Компания StormWall получила золото на конкурсе Globee Cybersecurity Awards 2023



StormWall наградили золотой премией в номинации «Решения защиты от DDoS» конкурса Globee®Cybersecurity Awards. Это одна из ведущих бизнес-премий мира, Globee® Awards — ежегодный конкурс, организуемый в целях повышения осведомленности о проблемах киберзащиты, в 2023 году он прошел в 19-й раз.

Награда Globee®Cybersecurity Awards присуждается компаниям из сферы кибербезопасности за лучшие и современные решения защиты в разных категориях: обнаружения угроз, облачная безопасность, конфиденциальность данных, управление рисками и прочих.

Решение о награждении на GlobeeCybersecurity Awards 2023 принимали более 250 судей со всего мира разных направлений кибербезопасности. Подробнее о мероприятии — на официальном сайте GlobeeAwards

Компания StormWall участвовала в годовом собрании АРПП «Отечественный софт» и приняла поздравления от ассоциации с юбилеем

StormWall — участник ассоциации разработчиков (АРПП) «Отечественный софт». 19 апреля 2023 года состоялось ежегодное подведение итогов объединения, на котором компанию StormWall поздравили с 10-летним юбилеем.

Событие состоялось на площадке Торгово-промышленной палаты РФ, среди приглашенных — более 170 представителей агентств, разрабатывающих ПО, главы профильных ведомств, специалисты в области ИТ и СМИ. Компанию StormWall представил Сергей Лахин, коммерческий директор.


Максут Шадаев подчеркнул открывшиеся пути для улучшения показателей отрасли и указал на значимость грантов как о временных вспомогательных мерах. По мнению министра, одним из способов повышения востребованности отечественного ПО могут быть дополнительные целевые показатели для госорганизаций.

Годовые показатели динамики импортозамещения ПО представил в своем докладе Илья Массух. Так, расходы на российское ПО увеличились более чем на 70%, а зарубежный софт стали покупать меньше на 25%. Наиболее заметен спрос на замещение средств виртуализации, серверного и связующего ПО, офисных пакетов, ERP, CAD.

Подробнее об итогах собрания и выступлениях других спикеров — на официальном сайте ассоциации.

StormWall благодарит организаторов мероприятия за атмосферу и возможность обсудить вопросы объединения передовых разработчиков ПО и их влияния на ландшафт ИТ-отрасли. Также команда StormWall признательна за поздравления от АРПП с юбилеем.

Дайджест нововведений в личном кабинете StormWall

Прозрачные настройки защиты от DDoS-атак, больше полезных функций и внимание к деталям — с конца прошлого года StormWall дополнил личный кабинет рядом новых возможностей. Рассматриваем их подробно.

Защита сайтов от DDoS
Защита сайта от DDoS происходит на всех уровнях модели OSI, а в личном кабинете StormWall организован полный доступ к аналитике в режиме реального времени и интерактивным проверкам. Здесь каждый пользователь может самостоятельно задавать удобные для его проекта параметры защиты.

Greylist
К уже существующим стандартным White- и Black-листам в личном кабинете и через API добавлена возможность настройки Grey-листов. Внесенные в этот список IP-адреса и сети могут быть защищены по параметрам: Redirect, JS-валидация или CAPTCHA.



Примеры использования Grey-листов:
  • подозрительные IP-адреса, если при этом нет серьезных оснований для их блокировки;
  • тестирование уровней защиты без активации защиты для всего сайта (достаточно внести в список IP-адреса тестировщиков DDoS-защиты и не беспокоиться, что это отразится как-то на остальных пользователях сайта).
Если раньше для проверки DDoS-защиты требовалось выбирать время и активировать более высокий уровень проверок для всего сайта, то сейчас проверить работу сайта под защитой можно без этого, добавив IP проверяющего в Greylist.

Location Filters
Удобный счетчик по конкретным локациям (URL) домена, дает возможность указать количество обращений с определенными методами за определенный отрезок времени, а при превышении этого лимита — выполнить заданное действие. Позволяет точечно определять допустимое количество запросов к определенным URL сайта.

Нововведение поможет блокировать ботов, даже если они обладают полным стеком браузера и могут обходить другие проверки. То есть бан будет введен для ботов с продолжительной активностью или, к примеру, при получении ими ошибки 403 определенное количество раз.


Примеры использования Location Filters:
  • защита от брутфорса (взлома учетных записей путем подбора паролей к ним);
  • определение запросов ботов или людей с сервисов anti-CAPTCHA за счёт указания максимального числа запросов за продолжительный интервал времени;
  • блокировка доступа в административную систему сайта.
Дополнительные возможности Location Filters:
  • поддержка API, возможность настройки автоматизации,
  • фильтрация по типу контента, http-методам;
  • субъект обсчёта uid (уникальный идентификатор, присвоенный пользователю системой) и IP-адрес инициатора запроса.
  • Действия, которые можно применить в Location Filters — бан посетителя либо логирование его запросов.
  • Цепочки правил HTTP (HTTP Rule Chains)
Новая функция* личного кабинета, ранее доступная только для решений класса WAF, дает возможность выстраивать целый «конструктор» правил по протоколу HTTP — с многоуровневыми проверками, учетом заголовков, локаций, количества запросов в заданный интервал.

Проверка действует по следующему принципу: запросы пропускаются через цепочку правил, при этом можно выбирать действия, совершаемые с запросом как при выполнении, так и при невыполнении условий: пропустить, заблокировать, либо обработать в следующей цепочке. Такая древовидная структура позволяет создавать более надежную защиту от ботов, парсеров и средств автоматизации обхода защиты.

*Обратите внимание, что эта возможность доступна только в тарифе Enterprise.


Поддержка сертификатов ГОСТ TLS и российских криптоалгоритмов
Мы реализовали полную поддержку SSL-сертификатов, выданных российскими УЦ и ГОСТ-криптоалгоритмов, поддерживаемых отечественными браузерами.

Теперь в личном кабинете можно загрузить одновременно ГОСТ-овый и обычный сертификат — сайт будет без ошибок открываться и в российских браузерах (и работать с ГОСТ-шифрами) и в обычных (со стандартным TLS/SSL).

