DobryMechanik.pl skorzystał z ochrony Grey Wizard – case study

Dzięki zastosowaniu ochrony Grey Wizard portal dobrymechanik.pl - największy serwis z opiniami na temat mechaników w Polsce - pozbył się problemów z funkcjonalnością serwisu, złośliwymi atakami oraz próbami włamań. Poniżej prezentujemy case study zastosowania tarczy przed cyberatakami na przykładzie tego serwisu.


Strona dobrymechanik.pl to największy serwis z opiniami na temat mechaników w Polsce. Dzięki funkcjonalności serwisu mamy możliwość  wyboru dobrego mechanika dla swojego pojazdu i wystawienia opinii jak przebiegała naprawa. Serwis umożliwia również zarezerwowanie terminu naprawy online. O jakości serwisu  i jego sukcesie świadczyć mogą liczby: 66276 opinii o 29504 warsztatach. Co miesiąc stronę odwiedza 250 tysięcy kierowców, którzy mają możliwość wyboru odpowiedniego warsztatu.  Przy takiej liczbie użytkowników ważne jest, aby serwis mógł sprostać oczekiwaniom użytkowników i był wyposażony w skuteczną ochronę przed cyberatakami, którą gwarantuje Grey Wizard.

Przed wdrożeniem ochrony serwis borykał się z problemem złośliwych botów, które kradły posiadany content oraz szukały luk w oprogramowaniu generując sporo niepotrzebnego  ruchu - wysycały łącze internetowe. Pojawiały się również próby włamań, które stanowiły duże zagrożenie dla zawartości serwisu. Wspomniane problemy zwykle prowadziły do spowolnienia działania strony dla klientów serwisu. Dzięki zastosowaniu ochrony Grey Wizard ataki mogły być skutecznie blokowane zarówno na poziomie aplikacyjnym, jak i sieciowym. Systemy cały czas uczą się nowych zagrożeń i są dodawane do bazy wiedzy, dzięki czemu użytkownik ma stały podgląd na to co dzieje się na stronie. Również analiza w czasie rzeczywistym pozwala podejrzeć najważniejsze dane dotyczące strony i daje możliwość śledzenia szczegółów dotyczących incydentów.

Panel ze statystykami w trybie rzeczywistym 

Mechanizmy ochronne działające na poziomie aplikacyjnym potencjał mają ogromny. W tym wpisie omówimy kilka przykładowych zastosowań WAF z sukcesem wykorzystywanych na stronie dobrymechanik.pl.

Badania firmy Incapsula (http://bit.ly/1M1Hss6) dowodzą, że ruch na stronach internetowych generowany przez autentycznych użytkowników nie przekracza 44%, reszta pochodzi od rozmaitych narzędzi sieciowych. Tylko 27% stanowią „dobre” roboty, które skanują strony, by później umieścić je w indeksach popularnych wyszukiwarek, takich jak Google, Bing, Yahoo czy Yandex. Pozostałe 29% ruchu jest ukierunkowane na wyrządzenie określonych szkód. 3,5% generują narzędzia wspomagające wyszukiwanie luk w aplikacjach – SQLmap, Nikto, Nessus itp. Wykorzystanie znalezionych w ten sposób podatności może polegać na wysyłaniu odpowiednio spreparowanych zapytań w celu sparaliżowania usługi lub uzyskania dostępu do wrażliwych danych. Na uwagę zasługują także scrapery (3%), czyli skrypty, które skanują strony w celu kradzieży treści lub zbierania adresów e-mail (odsprzedawanych następnie spamerom). Zautomatyzowany spam, o dziwo, generuje tylko 0,5% transferu. Inne narzędzia sieciowe (22%) badacze sklasyfikowali jako „impersonators”. Do kategorii tej trafiły m.in. boty generujące przesadnie dużą ilość zapytań, co negatywnie wpływa na wykorzystanie zasobów serwera i może stanowić bezpośrednią przyczynę odmowy dostępu do usługi, czyli DoS. Warto także pamiętać o skryptach stosowanych do sztucznego zawyżania liczby odsłon i klików, które narażają reklamodawców na znaczne straty finansowe. 

Panel przedstawiający najnowsze incydenty bezpieczeństwa

Wykorzystując Web Application Firewall, możemy przeciwdziałać opisanym zagrożeniom. Rozwiązanie proponowane przez Grey Wizard jest przystosowane do wykrywania typowych robotów sieciowych, zarówno tych „dobrych”, które nie są blokowane, jak i takich, które skanują strony i kopiują zamieszczone na nich treści (np. Scrapy, Nutch, Surveybot). Są one eliminowane przy użyciu statycznych reguł kompatybilnych z otwarto źródłowym projektem ModSecurity oraz zdefiniowanych przez twórców WAF na potrzeby chronionej aplikacji. Firewall może działać zarówno w pozytywnym, jak i negatywnym modelu bezpieczeństwa. Ten pierwszy (whitelist) polega na obsługiwaniu tylko takich żądań, które zostaną uznane za poprawne. Drugi (blacklist) wymaga zdefiniowania listy niebezpiecznych treści, które zostaną zablokowane, zmienione lub odnotowane w logach. Umożliwia to monitorowanie aplikacji pod kątem anomalii i nienaturalnych zachowań użytkowników. Dzięki temu WAF może skutecznie blokować zarówno próby skanowania całego serwisu w celu kradzieży treści, jak i sztuczne podbijanie statystyk wyświetleń określonych podstron.

Ograniczenie podejrzanej aktywności może zapobiec nieautoryzowanemu dostępowi do poufnych danych. Dobrze skonfigurowany WAF bez problemu wykryje przypadki przeglądania typowych miejsc, w których nierozważni programiści mogą takie dane zostawiać. Zablokuje też bardziej przemyślane ataki, np. path-traversal polegający na próbie wyjścia z podstawowego katalogu poprzez doklejenie do zmiennej (interpretowanej jako ścieżka katalogu) określonego ciągu znaków. Bazując m.in. na mechanizmach reputacji, WAF sprawdza integralność zapytań HTTP. To pozwala mu zapobiegać przejęciu kontroli nad aplikacją w wyniku ataków SQL Injection (polegających na dodaniu kodu SQL do zapytań) czy Cross-Site Scripting (inaczej XSS, które opierają się na użyciu w zmiennej kodu JavaScript). Reguły tworzone przez twórców firewalla uwzględniają także inne błędy w zabezpieczeniach opisane w dokumencie OWASP Top 10 (http://blog.greywizard.com/2015/09/10-najpowazniejszych-zagrozen-dla.html). Co istotne, reguły te są konstruowane w sposób selektywny, tak aby zminimalizować częstotliwość fałszywych alarmów.


Brak komentarzy :

Prześlij komentarz