Защита инфраструктуры образовательной платформы от DDoS-атак и воздействия вредоносных ботов

Заказчик: крупный коммерческий российский ВУЗ

Страна: Российская Федерация

Количество сотрудников: более 100 000 студентов, использующих платформу для дистанционного обучения

Что болело?

Заказчик столкнулся с многогранной DDoS-атакой на платформу дистанционного обучения студентов, которая включала несколько видов угроз.

Во-первых, злоумышленники использовали ботов для автоматического подбора скриптов, позволяющих обходить систему защиты и сдавать сессии без участия студентов. Этот вид атаки представляет собой тип Layer 7 DDoS-атаки, где вредоносный трафик фальсифицирует действия пользователей, что затрудняет его фильтрацию даже с использованием Web Application Firewall (WAF).

Во-вторых, атака заключалась в блокировке доступа к информационной системе платформы, что фактически парализовало ее работу. Это можно отнести к DDoS-атакам на уровне приложений (Layer 7), когда трафик направляется таким образом, чтобы перегрузить сервер и нарушить его нормальную работу. Даже с установленным WAF такие атаки могут обходить защиту, заставляя сервер «падать» под массивом легитимных, но избыточных запросов.

Результатом этих атак стала полная или частичная недоступность платформы для студентов и преподавателей, что не только нарушало учебный процесс, но и ставило под угрозу репутацию и финансовую стабильность учебного заведения. Потеря доверия со стороны студентов и преподавателей могла привести к значительному сокращению клиентской базы, а постоянные сбои в работе платформы привлекли бы внимание контролирующих органов, что могло угрожать лишением лицензии для учебного заведения.

Цели

• Обеспечение стабильной работы образовательной платформы: гарантировать бесперебойное функционирование всех сервисов, включая доступ к личным кабинетам студентов и преподавателей, проведению занятий, сдаче тестов и управлению учебным процессом.
• Бесперебойный доступ к базе данных: обеспечить стабильную связь между платформой и базой данных, предотвращая любые сбои, которые могут нарушить работу системы или привести к потере данных.
• Организация комплексной безопасности платформы: внедрение мер для защиты платформы от вредоносных атак, включая DDoS-атаки, взломы, SQL-инъекции и обход систем защиты (например, WAF).
• Предотвращение автоматизированных атак ботами: блокировать попытки использования ботов для подбора скриптов, автоматической сдачи тестов и получения доступа к платформе с целью недобросовестного использования или подрыва ее работы.
• Защита конфиденциальной информации: исключить риски утечек персональных данных студентов, преподавателей и учебных материалов, которые могут быть скомпрометированы в результате атак.
• Снижение репутационных и финансовых рисков: минимизировать угрозы для репутации учебного заведения и предотвратить возможные финансовые потери из-за нарушения образовательного процесса или привлечения внимания контролирующих органов.

Как решали

Процесс реализации решения включал несколько ключевых этапов:

I этап: Анализ работы инфраструктуры и настройка мониторинга.

На первом этапе была проведена всесторонняя проверка корректности настройки и работы всех узлов, участвующих в цепочке прохождения трафика: балансировщик нагрузки → веб-сервер → база данных. Также был проанализирован сетевой и серверный сегмент инфраструктуры. В ходе этого этапа были выявлены возможные уязвимости в настройке системы и проведена настройка технического мониторинга для оперативного отслеживания сбоев и аномалий в работе платформы.

Дополнение: «Проверка всех узлов была направлена на оценку их безопасности и производительности, а также на выявление возможных точек отказа, которые могут стать уязвимыми в случае атаки».

II этап: Внедрение Observability и детальный анализ логов.

На следующем этапе была настроена система Observability (комплекс решений «Джаст ИТ») для комплексного мониторинга, логирование, позволяющее отслеживать все этапы прохождения трафика и анализировать статистические данные в реальном времени. Это важно для поиска уязвимостей и отклонений в работе системы, а также для обнаружения потенциальных угроз, которые могут поступать не только извне, но и изнутри инфраструктуры.

Мы также уделили внимание косвенным атакам, когда вредоносные действия могут направляться на смежные системы или же скрываться под прикрытием легитимных запросов (например, через кражу персональных или коммерческих данных внутри организации). Это позволяет обеспечить не только защиту от внешних угроз, но и от угроз, исходящих изнутри.