Защита сервисов TCP/UDP и сети по BGP: настройка black/white листов
Самостоятельно редактируйте списки разрешенных/запрещенных IP-адресов или сетей: например, добавляйте в исключения защиты IP-адреса партнерских систем, удаленных офисов для пользователей VPN с определенных адресов.


Все перечисленные новые опции в личном кабинете можно настраивать самостоятельно или с помощью техподдержки. Возможна автоматизация функций и работа с бэкендом приложений и сервисов с помощью StormWall API.

StormWall постоянно совершенствует свою платформу фильтрации от DDoS-атак и развивает услугу в сторону подробной аналитики и максимальной управляемости. Так, мы планируем увеличить объемы очистки сети, добавить возможность настройки защиты от других типов ботов — и еще многое другое. Следите за обновлениями на официальном сайте и в социальных сетях.

Атаки на DNS: типы и меры защиты



Серверы DNS нередко становятся целями кибератак, что неудивительно: система доменных имен (DNS) является одним из ключевых компонентов Интернета, и сбои на ее узлах оказываются весьма болезненными как для их владельцев, так и для их пользователей. Среди наиболее частых на сегодня видов киберударов по DNS — DDoS-атаки.

Цель DDoS-атак на DNS — добиться того, чтобы DNS-серверы не смогли обработать, по крайней мере, заметную часть поступающих к ним запросов, в результате чего клиенты этих серверов не могут получить доступ к сайтам по их доменным именам. Если атакованный DNS-сервер обеспечивает доступ к интернет-ресурсам в конкретном дата-центре, то доступ извне к этим ресурсам по их доменным именам тоже будет ограничен.

Отказ DNS-сервера в обслуживании может достигаться одним из двух способов. Первый, самый банальный — переполнение канала, связывающего сервер DNS с Интернетом. Второй способ, более хитрый — создание мощного потока нелегитимных запросов к DNS-серверу, обработка которых приводит к сильному снижению его производительности. Если мощности сервера окажется недостаточно, он может и вовсе на какое-то время стать недоступным.

Согласно статистике нашей компании, в первом полугодии 2022 года атаки на DNS занимали второе место по общему числу DDoS-атак в России. В третьем квартале они переместились на «почетное» третье место. Как видим, угроза DDoS-атак остается актуальной, поэтому владельцам DNS-серверов и клиентам сервисов DNS нужно быть постоянно готовыми к новым подобным атакам.

Виды DDoS-атак на серверы DNS
На практике чаще всего встречаются три вида атак этого типа: DNS-флуд, атаки на DNS с отражением (DNS Reflection) и с усилением (DNS Amplification).
  • DNS-флуд строится на генерации потока нелегитимных запросов к DNS-серверу, выбранному в качестве жертвы. Мощность потока при этом должна быть достаточной, чтобы затруднить работу DNS-сервера или вовсе исчерпать его вычислительные ресурсы. Для организации атаки злоумышленники используют ботнеты, которые отправляют пакеты (зачастую некорректные) с запросами, указывая при этом сфальсифицированные (нередко сгенерированные случайным образом) IP-адреса. DNS-сервер пытается определить, что с такими запросами делать и каким образом их обработать, и расходует на эти цели существенную часть своих ресурсов — вплоть до полного их исчерпания. Отметим, что в этом типе DDoS-атак применяется прямое воздействие ботнетов на сервер DNS, поэтому такие атаки относят к категории симметричных.
  • Атаки на DNS с отражением организуются путем отправки поисковых запросов не на сам сервер-жертву, а на сторонние DNS-серверы, имеющие уязвимости, указывая в качестве обратного адреса IP-адрес сервера-жертвы. В результате на DNS-сервер, выбранный в качестве жертвы, приходит поток ответов, мощность которого оказывается во много раз больше, чем совокупная мощность исходного потока сфальсифицированных запросов к сторонним DNS-серверам. Таким образом, в атаках с отражением используется опосредованное, асимметричное DDoS-воздействие на DNS-сервер.
  • Атаки на DNS с усилением представляют собой усовершенствованный вариант DNS-атак с отражением: в них создается поток «отраженных» пакетов, во многие десятки раз больший по мощности, чем исходный поток поддельных запросов к сторонним DNS-серверам. Такой эффект может быть достигнут, например, путем отправки сфальсифицированных запросов определенного вида на сторонние DNS-распознаватели (DNS resolvers). Каждый из ответов будет в 60-70, а то и более раз длиннее исходного. При достаточной мощности исходного потока сфальсифицированных запросов ответы, отправленные к серверу-жертве, могут переполнить весь его канал связи с Интернетом. DDoS-атаки на DNS с усилением, также как и атаки с отражением, относятся к категории асимметричных.
Примеры DDoS-атак на DNS
Одна из недавних громких атак на DNS-серверы началась в конце февраля 2022 года, когда политически мотивированные злоумышленники нацелились на инфраструктуру компании RU-CENTER — одного из крупнейших в России регистраторов доменных имен и хостинг-провайдеров. Последствия этой атаки в скором времени почувствовала не только сама компания, но и многие ее клиенты, с которыми работаем и мы: их сайты были то доступны, то недоступны, причем такая нестабильность наблюдалась в общей сложности несколько суток. Наши специалисты помогли компании RU-CENTER восстановить работоспособность ее DNS-серверов, а подключение наших сервисов защиты позволило обеспечить их непрерывную доступность в дальнейшем.

Как видим, угрозы DDoS-атак на DNS-серверы вынуждены учитывать и клиенты организаций, владеющих автономными сетями, и, конечно же, сами эти организации. Что важно, этим атакам могут подвергнуться не только на регистраторы доменных имен, провайдеры хостинговых и облачных сервисов, но и, например, банки. Так, одними из первых в конце февраля 2022 года DDoS-ударам подверглись именно их DNS-серверы — злоумышленники рассчитывали таким образом вывести из строя сети банкоматов.

Риски DDoS-атак для владельцев DNS-серверов и их клиентов
Клиенты успешно атакованного DNS-сервера сталкиваются с нестабильностью или полным отсутствием доступа к сайтам по их доменным именам. Ситуация для клиентов усугубляется тем, что они не могут быстро подключить DDoS-защиту. Из-за того, что атакованный DNS-сервер не справляется с оперативной обработкой легальных запросов, замена прежних IP-адресов на защищенные от DDoS-атак может длиться по несколько часов, а не несколько минут, как обычно.

