Компания Servicepipe, российский разработчик решений для анализа и фильтрации нежелательного трафика, представила обновленную версию адаптивной системы защиты IT-инфраструктуры от DDoS-атак и сетевых угроз DosGate и анализатора сетевого трафика FlowCollector. Ключевое изменение релиза — защита стала не только более точечной, но еще и наглядной.
В новой версии DosGate сделан акцент на анализе TLS-сессий — этапе, на котором клиент устанавливает защищенное HTTPS-соединение с сервером. Именно на этом уровне автоматизация принципиально отличается от поведения живых пользователей. У реальных людей TLS-отпечатки (набор технических характеристик и их порядок, которые передаются при инициации TLS-соединения) постоянно меняются — на них влияют версия браузера, операционная система, обновления, расширения и даже контекст работы. У живых пользователей TLS-отпечатки, как правило, различаются и не повторяются массово. С ботовым трафиком ситуация иная. Специалисты Инженерного центра реагирования неоднократно фиксировали при DDoS-атаках тысячи соединений с разных IP-адресов с полностью идентичным TLS-отпечатком. Анализ TLS-сессий позволяет наглядно увидеть подобные аномалии и сделать вывод, что соединения создает не множество реальных пользователей, а один и тот же автоматизированный инструмент. Что позволяет специалистам по ИБ принимать точечные решения и блокировать источник атаки, не ограничивая доступ для легитимного трафика.
Для удобства работы в DosGate добавлена таблица JA3/JA4-TLS-отпечатков, что позволяет отслеживать подобные аномалии еще и визуально.
Еще одно изменение интерфейса — активные атаки теперь автоматически выводятся в верхнюю часть дашборда, чтобы специалисты по информационной безопасности видели угрозы сразу при открытии системы.
Релиз также включает ряд улучшений для эксплуатации в крупных и распределенных инфраструктурах: расширенную работу с логами популярных серверов и балансировщиков, улучшенную синхронизацию узлов, инструменты мониторинга нагрузки, интеграцию с корпоративными системами аутентификации.
«Важно не просто заблокировать атаку — сделать это так, чтобы легитимные пользователи даже не заметили, что что-то произошло. Мы видим разницу между TLS-отпечатками людей и ботов, и используем эти знания для еще более точной фильтрации трафика», — отметил директор по продуктам Servicepipe Михаил Хлебунов.
.png)
