Год назад в Сочи закончились Зимние Олимпийские игры-2014 и зимние Паралимпийские игры-2014. В честь годовщины этих знаменательных мероприятий компания Positive Technologies решила рассказать о своём участии в защите онлайновых ресурсов ВГТРК, на которых проходила трансляция олимпийских игр. По соображениям безопасности, данное сотрудничество не афишировалось во время Олимпиады, однако сейчас уже можно обнародовать некоторые подробности.
220 тысяч онлайн-зрителей одновременно
Всероссийская государственная телевизионная и радиовещательная компания (ВГТРК), будучи ведущим СМИ страны-организат
Обеспечение бесперебойной работы этих ресурсов требовало нового подхода к безопасности в непростых условиях:
- Большой интерес к Олимпиаде со стороны злоумышленников: приложения ВГТРК подвергались постоянному шквалу из тысяч различных атак, от спам-ботов и сканеров уязвимостей до попыток кражи персональных данных. В таком потоке событий оператору защитной системы легко потерять действительно актуальные срабатывания.
- Защита приложений, реализованных с помощью разных технологий: от информационных порталов и интерактивных социальных сервисов до XML-шлюзов и вещательных платформ. Большинство сайтов позволяли смотреть потоковое видео (Flash или HLS) в прямом эфире или в записи, адаптируясь под конкретные пользовательские устройства.
- Работа под высокой нагрузкой. Максимальная нагрузка сайтов ВГТРК была зафиксирована во время хоккейного матча 13 февраля, когда более 220 тысяч онлайн-зрителей одновременно наблюдали игру России и Словении.
- Защита в режиме реального времени не оставляет времени на «разбор полетов» и переписывание исходного кода; требуется проактивное выявление угроз и моментальное закрытие брешей.
Корреляция и верификация
Для решения поставленной задачи ВГТРК обратилась к своему давнему партнеру, компании Positive Technologies. Эксперты компании предложили использовать межсетевой экран PT Application Firewall — как для защиты новых приложений, разработанных специально под Сочи-2014, так и для обеспечения безопасности уже существующих порталов, включая Sportbox.ru, Vesti.ru, новостной сайт «Россия-24» и веб-приложения центральных телеканалов «Россия-1» и «Россия-2».
Интеллектуальные механизмы PT Application Firewall, включающие автоматическую верификацию уязвимостей и корреляционный анализ, позволили существенно снизить нагрузку на операторов защиты. Благодаря группировке сходных событий и выявлению цепочек развития атак, ИБ-эксперты ВГТРК смогли сконцентрировать внимание на самых важных происшествиях и оперативно реагировать на них.
Кроме собственных аналитических механизмов PT Application Firewall, в проекте были задействованы возможности интеграции межсетевого экрана с другими системами безопасности (SIEM), что позволило централизованно обрабатывать события из различных источников в рамках корпоративного Центра управления безопасностью (SOC).
Защита 24 часа
Только за первый месяц работы на Олимпиаде межсетевой экран PT Application Firewall позволил своевременно обнаружить серьезные атаки на тринадцать веб-сайтов медиахолдинга: злоумышленники пытались нарушить работу пользовательских приложений или использовать их для проникновения во внутреннюю сеть компании ВГТРК. В частности, удалось предотвратить атаку, которая грозила закончиться утечкой большого объема конфиденциальных данных.
«Чтобы обеспечить круглосуточную защиту и доступность наших веб-ресурсов, нам нужен был инструмент, который умеет выявлять угрозы в режиме реального времени, работая с огромными потоками данных, - говорит Дмитрий Сафронов, начальник отдела защиты информации ВГТРК. - Раннее выявление угроз при помощи PT Application Firewall существенно повысило безопасность наших ресурсов. У нас появилась возможность предотвращать атаки до того, как они приведут к серьезным последствиям. Мы планируем и дальше использовать продукты Positive Technologies для защиты приложений медиахолдинга».
Напомним, что ранее в прошлом году об успешном внедрении защитной системы PT Application Firewall сообщилатакже компания «МегаФон», один ведущих российских операторов связи. В данном случае межсетевой экран используется для защиты онлайновых сервисов телеком-оператор
Подробнее о этой защитной системе можно будет узнать на конференции Positive Hack Days V (26-27 мая, Москва), в частности увидеть детальную презентацию межсетевого экрана PT Application Firewall и попробовать обмануть его в рамках хакерского конкурса «Обход WAF».