Владельцы незащищенного DNS-сервера могут столкнуться не только со сбоями в бизнес-процессах и простоями своих сотрудников, но также с претензиями и исковыми заявлениями своих клиентов. Часть из них наверняка предпочтет перейти к конкурентам, чьи сервисы DNS более надежно защищены от DDoS-атак. Какая-то часть непременно расскажет о сбое в своих новостях, блогах и соцсетях, что для владельцев DNS-серверов чревато репутационными издержками. При определенных условиях они вполне способны обернуться реальными финансовыми потерями.

Способы повышения устойчивости DNS-серверов к DDoS-атакам
Для тех, кто пользуется внешними сервисами DNS, главным способом повышения устойчивости к DDoS-атакам на DNS является резервирование этих сервисов. Чтобы его обеспечить, нужно подключиться, как минимум, к двум провайдерам сервисов DNS, причем хотя бы один из этих сервисов должен быть надежно защищен от DDoS-атак.

Владельцам собственных серверов DNS необходимо предпринять целый ряд мер. Прежде всего, нужно найти провайдера сервисов DDoS-защиты, умеющего фильтровать атаки на DNS. Получив от клиента IP-адреса его DNS-серверов, этот провайдер установит подключение и запустит BGP-сессию, в которой клиент анонсирует нужные IP-префиксы в сеть провайдера. Получив анонсы, провайдер их примет и обеспечит фильтрацию трафика.

Следует обратить внимание на то, что далеко не все провайдеры защиты умеют ограждать DNS-серверы от DDoS-рисков. Наиболее компетентные, такие как StormWall, обладают богатым арсеналом способов фильтрации DNS-трафика от нелегитимных пакетов и умело применяют их в зависимости от особенностей конкретного клиента.

Многие другие наши рекомендации вытекают из сформулированных ранее принципов защищаемости от DDoS-атак. Чтобы у злоумышленников было как можно меньше «полезной» информации о ваших ресурсах, нужно, во-первых, ограничить круг лиц, имеющих права системного администратора для доступа к серверам DNS. Важно при этом, чтобы те, кто имеют такие права, могли получать доступ только изнутри сети либо через VPN. Все неиспользуемые сетевые протоколы, сервисы и прочие функции DNS-серверов нужно отключить.

Кроме того, необходимо добиться устойчивости работы DNS-серверов в условиях слабых атак. Для этого нужно, чтобы достаточным запасом производительности и пропускной способности обладали не только сами серверы DNS, но и связанные с ними инфраструктурные компоненты, например балансировщики нагрузки серверов. Повысить отказоустойчивость DNS-серверов поможет и их размещение в разных дата-центрах. При этом желательно, чтобы они относились к разным сегментам сети и имели по несколько путей маршрутизации трафика, чтобы злоумышленники не смогли добиться отказа в обслуживании DNS-серверов простым переполнением их каналов доступа в Интернет.

Важно также отключить рекурсивную обработку запросов на DNS-серверах, поскольку злоумышленники могут использовать ее для спуфинга. Кроме того, полезно отключить перенос доменных зон на ваши DNS-серверы и запретить динамическое обновление зон DNS.

Как мы уже сказали, владельцам автономных сетей нужно быть постоянно готовыми к DDoS-атакам на них. А это означает, что необходимо заранее разработать план аварийного восстановления атакованных DNS-серверов — он может потребоваться, например, в случае, если атака не просто привела к деградации их производительности, но и сопровождалась спуфингом или другими действиями, нарушающими целостность их баз данных. И, очевидно, нужно заранее готовить специалистов к подобным ситуациям, чтобы они четко знали, кто и что должен делать, если они случатся.

stormwall.pro

Импортозамещение экосистемы TLS/SSL от StormWall



В 2022 году владельцы части российских веб-ресурсов в силу ряда причин, от санкционных до регуляторных, столкнулись с необходимостью использования SSL-сертификатов, выданных российскими центрами сертификации и рекомендацией использования отечественных алгоритмов шифрования (т.н. ГОСТ TLS). Особенно это актуально для госструктур и банковской сферы.

Однако поддержкой российских УЦ и алгоритмов пока может похвастаться относительно небольшой процент браузеров (среди которых Яндекс.Браузер, Chromium Gost, VK Atom), а также пользователи со специально установленным криптопровайдером. Пользователи же распространенных Chrome, Safari, Firefox и др., в которых нет поддержки российских криптоалгоритмов при использовании TLS вынуждены видеть сообщение об ошибке (см. ниже).



Что это значит?
TLS (и его более известный предшественник SSL) – это набор криптографических стандартов, которые обеспечивают безопасность Интернета путем проверки подлинности ресурса и шифрования данных, передаваемых между браузером и сервером. Таким образом, снижается вероятность кражи данных при их пересылке, а также существенно усложняются атаки типа “фишинг” и “Man in the Middle (MITM)”.

До недавнего времени многие российские предприятия приобретали и обновляли сертификаты для сайтов у зарубежных компаний, например DigiCert (GeoTrust, Thawte, RapidSSL), Sectigo, IdenTrust или GlobalSign. Однако в настоящий момент для части пользователей затруднена либо ограничена покупка таких сертификатов, а в некоторых отраслях необходима установка российского TLS-сертификата.

Для этого в России создается своя экосистема, позволяющая проверять подлинность цифровых сертификатов при соблюдении принципов импортонезависимости, предполагающая использование собственных удостоверяющих центров и алгоритмов (ГОСТ Р 34.10-2012).

Как работает решение StormWall
В первую очередь, наши разработчики реализовали полную “нативную” поддержку серверных ГОСТ SSL сертификатов, выданных УЦ (алгоритм подписи ГОСТ Р 34.10-2012). Также мы реализовали поддержку блочных шифров “Кузнечик” и “Магма”, чтобы полностью удовлетворить требования регуляторов.

Следующим шагом была реализация одновременной поддержки ГОСТ- и стандартных SSL/TLS-сертификатов, а также обоих наборов шифров, которую можно включить для одного и того же сайта.

Система защиты StormWall во время “рукопожатия” HTTPS определяет набор поддерживаемых шифров. Если клиент поддерживает ГОСТ — используется ГОСТ-сертификат и шифрование, а если нет — стандартные механизмы SSL/TLS. Таким образом, все пользователи могут получить доступ к ресурсу: ниже пример того, как для одного и того же сайта отображаются разные сертификаты в зависимости от браузера.


