От защиты периметра к защите данных
Содержание:
Введение
Рассмотрим непосредственно проблему DDoS-атак как явление. В течение последних нескольких лет можно наблюдать постоянный рост количества DDoS-атак, наращивание их мощности и повышение уровня сложности. За 2011-2012 гг. в мире было зафиксировано более 2500 DDoS-атак средней мощностью от 0,3 до 5-10 Гбит/сек. Злоумышленники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня, рассчитанным на исчерпание ресурсов сервера. Под угрозой оказываются как международные гиганты, например, Mastercard, LiveJournal или Twitter, так и небольшие региональные компании.
Например, в ноябре прошлого года одна из крупнейших компаний азиатского региона, занимающихся электронной коммерцией, подверглась масштабной атаке. Ее мощность в определенные часы достигала 45 Гб/с. В целом, атаки, зафиксированные за последний квартал были более интенсивными по сравнению с данными на начало года — количество передаваемых пакетов в секунду выросло на 63%. DDoS-атаки изменяются не только по мощности, но и по длительности. При продолжительности средней атаки порядка одного рабочего дня, были и атаки-рекордсмены. Так, например, сайт одной туристической компании из-за DDoS-атаки был недоступен более 80 дней!
Приведенные в отчете данные свидетельствуют о том, что подвергнуться DDoS-атаке может практически любой сайт. И, как следствие этого утверждения, защита от такого рода воздействий может потребоваться любой компании. Однако, обеспечить ее своими силами может только действительно очень крупный проект. Основная проблема здесь заключается в пропускной способности канала до вышестоящего провайдера, а также в ограниченных возможностях сетевого оборудования и серверов приложений обрабатывать большое количество одновременно поступающих запросов. На сегодняшний день мощность атак возросла настолько, что большинство из них легко забивают весь выделенный канал к серверу либо полностью загружают сетевую карту количеством обрабатываемых пакетов в секунду. Соответственно, меры, предпринимаемые на уровне сервера, могут оказаться недостаточно эффективными: запросы от легитимных пользователей просто-напросто «не влезут» в канал, переполненный пакетами злоумышленников.
В настоящее время максимально надежная защита от DDoS-атак возможна на уровне интернет-провайдеров, хостинг-провайдеров, а также специализированных центров очистки трафика. Они, в свою очередь, могут обезопасить серверы клиентов на согласованных с ними условиях. Также системы защиты от DDoS-атак могут эффективно работать на крупных проектах, обладающих значительными серверными мощностями и надежными каналами связи, а также применяться корпоративными клиентами с крупными веб-порталами, небольшими интернет-операторами, центрами обработки данных.
На сегодняшний день на российском рынке присутствует единственная отечественная система защиты от DDoS-атак в виде аппаратно-программного комплекса, способная, по утверждению производителя, осуществлять зачистку на высоких скоростях (свыше 10 Гбит/с, до 14 млн. pps). Это предоставленная на обзор система «Периметр» от компании «МФИ Софт». В Рунете можно найти множество проектов, предлагающих услуги по защите от DDoS-атак. Однако все они предоставляют услуги именно конечным пользователям путем размещения сайтов на своих серверах (защищенный хостинг) или переадресации трафика с использованием DNS (трафик направляется сначала на серверы оператора и только после очистки на веб-сервер клиента).
Система операторского класса «Периметр» представляет собой программно-аппаратный комплекс, в задачи которого входит анализ трафика в сетях передачи данных, предупреждение, обнаружение и подавление DDoS-атак разного типа. Рассмотрим более подробно это решение.
Введение
SDP впервые была представлена в 2013 году, ее первоначальной целью является противодействие сетевым атакам, направленным на инфраструктуру приложений. Изначально было принято решение с чистого листа подойти к вопросу противодействия кибератакам, нужен был эффективный и экономически выгодный метод. Авторы решения определили для себя три ключевых элемента для достижения своей цели.
Прежде всего, нужна была модель безопасности, которая бы идентифицировала пользователей, их устройства и роль, прежде чем предоставлять доступ к защищенным системам. Во-вторых, нужна была криптографическая проверка. В-третьих, используемые протоколы должны быть проверенными средствами контроля безопасности.
Идеальным подходом разработчики посчитали основанную на контрольном канале архитектуру с использованием стандартных компонентов: SAML, PKI, и общий TLS. Таким образом, в декабре 2013 года был опубликован документ, описывающий концепцию SDP, авторы хотели посмотреть, вызовет ли новая инициатива интерес.
