20, март 2015  —  Год назад в Сочи закончились Зимние Олимпийские игры-2014 и зимние Паралимпийские игры-2014. В честь годовщины этих знаменательных мероприятий компания Positive Technologies решила рассказать о своём участии в защите онлайновых ресурсов ВГТРК, на которых проходила трансляция олимпийских игр. По соображениям безопасности, данное сотрудничество не афишировалось во время Олимпиады, однако сейчас уже можно обнародовать некоторые подробности.

220 тысяч онлайн-зрителей одновременно

Всероссийская государственная телевизионная и радиовещательная компания (ВГТРК), будучи ведущим СМИ страны-организатора зимних Олимпийских игр 2014 года, впервые предоставила зрителям возможность смотреть прямые трансляции всех соревнований не только по телевизору, но и через Интернет. В дополнение к существующим порталам холдинга, общая посещаемость которых составляет более 300 млн. человек в год, было разработано более 20 новых веб-приложений для обеспечения трансляции на различные устройства, от мобильных телефонов до SmartTV.

Обеспечение бесперебойной работы этих ресурсов требовало нового подхода к безопасности в непростых условиях:

• Большой интерес к Олимпиаде со стороны злоумышленников: приложения ВГТРК подвергались постоянному шквалу из тысяч различных атак, от спам-ботов и сканеров уязвимостей до попыток кражи персональных данных. В таком потоке событий оператору защитной системы легко потерять действительно актуальные срабатывания.
• Защита приложений, реализованных с помощью разных технологий: от информационных порталов и интерактивных социальных сервисов до XML-шлюзов и вещательных платформ. Большинство сайтов позволяли смотреть потоковое видео (Flash или HLS) в прямом эфире или в записи, адаптируясь под конкретные пользовательские устройства.
• Работа под высокой нагрузкой. Максимальная нагрузка сайтов ВГТРК была зафиксирована во время хоккейного матча 13 февраля, когда более 220 тысяч онлайн-зрителей одновременно наблюдали игру России и Словении.
• Защита в режиме реального времени не оставляет времени на «разбор полетов» и переписывание исходного кода; требуется проактивное выявление угроз и моментальное закрытие брешей.

Корреляция и верификация

Для решения поставленной задачи ВГТРК обратилась к своему давнему партнеру, компании Positive Technologies. Эксперты компании предложили использовать межсетевой экран PT Application Firewall — как для защиты новых приложений, разработанных специально под Сочи-2014, так и для обеспечения безопасности уже существующих порталов, включая Sportbox.ru, Vesti.ru, новостной сайт «Россия-24» и веб-приложения центральных телеканалов «Россия-1» и «Россия-2».

Интеллектуальные механизмы PT Application Firewall , включающие автоматическую верификацию уязвимостей и корреляционный анализ, позволили существенно снизить нагрузку на операторов защиты. Благодаря группировке сходных событий и выявлению цепочек развития атак, ИБ-эксперты ВГТРК смогли сконцентрировать внимание на самых важных происшествиях и оперативно реагировать на них.

Кроме собственных аналитических механизмов PT Application Firewall, в проекте были задействованы возможности интеграции межсетевого экрана с другими системами безопасности (SIEM), что позволило централизованно обрабатывать события из различных источников в рамках корпоративного Центра управления безопасностью (SOC).

Защита 24 часа

Только за первый месяц работы на Олимпиаде межсетевой экран PT Application Firewall позволил своевременно обнаружить серьезные атаки на тринадцать веб-сайтов медиахолдинга: злоумышленники пытались нарушить работу пользовательских приложений или использовать их для проникновения во внутреннюю сеть компании ВГТРК. В частности, удалось предотвратить атаку, которая грозила закончиться утечкой большого объема конфиденциальных данных.

«Чтобы обеспечить круглосуточную защиту и доступность наших веб-ресурсов, нам нужен был инструмент, который умеет выявлять угрозы в режиме реального времени, работая с огромными потоками данных, - говорит Дмитрий Сафронов, начальник отдела защиты информации ВГТРК. - Раннее выявление угроз при помощи PT Application Firewall существенно повысило безопасность наших ресурсов. У нас появилась возможность предотвращать атаки до того, как они приведут к серьезным последствиям. Мы планируем и дальше использовать продукты Positive Technologies для защиты приложений медиахолдинга».

Напомним, что ранее в прошлом году об успешном внедрении защитной системы PT Application Firewall сообщила также компания «МегаФон», один ведущих российских операторов связи. В данном случае межсетевой экран используется для защиты онлайновых сервисов телеком-оператора от утечек персональных данных, фрода и других сетевых атак. При этом PT Application Firewall обеспечивает не только своевременное обнаружение атак и уязвимостей, но и устранение угроз до исправления ПО, на основе технологии виртуального патчинга.

Подробнее о этой защитной системе можно будет узнать на конференции Positive Hack Days V (26-27 мая, Москва), в частности увидеть детальную презентацию межсетевого экрана PT Application Firewall и попробовать обмануть его в рамках хакерского конкурса « Обход WAF ».