Информация о сертификате сайта в другом популярном браузере, на примере Google Chrome


Информация о сертификате сайта в российском браузере

Установить российский SSL-сертификат, можно самостоятельно в личном кабинете. Чтобы включить его одновременную работу со стандартным сертификатом TLS (в т.ч., выданным Let's Encrypt), обратитесь в техническую поддержку StormWall, которая работает круглосуточно.
stormwall.pro

95-й перцентиль: почему его любят и интернет-провайдеры, и их клиенты и в чем его значение для защиты от DDoS-атак



Хотя клиенты интернет-провайдеров (ISP) арендуют каналы связи с вполне определенной полосой пропускания, счета им нередко выставляются не за всю ее ширину, а за фактически потребленную величину полосы пропускания. У ISP-провайдеров этот метод известен как пакетный биллинг (Burstable Billing). Причем, как правило, учитывается эта фактически потребленная полоса пропускания не по самому высокому из показателей, зафиксированных в ходе замеров трафика, а с отбрасыванием 5% максимальных – по наибольшему из 95% оставшихся значений. Этот метод в телекоме как раз и называют 95-м перцентилем. В данной статье приведен пример расчета 95-го перцентиля именно в StormWall, у разных провайдеров алгоритм вычисления может отличаться.

Измерения фактической полосы пропускания могут проводиться, например, каждые 5 минут в течение месяца: зафиксированный за эти минуты объем трафика делится на 300 секунд – так получается среднее значение фактической полосы пропускания за эти 5 минут. Затем статистика этих значений анализируется, 5% самых высоких показателей отбрасываются, и клиенту выставляется счет на основе максимума из оставшихся 95% значений. Как при этом учитывается входящий и исходящий трафик – по отдельности или по совокупности, зависит от метода расчета, который применяет конкретный ISP-провайдер.



Очевидно, объемы потребляемого трафика распределяются по времени неравномерно: их значения будут разными в течение суток (ночью, как правило, обмен данными не так велик, как днем), месяца (в выходные, предпраздничные и праздничные дни оно будет не таким, как в другие дни) и года (поскольку сезонные колебания бывают у очень многих компаний). Но если обобщить и проанализировать значения фактически использованной в течение месяца полосы пропускания, то выяснится, что их статистика будет близка к нормальному распределению Гаусса. И, кстати, 50-й перцентиль совпадает с медианой – серединой кривой Гаусса.

Подобные оценки с применением перцентилей можно встретить в различных отраслях и областях применений: N-й перцентиль указывает на то, что доля случаев (измерений, ситуаций и пр.), в которых значения оцениваемого показателя не превышают определенной величины, составляет N/100.

Почему 95-й перцентиль выгоден и ISP-провайдерам, и их клиентам
Почему в телекоме так любят именно 95-й перцентиль? На самом деле иногда ISP-провайдеры берут в расчет 90% значений фактически потребленной полосы пропускания, реже 98%, при этом, соответственно, отсекаются 10% или 2% максимальных. Но в большинстве случаев выбирается именно 95% или 95-й перцентиль как некий разумный компромисс между интересами ISP-провайдера и его клиентов.

И провайдеры, и их клиенты считают экономически оправданным и вполне справедливым взимать плату за 95% фактически потребленной полосы пропускания: клиенты платят за фактически потребленную полосу пропускания, к тому же при таком подсчете отсекаются всплески, вызванные кратковременными случайными факторами (в том числе DDoS-атаками), и остаются значения, которые фиксируются систематически, в течение большей части времени измерений. Таким образом, 95-й перцентиль становится для клиента своего рода страховкой от дополнительных расходов, связанных с непредвиденным кратковременным увеличением трафика.

Со стороны ISP-провайдера 95-й перцентиль обеспечивает вполне приемлемый бонус для клиента, поскольку 5% пиковых значений у одного из клиентов наверняка будут скомпенсированы более низкими значениями объемов трафика у других клиентов и не потребуют от провайдера дополнительных затрат.

Практическое значение 95-го перцентиля для клиентов
На практике величина 95-го перцентиля означает, что в течение 5% времени (а это 36 часов в месяц) фактическая ширина потребляемой полосы пропускания может превышать ту величину, которая будет учтена ISP-провайдером при выставлении счета. В эти 5% времени клиент может отправить или принять гораздо больше трафика, не неся при этом дополнительных расходов.

Приведем пример. Предположим, некая компания электронной торговли приобрела доступ в Интернет с полосой пропускания в 1000 Мбит/с по цене $2700/мес., при этом ее превышение, согласно тарифа, должно оплачиваться из расчета $2,7/Мбит. В очередном месяце компания провела сезонную распродажу, в результате чего наблюдались пики посещаемости длительностью по несколько часов, а в конце месяца на серверах компании прошло скачивание обновлений. Из-за этих событий несколько раз в течение месяца наблюдались кратковременные увеличения полосы пропускания, иногда достигавшие 9500 Мбит/с (DDoS-атаки при этом не учитывались). По итогам месяца все значения реально потребленной полосы пропускания, взятые по средним показателям за каждые 5 минут, провайдер свел в таблицу с N=8640 значениями (если дней в месяце 30), затем отсортировал ее по убыванию, отрезал M=432 (5%) верхних значений и взял максимальное из оставшихся значений (433-е) величиной X. Этот X и есть 95-й перцентиль для этого конкретного случая. Допустим, X=1135 Мбит/с. В этом случае доплата составила (1135 – 1000) * 135₽ = 135 * 135₽ = 18 225₽.

Если бы интернет-провайдер не использовал 95% в своих расчетах, а просто брал максимальное значение реально потребляемой полосы пропускания, то компании пришлось бы доплатить (9500 – 1000) * 135₽ = 1 147 500₽, что для не очень крупного интернет-магазина весьма ощутимая сумма. Либо пришлось бы ограничить полосу пропускания до 1000 Мбит/с, что привело бы к медленной работе, а то и частичной недоступности ресурсов в часы наивысшей нагрузки – как раз тогда, когда доступность важнее всего.