Оказалось, что концепт действительно нашел отклик, именно поэтому в апреле 2014 года была выпущена спецификация SDP Version 1. Изначально проект описывал хост, который передавал бы устройство и идентификатор пользователя контроллеру через общее TLS-соединение. Контроллер, в свою очередь, подключается к центру сертификации для проверки идентификатора пользователя.
После этого контроллер обеспечит одно или несколько TLS-соединений между первоначальным хостом и принимающими сторонами.
С
Спириты – люди (или уже не люди), получившие множество сверхъестественных способностей. Основоположники движения Исхода. Данные о Спиритах и их роли в судьбе человечества неоднозначны и противоречивы, подробнее о них можно узнать из сборника рассказов «Генезис Исхода» и по ходу самой игры.Спираль — устройство, расположенное внутри каждого фрейма и позволяющее ему совершать «прыжок» через Коридор. После каждого перехода требует длительной и энергоёмкой зарядки.Суп Существ –Странник – второй взбунтовавшийся фрейм, который присоединился к идеям Возврата, в итоге уничтожен Роутером.Снайпер — легкий лазерный юнит, требует постройку Лазерной лаборатории первого уровня.Скаммер — подземный лазерный юнит, требует постройки Подземной лаборатории первого уровня и Лазерной лаборатории второго уровня.Скам-Молот — специальный юнит Исхода, разрушающий поверхность (в т.ч. зерослой) в заранее заданном месте. Требует постройки лаборатории Исхода.Скам-Смерч — специальный юнит Исхода, уничтожающий здания и юниты противника, требует Бомбовую лабораторию второго уровня и лабораторию Исхода второго уровня.Скам-Жгут — специальный юнит Исхода, прожигающий скам, требует лабораторию Исхода второго уровня, лазерную лабораторию третьего уровня и летную лабораторию второго уровня.Скам-Балиста — специальный юнит Исхода, бросающийся кусками скама, требует Бомбовую лабораторию второго уровня и лабораторию Исхода третьего уровня.Скверна-Паук — специальный юнит Возврата, вызывающий стаю скверно-пауков на мире. Требует лабораторию Возврата.Скверна-Акула — специальный юнит Возврата, вызывающий стаю скверно-акул на мире, требует подземную лабораторию и лабораторию Возврата второго уровня.Скверна-Демон — специальный юнит Возврата, вызывающий стаю скверно-демонов на мире, лабораторию Возврата второго уровня и летную лабораторию второго уровня.Скверна-Дракон — специальный юнит Возврата, вызывающий скверно-дракона на мире, требует летную лабораторию второго уровня, подземную лабораторию второго уровня и лабораторию Возврата третьего уровня.Солдат — базовый юнит, требующийся для создания более мощных боевых юнитов.Скверна-симбиот — население фреймов Возврата, которое было подвергнуто слиянию со Скверной, после чего Скверна перестала представлять для них значительно меньшую опасность, внешний облик скверна-симбиотов доподлинно неизвестен, предположительно не обошлось без ужасных мутаций.Сота — мир П:ГВ, где легат Возврата находится на одном мире с имперским Наместником.Спунж — мир П:ГВ, где разъяренный потерей Экзистора Император приказывает уничтожить попавший под горячую руку фрейм Странник.Скрипт — красивый мир из П:ГВ, где Кластер приходит на выручку Арк-9, при этом придется не дать построить «зомбированому» Арк-9 омега-портал, иначе спанж замкнется навсегда и оба фрейма останутся на этом мире вечно.
З
Завет – послание, посланное через коридор. Может содержать любую информацию. Обычно дежурно посылалось перед прыжком на новый мир.Завет Императора — официальный аддон к игре «Периметр».Зараженный Наместник — Наместник Императора, атакованный Возвратом и подчиненный себе.Зерослой – специальным образом выровненная поверхность на Мире, с которой Ядра могут собирать энергию. Абсолютно все строения в Периметре должны быть возведены на Зерослое.Зодиак – некогда бывший фрейм Исхода, стал первым взбунтовавшимся фреймом, который отрекся от идей Исхода и решил вернутся на Старую Землю. Единственный оставшийся фрейм Возврата после событий «Геометрии Войны». Попал на Большой Мир вместе с Кластером.Залп-Проектор — наземный ракетный юнит, требует постройки Ракетной и Лазерной лаборатории вторых уровней.Забрик — нестабильный, саморазрушающийся мир П:ГВ, с которого нужно быстро уйти посредством постройки Альфа-Портала.Зерос — мир из П:ГВ, где Легату придется обезвредить установленную Наместником бомбу и уйти в Омега-Портал.
Обзор моделей
Все существующие модели подразделяются на две разновидности:
- Ручные;
- Компьютерные.