Дополнение: «Построение системы Observability позволило не только оперативно выявлять уязвимости, но и анализировать поведение системы в условиях реального трафика, что особенно важно для предотвращения сложных атак, включая внутренние угрозы.»

III этап: Настройка защиты от DDoS-атак и внедрение WAF.

Для защиты платформы от атак, включая DDoS на разных уровнях, была настроена система anti-DDoS/WAF. Это включало защиту от атак на уровне сетевого (L3), транспортного (L4) и прикладного (L7) уровней. Для защиты использовались решения на базе StormWall (anti-DDoS) и Positive Technologies Application Firewall (WAF).

Такая настройка обеспечивает многоуровневую защиту от массовых запросов, направленных на истощение ресурсов, а также от более целенаправленных атак, нацеленных на уязвимости веб-приложений, таких как SQL-инъекции или XSS-атаки.

Дополнение: «Использование StormWall позволяет эффективно фильтровать и блокировать DDoS-атаки, а Positive Technologies Application Firewall защищает от специфичных угроз, направленных на веб-приложения, такие как SQL-инъекции, XSS, а также другие уязвимости на уровне приложений».

IV этап: Тестирование и дополнительная настройка защиты.

На последнем этапе была проведена серия тестов, включая стресс-тестирование системы и проверку на устойчивость к различным типам атак. Это позволило проверить работу платформы под нагрузкой, а также убедиться в эффективности внедренных защитных механизмов. Были внесены дополнительные настройки, чтобы обеспечить максимальную безопасность и бесперебойную работу образовательной платформы.

Дополнение: «Тестирование охватывало различные сценарии, включая симуляцию реальных DDoS-атак и нагрузочного тестирования, что позволило выявить слабые места и своевременно скорректировать настройки для обеспечения стабильной работы».

Сроки реализации:

1. Анализ систем и внедрение системы защиты:

Включает анализ всех узлов и компонентов инфраструктуры, настройку и внедрение системы защиты с обучением на существующем трафике клиента, а также обеспечение доступности обучающей платформы. Срок выполнения: 8 рабочих дней.

2. Усиление защиты и поддержка:

Завершение процесса обучения системы, постановка на мониторинг и предоставление технической поддержки для своевременной корректировки решений и оперативного реагирования на изменения. Срок выполнения: 2 месяца.

Результат

Полное устранение последствий DDoS-атак и восстановление работоспособности образовательной платформы: все функции платформы были восстановлены после атак, обеспечена стабильная работа сервисов и доступ к базе данных для студентов и преподавателей. Все уязвимости, использовавшиеся в атаках, были устранены, а также внедрены изменения в работу систем в рамках 1-го и 2-го этапов, направленные на улучшение инфраструктуры, повышение отказоустойчивости и предотвращение повторных атак.

Обеспечение высокого уровня безопасности для непрерывного функционирования образовательной платформы: внедрены комплексные меры безопасности, включая защиту от внешних и внутренних угроз, таких как DDoS-атаки, SQL-инъекции и другие уязвимости на уровне приложений. В рамках 1-го и 2-го этапов были произведены изменения в настройке и работе систем, а также внедрены новые подходы к мониторингу и логированию трафика. Это обеспечило бесперебойную работу платформы, защиту данных и готовность к оперативному реагированию на любые угрозы.

Краткий отзыв:

«Наша платформа для дистанционного обучения столкнулась с серьезной угрозой DDoS-атак, что поставило под угрозу стабильность работы системы. Несмотря на наличие защитных решений - проблемы продолжались, пока команда специалистов не взялась за задачу.

Мы убедились, что покупка и внедрение решений, таких как WAF или anti-DDoS, не всегда гарантирует должную защиту. Важно, чтобы эти системы были правильно настроены и эффективно интегрированы в существующую инфраструктуру. Команда продемонстрировала высокий уровень экспертизы, тщательно проанализировав нашу систему, внедрив улучшения и настроив мониторинг в реальном времени, что позволило не только устранить последствия атак, но и значительно усилить защиту на всех уровнях.

Этот опыт подтвердил, что экспертиза — это ключ к успешной защите, и что без глубокого понимания угроз и правильной настройки системы никакое решение не обеспечит надежной безопасности.»

Михаил, представитель Заказчика.

Состав команды

Сетевой инженер, Linux-инженер, инженеры, специализирующиеся на защите web-проектов

Инструменты команды

Observability, Grafana, Zabbix, StormWall защита от DDoS, Application Firewall от компании Positive Technologies (PT AF) и другие.