Причинами сильного кратковременного увеличения трафика могут стать и DDoS-атаки. И если общая их продолжительность превысит 5-процентную квоту в 36 часов, и при этом интернет-ресурс не подключен к DDoS-защите, либо сервисы Anti-DDoS не смогут отфильтровать атаки на все 100%, то объем созданного DDoS-атаками нелегитимного трафика отразится на общей статистике значений фактически потребляемой полосы пропускания и приведет к увеличению расходов на каналы связи.

Показания 95-го перцентиля можно использовать и при планировании сетевых мощностей. Например, если значение 95-го перцентиля составляет около 20-30% от пропускной способности сетевых устройств, то при желании вполне можно увеличить их нагрузку еще на 10-15%. Если же величина 95-го перцентиля приближается к 65-70% их мощности, то стоит задуматься о повышении производительности сетевого оборудования. Аналогичным образом 95-й перцентиль помогает планировать и полосу пропускания арендуемых каналов связи.

Заметим, что проведение подобных оценок имеет очень важное значение с точки зрения повышения устойчивости интернет-ресурсов к DDoS-рискам: и мощность сетевых устройств, и ширину арендуемой полосы пропускания каналов связи следует наращивать заранее, в противном случае есть опасность того, что нелегитимный трафик от достаточно мощной DDoS-атаки полностью их исчерпает, не давая возможности пропускать хотя бы какую-то часть легитимного.

Новая точка присутствия StormWall в Сингапуре

Мы рады сообщить об открытии своей шестой точки фильтрации в партнерстве с облачным провайдером IDCloudHost. Новая локация будет располагаться в центре обработки данных Equinix SG3 в Сингапуре – крупнейшем интернет-узле в Юго-Восточной Азии, обеспечивающим соединения со сверхнизкой задержкой.



Наши партнёры IDCloudHost – хостинговая компания, предоставляющая облачные услуги, IaaS, а также инструменты веб-разработки. Команда IDCloudHost добилась значительного роста на рынке IT в Индонезии и Сингапуре за счёт высокого профессионализма и безупречного качества. Запуск совместного проекта мы рассматриваем как одно из обязательств двух передовых компаний по снижению рисков безопасности для пользователей облачных служб в Юго-Восточной Азии.

Клиентам StormWall дополнительная точка присутствия позволит уменьшить задержки в этом регионе и повысит общую емкость сети фильтрации для отражения мощных атак.

На Азиатско-Тихоокеанский регион регулярно обрушиваются массированные DDoS-атаки. В третьем квартале 2022 года, например, Сингапур подвергся колоссальному количеству DDoS-атак L3/4, это больше чем где-либо еще в мире. Наша новая точка фильтрации даст возможность предложить компаниям в Азиатско-Тихоокеанском регионе усиленную защиту веб-сайтов и сервисов TCP/UDP, а также сети по BGP и защиту от хакерских атак и ботов (WAF). Уникальная система StormWall Triple Filter эффективно обнаруживает трафик DDoS-атаки и блокирует его доступ к серверу без потери легитимных пакетов. Пропускная способность сети составляет 2500 Гбит/с, что обеспечивает достаточную защиту даже от мощных ботнетов.

«Мы гордимся нашим постоянным прогрессом. Чтобы обеспечить клиентам наилучшую защиту, мы работаем не только над усовершенствованием технологии фильтрации трафика на основе искусственного интеллекта, но и расширяем наше географическое присутствие, поскольку физическая близость к серверам имеет решающее значение для минимизации задержки. Безусловно, новая точка присутствия в Сингапуре в партнерстве с IDCloudHost поможет не только обеспечить клиентов из региона надежной защитой от DDoS, но и повысит устойчивость всей сети. Для многих пользователей, сайтов и сетей, подключенных к защите StormWall, это даст более высокую производительность, чем раньше», говорит Рамиль Хантимиров, CEO и сооснователь компании StormWall.

«Мы рады работать над этим проектом вместе со StormWall. Их защита от DDoS — одна из самых передовых на рынке, и мы считаем, что наше партнерство будет иметь большое значение для снижения угрозы DDoS-атак в Азиатско-Тихоокеанском регионе. Это начало долгого и плодотворного сотрудничества». — говорит Альфиан Памунгкас Сакавигуна, генеральный директор IDCloudHost.

C наступающим Новым Годом от команды StormWall


Друзья, поздравляем с наступающими праздниками!

Пусть сбываются самые светлые и добрые мечты, а весь мир будет защищен от любых угроз!

Желаем интересных открытий, легких и нестандартных решений, процветания в начинаниях, взаимопонимания с близкими и больше радостей.

В канун новогодних праздников весь мир объединяется. Десятки традиций, которые близки каждому: нарядная елка, украшенный дом, гора подарков, традиционные блюда, салюты и, конечно, списки желаний и планов!

Примите наш музыкальный подарок и вместе с ним приятное праздничное настроение.
Команда StormWall с удовольствием хочет разделить с вами еще одну новогоднюю традицию – подведение итогов.

Год выдался непростым, но результативным. Благодарим партнеров, коллег и друзей StormWall за продуктивное сотрудничество. Давайте вспомним, что нам удалось сделать для улучшения защиты ваших ресурсов.

В начале года мы провели масштабное обновление инфраструктуры, втрое усилив мощность фильтрации — и даже сделали фотографии для нашего блога. Именно это позволило нам в штатном режиме противостоять всем угрозам в этот непростой год.

Во всеоружии встретили огромную волну DDoS-атак, количество которых возросло в 30-50 раз после февральских событий. В этом году чаще приходилось иметь дело с мощнейшими атаками, доходящими в пике до 1,2 Тбит/с (пакетный флуд) и 1,000,000 RPS (HTTP).

Успешно защитили более 200 компаний от атак хактивистов и сделали с ними несколько историй успеха.

Несмотря на возросшую в десятки раз нагрузку на нашу команду поддержки, мы не остановили развитие — например, мы существенно улучшили функциональность личного кабинета, благодаря чему он продолжает быть самым удобным и функциональным на рынке. Скоро расскажем об этом подробнее!

Год мы завершили открытием шестой точки фильтрации трафика в Сингапуре, что позволило дополнительно увеличить емкость фильтрации для всех наших клиентов и снизить задержки в Азиатско-Тихоокеанском регионе.