Работой ручных приборов управляет врач. Он направляет движущиеся метки, фиксирует реакцию пациента, создает схему полей зрения в соответствии с полученными данными.
При работе компьютерного периметра участие врача не требуется. После включения программы все действия состоят только в нажатии пациентом кнопки при обнаружении объекта. По завершении исследования на выходе прибора оказывается график поля зрения пациента.
Цена ручного прибора значительно ниже, чем полностью автоматизированного периметра. Это оправдано большей точностью диагностики и минимальным риском врачебной ошибки. Высоко оцениваются специалистами такие приборы как периметр офтальмологический ар 3000 и периметр офтальмологический компьютерный автоматический марки galaxy.
Тем не менее в муниципальных медицинских учреждениях используются более дешевые ручные анализаторы.
Ручной периметр ПНР-03
Данный прибор имеет российское происхождение и предназначен для использования только в медицинских учреждениях муниципальной и частной принадлежности. Специалист самостоятельно проводит обследование и фиксирует результаты. Прибор обладает рядом достоинств:
- Достоверно определяет поля зрения и патологические состояния сетчатки.
- Отличается простотой применения и удобством для медперсонала.
- Не требует длительного обучения.
Цена прибора варьируется в пределах 60 000 рублей.
Полуавтоматический периметр Перискан
Особенность данной модели заключается в умении определять чувствительность глаз к различному уровню освещения. При исследовании меняется режим освещения – дневной свет, сумерки, абсолютная темнота. Смена режимов может происходить последовательно или в произвольном порядке.
Аппарат работает совместно с компьютером, но обследование проводится под управлением врача. Специалист проводит измерения, а компьютер формирует результат в виде диаграмм и выдает их на принтер.
Преимущества модели:
- Удобный интерфейс.
- Контроль ошибок исследования.
- Автоматизация результатов.
Цена прибора – около 70 000 рублей.
Проекционный анализатор АПП3-01
Эффективный прибор позволяет точно определить границы полей зрения и дефекты в области глаз на начальной стадии. Исследование производится не только перемещениями меток, но и изменением светового диапазона. Цена аппарата около 120 000 рублей.
Компьютерный периметр Перитест-300
Данный прибор обладает высокой функциональностью. Исследование может проводиться в нескольких режимах – быстром, частичном и полном.
Устройство способно достоверно определять поле зрения при дневном и ночном освещении. Появление движущихся точек можно варьировать установкой временного диапазона.
Помимо центрального и периферического зрения прибор определяет наличие и размеры слепых пятен, а также такие патологии, как макула и глаукома.
Результаты обследования выдаются на печать и фиксируются в памяти компьютера для дальнейшего анализа и сравнения с данными будущих процедур.
Цена аппарата около 320 000 рублей.
Сферический периметр Периком
Высокофункциональный аппарат с программным обеспечением способен выявлять начальные стадии серьезных заболеваний – глаукому и патологии сетчатки. Точно определяются границы поля зрения.
Результаты обследования выводятся на экран монитора для просмотра врачом и на бумажный носитель. Их можно сохранить в памяти компьютера для дальнейшего использования.
Диаграмма границ зрения имеет вид цветного или черно-белого графика по выбору врача.
Цена аппарата около 320 000 рублей.
Периграф Периком
Данное офтальмологическое устройство очень точно определяет параметры полей зрения, количество и размеры слепых пятен, скотому.
Периграф оснащен 9 программами, что позволяет выявлять патологические состояния сетчатки на начальной стадии. При исследовании определяются:
- Повышенное глазное давление.
- Поражения кровеносных сосудов глаз.
- Тромбоз сосудов.
- Недостаточное питание и кровоснабжение роговой оболочки и сетчатки.
Прибор прост и удобен в использовании. Полученные данные остаются в памяти компьютера и могут быть распечатаны при первой необходимости.
Важность определения чувствительности сетчатки и состояния глазных структур подтверждена медицинской статистикой. Это информационный диагностический тест, помогающих организовать лечение зрительного аппарата и повысить качество жизни пациентов
Поэтому при первых признаках болезненного состояния глаз необходимо обращаться в офтальмологическую клинику и проходить аппаратное обследование.
Внедрение и эксплуатация системы «Периметр»
Как мы уже говорили, система «Периметр» поставляется в виде готовой серверной платформы с предустановленными модулями.
Процесс внедрения «Периметра» заключается в установке серверной платформы, необходимом изменении структуры сети, перенаправлении потоков трафика и настройки самой системы защиты (ввод учетных записей и настройки прав доступа, общих параметров работы «Очистителя» и «Анализатора» и пр.).
