS состоит из трёх ключевых модулей. Первый — защита от DDoS‑атак и ботов на уровне приложений (L7). В профиле можно создать правила фильтрации трафика по IP‑адресам, географии, HTTP‑параметрам или содержимому запроса. Для сложных случаев доступны регулярные выражения.

Второй модуль — Web Application Firewall (WAF). Он анализирует HTTP‑запросы по набору правил OWASP Core Rule Set и защищает от самых опасных уязвимостей из рейтинга OWASP TOP‑10.

Третий модуль — Advanced Rate Limiter (ARL). Он ограничивает количество HTTP‑запросов за определённый промежуток времени — от секунды до часа. С помощью ARL можно установить разные ограничения для отдельных эндпоинтов API и страниц, которые сильно нагружают базу данных. Режим Dry Run помогает протестировать правила, чтобы не ограничивать легитимных пользователей.

Мониторинг и тестированиеМониторинг и тестирование

SWS использует машинное обучение для анализа трафика в реальном времени. Метрики передаются в Monitoring, а логи профиля — в Cloud Logging. При высоких нагрузках или особых требованиях можно направить расширенные логи WAF и ARL в Audit Trails для более детального анализа.

Для безопасного тестирования настроек есть режим «Только логирование». В этом режиме система собирает статистику запросов, но не блокирует их. На основе этих данных можно постепенно настраивать более строгие правила фильтров, не затрагивая легитимный трафик.

Как подключить защитуКак подключить защиту

Подключить Smart Web Security можно к Application Load Balancer или через Yandex API Gateway. Нужно создать профиль безопасности и привязать его к виртуальному хосту. Для большинства приложений подойдёт преднастроенный шаблон с технологией Smart Protection. Защиту усиливают модули WAF и ARL.