В будущем году наш план – продолжить радовать Вас исключительным качеством наших услуг и профессионализмом поддержки, а впереди грядет еще много улучшений! Все это мы делаем для вас и вместе с вами.

Команда StormWall желает всем счастья и успехов в следующем году!

Новости 1кв 2022



В 2021 году DDoS-атаки чаще всего были направлены на финансовый сектор, ритейл и игровую индустрию
Эксперты компании StormWall проанализировали показатели DDoS-атак, осуществленных на российские компании в 2021 году. Специалисты выявили, что самыми атакуемыми отраслями в прошлом году стали финансовый сектор (43%), ритейл (31%) и игровая индустрия (18%). Также в прошлом году хакеры атаковали телеком-сферу (4%), образовательный сектор (3%) и другие (1%). Как показало исследование, в 2021 году количество DDoS-атак на финансовый сектор, ритейл, игровую сферу и образовательный сектор значительно выросло по сравнению с 2020 годом. Для анализа были использованы данные клиентов StormWall.

Решение StormWall Sensor Appliance включено в реестр российского ПО
Включение StormWall Sensor Appliance в реестр является важным событием для нашей компании. Мы гордимся тем, что создали инновационный продукт для защиты от DDoS-атак. В последнее время наблюдается значительный рост хакерских атак на разные отрасли, и в данной ситуации необходима профессиональная защита. Мы рады, что наш продукт будет полезен многим российским компаниям. В первую очередь, наш сенсор будет актуален для компаний, которым необходимо использовать только российские ИТ-решения и наше решение облегчает подключение защиты от DDoS для таких компаний
отметил Рамиль Хантимиров, CEO и сооснователь StormWall

Компания StormWall выросла на 43% в 2021 за счет рынков России, Африки и Ближнего Востока
Выручка StormWall росла выше ожиданий благодаря подключению к нашим сервисам заказчиков из корпоративного сектора, увеличению среднего чека и усилению наших позиций на Ближнем Востоке. Это говорит о двух фундаментальных вещах. Первая — мы адаптировалась к новым условиям. Вторая — StormWall экспортирует технологии на внешние рынки, где они пользуются спросом. Несмотря на глобальные вызовы, характерные для начала 2022-го, у нас есть все возможности для дальнейшего роста
отметил Рамиль Хантимиров, CEO и сооснователь StormWall

Во время февральских праздников выросло количество DDoS-атак на онлайн-ритейлеров
Специалисты компании StormWall, являющейся провайдером решений по информационной безопасности, выявили, что во время февральских праздников в России произошел рост числа DDoS-атак на сектор электронной коммерции. По данным экспертов с 9 по 23 февраля 2022 года количество атак на ритейлеров увеличилось на 38% по сравнению с предыдущими двумя неделями. Такой резкий рост произошел в связи с обострившейся конкуренцией между представителями e-commerce, которые использовали DDoS-атаки, чтобы обойти других участников рынка.

Хактивисты начали атаки на российские компании
Специалисты компании StormWall обнаружили, что с 24 по 28 февраля 2022 года различные группы хактивистов начали атаковать ключевые российские компании, относящихся к разным секторам экономики. В списки хактивистов попали компании топливно-энергетического сектора, финансовой отрасли, производственной сферы, телеком-индустрии. В списках есть такие монстры, как Газпром, Лукойл, Норникель, Татнефть, Сибур, Северсталь, Яндекс, Сбербанк, ВТБ, Газпромбанк. Также в списках злоумышленников присутствуют сайты правительственных организаций, в том числе сайты Пенсионного фонда и Роскомнадзора. Специалисты StormWall утверждают, что кибератаки на сайты российских компаний наблюдаются с начала спецоперации, с 24 февраля, но пик активности хакеров пришелся на 27 февраля. В настоящее время кибератаки на российские компании продолжаются. Основные страны, откуда идут кибератаки США (28,9%) и Евросоюз (46,7%) Многие компании, обеспечивающие DDoS-защиту, не справляются с нагрузкой в данной ситуации. Сейчас необходимо использовать только качественные Anti-DDoS-решения, которые могут создать надежную защиту от кибератак. По мнению экспертов, в ближайшее время ситуация не улучшится, поэтому каждой компании нужно позаботиться о защите своих ресурсов.

Облачный сервис StormWall надежно защищает интернет-ресурсы медицинской компании “Скандинавия АВА-ПЕТЕР” и ускоряет их быстродействие
Сервисы StormWall – отличное соотношение стоимости и эффективности защиты
Изучив рынок и проанализировав свои потребности, специалисты «Скандинавия АВА-ПЕТЕР» остановили свой выбор на сервисах компании StormWall. Решающим аргументом в ее пользу, помимо местоположения, стало отличное соотношение стоимости и эффективности.
В первую очередь под защиту StormWall были взяты сайты avaclinic.ru, avapeter.ru, avapeter.com и электронная почта. Позднее к сервисам Anti-DDoS подключили и личный кабинет пациента. Практически всё взаимодействие со StormWall при этом происходило онлайн.
Чтобы сделать защиту от DDoS-атак еще более эффективной, специалисты компании серьезно пересмотрели принципы сегментации сети, усовершенствовали сети «ДМЗ», улучшили и подключили к защите отдельные поддомены сетей.

Новый функционал HTTP ACL позволит более точно фильтровать HTTP-трафик
Компания StormWall встроила в свои облачные сервисы защиты от DDoS-атак новый функционал HTTP ACL. Он поможет повысить качество фильтрации трафика самых разных интернет-приложений, начиная с обычных сайтов и веб-сервисов и заканчивая приложениями, работающими через API, приложениями мобильных устройств, различных гаджетов и других подключенных к Интернету систем.
HTTP ACL в сервисах защиты StormWall – это не просто списки контроля доступа (Access Control List, ACL), а наборы достаточно сложных, многовариантных правил фильтрации. По сути, это часть функционала, свойственного WAF, позволяющая точно, «тонко», аккуратно работать с HTTP-трафиком конкретных интернет-ресурсов: с одной стороны, адаптировать защиту под их индивидуальные особенности, с другой – учесть риски DDoS-атак, которые могут быть на них предприняты.

