Владимир Садовский, «Группа М.Видео-Эльдорадо»: «Веб-приложения – основная мишень злоумышленников»

Справка о компании: «Группа М.Видео-Эльдорадо» – ведущая российская компания в сфере электронной коммерции и розничной торговли электроникой и бытовой техникой, GMV компании в 2023 году составил 540 миллиардов рублей. На общие онлайн-продажи приходится порядка 71% GMV «Группы М.Видео-Эльдорадо», что делает компанию одним из крупнейших е-комм игроков в России.

«Группа М.Видео-Эльдорадо» – один из самых технологичных ритейлеров в России. Для максимально полного удовлетворения потребностей клиентов, вендоров и партнеров компания развивает гибридную бизнес-модель, основанную на сочетании онлайн-бизнеса и мобильных технологий, с разветвлённой сетью магазинов и сильной логистической инфраструктурой.

Зачем защищать сервисы?

Сегодня многие компании активно используют мобильные приложения и веб-сайты для взаимодействия с клиентами. Эти ресурсы доступны через интернет, и хакеры часто пытаются их взломать из-за потенциальных возможностей для монетизации.

Бизнес стремится к быстрому и качественному выпуску новых функций. В этом и заключается задача IT-отделов, однако они сталкиваются с трудностями при распределении ограниченных ресурсов. В результате в таких продуктах могут возникать ошибки, снижающие уровень безопасности.

Мировой рынок киберугроз нацелен на взлом выгодных для злоумышленников ресурсов, особенно тех, которые предлагают бонусные программы и акции. Многие компании используют свои сайты и приложения для распространения маркетинговых предложений, что привлекает внимание мошенников.

Способы обеспечить безопасность сервисов

На рисунке представлена общая информация о том, как обеспечить безопасность наших ресурсов и публикуемых продуктов.

Обсудим каждый этап более подробно. Безопасная разработка – это сложный и обширный процесс, включающий взаимодействие между бизнесом и IT-отделами по созданию безопасных продуктов. Основная цель этого процесса – начать заботиться о безопасности как можно раньше, то есть уже на этапе идеи заложить основы требований безопасности и учесть их при разработке. Также важно использовать автоматизацию для выявления уязвимостей во время разработки и публикации.

Далее следует этап сопровождения и мониторинга. Несмотря на то, что мы стараемся сделать продукт максимально безопасным на начальных этапах, из-за ограничений ресурсов и сжатых сроков некоторые проблемы могут возникнуть уже после выпуска.

Один из способов обеспечения безопасности сервисов – использование AntiDDoS и WAF-защиты. Это комплексное решение помогает защититься от множества распределённых атак, направленных на то, чтобы сделать наш ресурс недоступным и взломать сервисы. Важно адаптировать защиту под конкретный продукт, чтобы она работала максимально эффективно и надёжно.

Взаимодействие бизнеса с командой разработки также играет важную роль. С одной стороны, защита блокирует нелегитимные запросы, но с другой – может ошибочно заблокировать легитимных пользователей. Например, если IT-отдел быстро выкатывает новый функционал без предупреждения, запросы могут измениться, и клиенты, использующие нестандартные для системы паттерны поведения, могут быть заблокированы. Поэтому необходимо постоянно общаться, налаживать контакты и улучшать эти системы.

Второй способ – сессионный антифрод, который отслеживает поведение клиента. В мобильном приложении пользователь нажимает на определённые кнопки интерфейса, а система анализирует, нет ли автоматизации, например, или использования продвинутых ботов для накрутки бонусных баллов или других махинаций.

Также следует учесть возможность использования умных ботов, способных обойти защитные механизмы. Хотя мы предоставляем легитимным пользователям авторизационные файлы cookie, они всё ещё могут совершать нежелательные действия. Эта система помогает устранить такие проблемы и точнее выявлять незаконную активность.

На рисунке представлены риски, с которыми позволяет бороться данная система. Существует множество мошеннических схем, таких как манипуляции с бонусными рублями и программами лояльности. Благодаря доступу к аналитике со стороны клиента можно обнаружить и устранить уязвимости и аномалии.

Кроме того, чтобы наша система была динамичной и актуальной, необходимо постоянно её совершенствовать и оперативно реагировать на возникающие проблемы. С этой целью существует Центр реагирования на инциденты информационной безопасности. Он представляет собой мощный инструмент, который обрабатывает множество событий и предоставляет готовые решения для устранения неполадок, таких как баги, взломы веб-сайтов и мобильных приложений.

Основная функция этого центра заключается в поддержке изменений в бизнес-процессах и системах, чтобы предотвратить повторение подобных ситуаций в будущем.

Важный момент – гигиена использования JavaScript на разных ресурсах. Например, один из наших партнёров использовал множество скриптов на своём сайте. Для пользователей это не имеет большого значения, так как мы видим только статичные или динамичные страницы с возможностью выполнения определённых действий. Однако за кулисами происходит загрузка множества кодов и скриптов, которые работают на стороне клиента.

Большинство компаний не осознаёт, что происходит внутри их системы. Существуют маркетинговые скрипты и другие функциональные элементы, которые могут быть взломаны. Например, для сбора персональных данных или перенаправления клиентов на сайты злоумышленников для перевода денег.

Комментарии