Для общего представления можно привести два варианта включения модулей системы защиты в сеть. Разработчики рекомендуют использовать обеспечивающие отказоустойчивость (по сравнению, например, со схемой включения «в разрыв канала» (IN-LINE)) BGP-offramp или ARP-Spoofing.
Работа с «Анализатором», в основном, сводится к просмотру предоставляемой им информации в режиме реального времени или к просмотру тех или иных отчетов по собранным данным. При этом может решаться целый комплекс задач, начиная с детектирования аномального или вредоносного трафика и заканчивая выявлением проблемных мест в структуре сети, некорректного сетевого взаимодействия и пр. Вне всякого сомнения, это весьма интересный модуль, который может предоставить немало поводов для размышления системным администраторам.
Ниже приведены несколько отчётов «Анализатора», из которых видно, насколько полезным может оказаться данный модуль для контроля и мониторинга сетевого трафика.
Рисунок 8. Отчёт «Анализатора» системы «Периметр»: прошедшие DoS аномалии
Рисунок 9. Отчёт «Анализатора» системы «Периметр»: состояние сети – размер пакетов
Рисунок 10. Отчёт «Анализатора» системы «Периметр»: топология роутинга – BGP нестабильность
Рисунок 11. Отчёт «Анализатора» системы «Периметр»: сырой NetFlow
Коронавирус как драйвер роста спроса на ИТ-специалистов
В конце мая 2020 г. Вадим Кулик в интервью агентству «Интерфакс» сообщил о том, что общий ИТ-бюджет ВТБ до 2022 г. составляет 180 млрд руб. «За периметр» суммы выходить не планируется, отметил Кулик, однако работа в условиях пандемии коронавируса потребовала перераспределения затрат внутри ИТ-бюджета.
Вадим Кулик, зампредседателя правления ВТБ
Например, при переводе сотрудников на удаленную работу пришлось раздать за две недели 7 тыс. ноутбуков, хотя в «нормальной жизни» выдавали бы примерно 2 тыс., и постепенно. Шестикратное увеличение удаленных рабочих место в компании — с 4 до 24 тыс., потребовало быстрого изменения ИТ-инфраструктуры банка в части наращивания мощностей ЦОДов и 10-кратного увеличения пропускной способности каналов связи.
Вадим Кулик также отметил, что коронавирус лишь ускорил процессы цифровизации бизнеса, «вынудив банки быстрее внедрять продукты, которые не требуют от клиентов похода в офис». По его словам, из-за пандемии в ВТБ уже внедрен ряд решений в области ИТ, запуск которых был запланирован на конец года или на следующий год.
Вадим Кулик также отметил, в настоящее время в штате ВТБ трудится 715 ИТ-разработчиков, что в 2,5 раза больше, чем в 2019 г. По его словам, с ВТБ работают почти все компании-разработчики и поставщики ПО для банковского рынка.
Для привлечения новых ИТ-сотрудников ВТБ использует штатных рекрутеров, профильные HR-агентства и собственные каналы — такие как сбор резюме по рекомендациям от сотрудников, в том числе на перспективу без наличия открытых вакансий — Friends&Family. В процессе найма в компании также используется новый инструмент «HR-cтартапы» для просмотра кода, который написал кандидат.
ВТБ практикует совместные с российскими вендорами программы обучения ИТ-персонала. Во второй половине 2020 г. ВТБ также планирует привлекать молодых ИТ-специалистов по программам оплачиваемой стажировки.
В конце 2019 г. ВТБ в рамках стратегии развития запустил программу «600 дней», нацеленную на ускорение цифровизации продуктов и каналов взаимодействия с клиентами. В конце мая 2020 г. в рамках развития 600-дневной программы ВТБ дополнительно объявил о повышенном интересе к найму новых сотрудников на вакансии в бизнес-линиях «Розница» и «Средний и малый бизнес».
Изначально одним из пунктов программы стал план найма более 800 специалистов для формирования порядка 300 кросс-функциональных команд, структурированных по бизнес-направлениям и обеспечивающих связь между всеми элементами цикла разработки и совершенствования цифровых продуктов компании — таких как обновления мобильного банка для розничных клиентов, создание новых инструментов развития продаж, оптимизация бизнес-процессов, актуализация программ лояльности банка.
Глава департамента по работе с персоналом, старший вице-президент банка ВТБ Глеб Ермаков отметил в этой связи: «Нам еще предстоит много интересной работы по дальнейшей трансформации нашей бизнес-модели для достижения поставленных в стратегии амбициозных целей. Для этого мы должны обеспечить дальнейший приток в банк специалистов с необходимыми компетенциями. Например, в банке открыт набор на такие вакансии как UX/UI дизайнер, продуктолог (CJE), владелец продукта (PO) и другие».