StormWall существенно укрепил свой технический потенциал благодаря масштабному обновлению инфраструктуры
Компания StormWall сделала очередной шаг к усилению своего технологического потенциала: в конце 2021 года и в начале 2022-го она обновила и расширила свои инфраструктурные мощности на площадках в Москве и Франкфурте, увеличив их производительность втрое.
В результате модернизации суммарная емкость каналов StormWall во всех точках присутствия компании выросла до 2,5 Тбит/с, в дальнейшем ее расширение продолжилось. Мощность кластеров очистки и фильтрации в Москве и Франкфурте увеличилась втрое до 1,6 Тбит/с в каждой из точек.
Благодаря предпринятым техническим мерам компания получила солидный запас производительности кластеров, позволяющий успешно отражать массированные атаки мощностью до 1,5 млн. запросов в секунду (RPS) на уровне L7, а новый уровень мощности кластеров гарантировал возможность быстрого расширения емкости фильтрации в ходе дальнейшего наращивания пропускной способности каналов.

На майских праздниках ожидается новая волна DDoS-атак на российские компании
Специалисты компании StormWall, которая специализируется на защите бизнеса от кибератак, предупреждает, что с 1 по 10 мая 2022 года число DDoS-атак на российские компании, в частности банки, платежные системы и онлайн-сервисы для покупки билетов и бронирования отелей может существенно возрасти. Прежде всего, атаки будут направлены на вебсайты, мобильные приложения и ИТ-инфраструктуру (сети, DNS-серверы и другие публичные сервисы) российских организаций.

StormWall заключил партнерское соглашение с телеком-оператором «РАСКОМ»
StormWall стал клиентом «РАСКОМ» пять лет назад. За прошедшие годы между компаниями сложились тесные деловые отношения, а в 2022 году появились и первые совместные клиенты.
Через менеджера «РАСКОМ» можно также заказать бесплатный полнофункциональный тестовый доступ на 10 дней к облачному сервису StormWall для защиты от DDoS-атак.

На майских праздниках произошел всплеск DDoS-атак на ключевые отрасли в России
Эксперты компании StormWall, разрабатывающей решения защиты от кибератак, выявили всплеск DDoS-атак на майских праздниках на важные отрасли экономики в России. По данным специалистов, с 1 по 10 мая 2022 года количество DDoS-атак на сектор e-commerce увеличилось в 2,5 раза, число атак на сферу развлечений выросло в 4 раза, а количество атак на медиа-ресурсы увеличилось в 9,5 раз по сравнению с аналогичным периодом 2021 года. Также эксперты обнаружили, что рост числа DDoS-атак на различные российские онлайн-сервисы на майских праздниках увеличился в 2 раза по сравнению с аналогичным периодом прошлого года. Для анализа ситуации были использованы данные клиентов StormWall.

Почему так важны стресс-тесты и другие проверки защиты от DDoS-атак
  • что может произойти с вашим интернет-ресурсом при реальной атаке,
  • готовы ли специалисты провайдера подстраивать свою защиту под специфику ваших ресурсов и ваши требования,
  • как работает поддержка используемых вами сервисов Anti-DDoS,
  • что будет, если атака начнется в пятницу вечером или в воскресное утро, – поможет ли вам кто-нибудь со стороны провайдера,
  • есть ли у вас доступ к настройкам защиты и что они позволяют сделать,
  • какова реальная, а не декларируемая мощность системы фильтрации вашего сервиса защиты – 100, 200, 600 Гбит/с или какая-то иная,

StormWall фиксирует эволюционирование ботнетов
В конце 2021 и начале 2022 года мы столкнулись с очень мощными DDoS-атаками – временами их сила достигала 1,2 Тбит/с. Эти атаки неожиданно прекратились 11 января 2022 года, вскоре после отключения Интернета в Казахстане, произведенного местными властями в связи с массовыми протестами в республике. Однако после того как Интернет в Казахстане снова заработал, атаки возобновились.
  • 1. Ботнеты объединяются в кластеры
  • 2. DDoS-атаки на основе ботнетов перемещаются ближе к намеченным целям
  • 3. Наиболее эффективными при отражении атак с использованием мощных ботнетов становятся сети фильтрации с небольшим числом высокопроизводительных узлов

Облачные сервисы StormWall защитят клиентов дата-центров Oxygen от DDoS-атак
С конца февраля специалисты StormWall наблюдают массированный всплеск DDoS-атак на российские компании, и с каждым месяцем количество таких атак растет. С 1 по 10 мая 2022 года количество DDoS-атак на сектор e-commerce увеличилось в 2,5 раза, число атак на сферу развлечений выросло в четыре раза, а количество атак на медиаресурсы увеличилось в 9,5 раза по сравнению с аналогичным периодом 2021 года. В 75% случаев атаки идут на те компании, которые ранее никогда им не подвергались и у которых нет опыта борьбы с такими атаками.
В 2020 году Oxygen запустил собственную облачную платформу в Сингапуре, в 2021 – облачный кластер в Западной Сибири.
Oxygen занимает 13 место в рейтинге крупнейших поставщиков услуг ЦОД в России (за 2020 год).

Спрос на решения по защите от DDoS-атак в России вырос на 120%
По мнению аналитиков компании, спрос на решения по защите от DDoS-атак в России с 1 по 30 мая 2022 года увеличился на 120% по сравнению с аналогичным периодом прошлого года. Для анализа были использованы данные клиентов StormWall.
Эксперты StormWall проанализировали динамику прироста клиентов из разных отраслей в мае 2022 года и выявили, что количество клиентов из банковской сферы выросло на 83% по сравнению с аналогичным периодом прошлого года, а число клиентов из страховой отрасли увеличилось на 110% по сравнению с маем 2021 года.

В 2022 году количество DDoS-атак в России вырастет в 30 раз
Эксперты StormWall проанализировали рост количества DDoS-атак с января по май 2022 года и спрогнозировали, что в 2022 году произойдет в 30 раз больше DDoS-атак на российские компании, чем в 2021 году. Только в 1 квартале 2022 года количество DDoS-атак на клиентов StormWall выросло в 50 раз по сравнению с аналогичным периодом прошлого года.
Эксперты пришли к выводу, что средняя длительность атаки в 2022 году тоже увеличится в десятки раз. Уже сейчас многие DDoS-атаки идут несколько дней, некоторые не заканчиваются уже несколько недель. Для сравнения, в начале 2022 года атаки длились в среднем 7 часов и потом прекращались, а в конце 2021 года атаки длились в среднем 3 часа.
По данным компании, наиболее массовые атаки в 2022 году будут осуществляться на уровне L7 по протоколам HTTP/HTTPS, второе место будут занимать атаки уровня L3 и L4 — пакетный флуд.

StormWall обезопасил DNS-серверы RU-CENTER от масштабных DDoS-атак
Компания RU-CENTER (АО «Региональный Сетевой Информационный Центр»), чей сайт nic.ru известен в России практически всем системным администраторам, отвечающим за работу сетей, является одним из крупнейших в нашей стране регистраторов доменных имен и хостинг-провайдеров. В компании работает более 350 сотрудников. Число ее клиентов уже перевалило за 900 тыс., а количество зарегистрированных доменов приближается к 7,5 млн. Помимо регистрации доменов, RU-CENTER предоставляет услуги в области хостинга, интернет-безопасности, а также создания и продвижения сайтов.
Сегодня сервисы StormWall надежно защищают серверы DNS и сайт RU-CENTER от неприятностей, связанных с DDoS-атаками. В среднем за день регистрируется и отражается около 100 атак на интернет-сервисы, находящиеся под защитой StormWall. В иные дни специалисты RU-CENTER наблюдали атаки мощностью в несколько сотен гигабит в секунду, но благодаря решениям StormWall компания успешно их выдержала.

Лавинообразный рост числа атак: StormWall публикует результаты отчета о DDoS-атаках в первом полугодии 2022 года
По нашим данным, общее количество DDoS-атак на российские организации в I полугодии 2022 года выросло более чем в 15 раз по сравнению с аналогичным периодом 2021 года – об этом говорят собранные нами аналитические данные об интенсивности и характере DDoS-атак, проведенных против наших клиентов. Лидером по числу атак в первом полугодии 2022 года и по их росту по сравнению с аналогичным периодом 2021 года стал финансовый сектор. Самым распространенным видом DDoS-атак оказался HTTP-флуд.
Яркой особенностью I полугодия 2022 года стало заметное увеличение продолжительности атак: если в конце 2021 года DDoS-атаки длились в среднем 3 часа, то уже в начале 2022 года они шли в среднем по 7 часов. Начиная с весны, наши эксперты фиксировали все больше атак, которые длились по несколько дней, а то и недель.

Одна из стоек в Гонконге переезжает

Как говорится, переезд хуже пожара. Так уж сложилось, что нам в какой-то момент потребовался переезд одной из стоек в Гонконге. Не будем углубляться в детали, в бизнесе всякое бывает, а для нас это не проблема, а вызов!

С чего начать? Конечно же с поиска поставщика. Всем известно, что за рубежом к электричеству относятся трепетнее, чем у нас в России, а особенно трепетно к нему относится Equinix. С ними в этом плане не забалуешь, лишние 1 — 2 Kw не повесишь, чтоб никто не знал, все выливается в приличные счета за превышение. Задача стояла найти надежного поставщика с адекватной ценой за стойку с 2 вводами по 5 Kw. Поиск был непростым, переговоры с разными поставщиками длились около месяца, но в итоге самое интересное предложение мы получили от одного из наших апстримов PCCW за что им отдельное спасибо.




Что дальше? Конечно же нам нужно проложить все соединительные линии заново. Этот процесс от нас зависит только финансово, поэтому наше участие ограничилось оплатой счетов и созданием заданий. Ничего интересного, бумажная работа, но немаловажная, само собой. Остальное сделает Equinix и его специалисты. Расторопностью они не отличаются, пришлось подождать, не забывая оплачивать пустующую стойку.

Что ж, место переезда обозначено, самый интересный этап начинается.

Подготовка. Любой переезд начинается с планирования. Мы потратили много времени на обсуждения, чтоб не забыть ни одной детали, так как на переезд целой стойки отводилось всего 8 часов. Несколько раз собирались смежными отделами для проработки роли каждого участника. Составили поминутный план переезда, шаги по отключению и включению оборудования, план тестирования и справочник контактов всех участвующих. Хочу отметить, что ребята отработали отлично, все понимали, что от этого зависит успех операции и приложили максимум усилий.

Начало. Так как стойка в продуктиве, первым делом мы оповестили клиентов, которых эти работы могли затронуть, о подготовке и мигрировали их на соседнее оборудование. Процесс прошел без особых проблем. Параллельно начали пометку всех соединительных линий и оборудования.





Немаловажный шаг, который в дальнейшем позволит быстро все собрать назад. Справились за 4 часа. На этом этапе подготовка окончена, все в предвкушении, потираем ручки.

Переезд. Начало в 9 часов по Гонконгу, в Москве глубокая ночь. В 3 часа по МСК начинаем выключать оборудование, емкость фильтрации в Азии проседает, распределяем атакующий трафик по другим геолокациям. Все работает стабильно, можно продолжать. Через час техники прибывают на проходную ЦОД, стойка уже отключена, ждет разбора и погрузки на тележки. Разбираем и грузим.






Приехали и собираем стойку.




Так как мы хорошо подготовились, с этого момента начинается самая скучная часть переезда для бэк-офиса, но самая веселая для техников. Оборудование монтируется в стойку согласно схемы, разбираются все соединительные линии и патчкорды. Сначала монтируем out of band сеть и консольное управление, после основная сеть. Все аккуратно укладывается, крепится и привязывается. Само собой техники не забывают про ланч и обед. Война войной, как говорится, а кушать хочется всегда.

Волшебство произошло и стойка готова. Процесс занял около 6,5 часов, работало 2 техника.





Запускаем ее согласно плана. Сначала out of band маршрутизатор и консольный сервер, потом основное сетевое оборудование, далее серверы (да, мы чистим трафик на серверах x86 своим собственным софтом). На удивление, после проверки выяснилось, что не поднялось всего 2 соединения. Это не много, ожидалось, что будет хуже. Проблема решилась заменой копеечных патчкордов и мы начали готовить сеть к возврату трафика. Этот процесс занял еще пару часов, так как нужно было это сделать аккуратно и с минимальным влиянием на трафик клиентов.

По итогу, мы в новой стойке, у нас больше Kw за меньшие деньги, наша команда получила отличный опыт. Спасибо всем, кто был к этому причастен и спасибо нашим клиентам за пониманием и поддержку.