Amazon успокоила клиентов своих "облачных" сервисов

Причина для беспокойства у пользователей Amazon Web Services появилась на прошлой неделе, когда команда исследователей из Рурского университета объявила о наличии уязвимостей в системах защиты этой платформы. В ответном слове Amazon проясняет ситуацию и подчеркивает, что изъяны являлись не слишком опасными.


Согласно исследованиям немецких специалистов, теоретически внутренние механизмы "облачной" платформы Amazon и программной среды с открытым кодом Eucalyptus (которая также используется для построения закрытых систем распределенных вычислений) позволяли потенциальным взломщикам посылать ложные команды от имени администратора - например, останавливать работу виртуальных машин или манипулировать объектами файловой системы. В случае с Amazon проблема была вызвана тем, что интерфейс SOAP раздельно выполнял операции по верификации подписей приложений и по интерпретации XML. Кроме того, ученые обнаружили возможность межсайтового исполнения сценариев при взаимодействии интерфейса AWS с магазином Amazon, злонамеренное использование которой могло привести к запуску вредоносного кода.

Команда исследователей опубликовала данные об уязвимостях после того, как Amazon и Eucalyptus внесли требуемые корректировки и закрыли потенциальные изъяны. Через некоторое время Amazon выпустила свой комментарий по поводу инцидента, разъяснив некоторые неоднозначные моменты и уверив пользователей в том, что ошибки безопасности не представляли сколь-либо существенной угрозы. По словам представителей компании, никто из ее клиентов не успел пострадать от эксплуатации этих уязвимостей, а главное - на пути практической реализации их вредоносного потенциала стояли другие защитные механизмы.

В бюллетене Amazon, в частности, говорится, что потенциальный изъян в AWS был актуален лишь для небольшого количества API-вызовов, при обработке которых не используется шифрование, и не являлся широко распространенной уязвимостью, как предполагалось изначально; кроме того, те пользователи, которые в полном объеме задействовали арсенал защитных методов и приемов AWS, вообще могли не опасаться этой ошибки безопасности. Компания также подчеркнула, что активно и регулярно сотрудничает со специалистами по защите данных, и рассматриваемый случай не был исключением - так что уязвимости были исправлены со всей возможной оперативностью, и теперь пользователям ничто не угрожает.

The Register

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

В рамках проходящей в эти дни конференции Yandex Cloud компания «Яндекс» объявила об официальном запуске нового сервиса для защиты веб-приложений — Smart Web Security. В настоящее время функция Smart Web Security работает в режиме Public Preview и предоставляется ограниченному количеству пользователей бесплатно по запросу. Воспользоваться новым сервисом смогут компании, разместившие свои сайты в облаке Yandex Cloud.

Новая технология Smart Web Security позволяет блокировать наиболее сложные атаки злоумышленников, которые реализуются через ботов на прикладном уровне L7 (Application level) по классификации OSI. Считается, что такие DDoS-атаки максимально близко имитируют поведение «живых» пользователей, поэтому для защиты от реализуемых с их помощью DDoS-атак наиболее эффективным является отсечение ботов от доступа к разделам пользовательских сайтов. Технически данная функция была доступна и ранее, но на уровне корпоративных средств защиты. Это стоило достаточно высоких затрат. Теперь опция защиты от DDoS становится доступной для всех клиентов Yandex Cloud.

Особенности работы механизма Smart Web Security

Как отмечает «Яндекс», новая технология помогает выявлять угрозы с помощью поведенческого анализа пользователей, встроенных алгоритмов машинного обучения и средств интеграции с капча-механизмом Yandex SmartCaptcha. Новый сервис «Яндекса» проводит верификацию запросов и способен отличить обращения пользователей от действий роботов в автоматическом режиме.

Если механизм «Яндекса» при автоматической идентификации убеждается, что перед ним с высокой достоверностью присутствует человек, то сервис обходит вызов капча-опции «Я не робот». Если подключение опции показа капчи все-таки требуется, то пользователю достаточно просто кликнуть на чек-бокс и подтвердить, что он не является роботом. В остальных случаях, когда механизм оценки «Яндекса» показывает высокую вероятность присутствия робота, запускается обработка капчи в полном объеме: на экране появляется «изломленный» текст, а от пользователя требуется ввод показанных слов с клавиатуры.

 

Новый сервис был разработан на основе «Антиробота» – внутренней технологии «Яндекса», которая давно применяется внутри компании для отражения DDoS-атак на ее собственные сервисы, сообщает сам вендор. Интеграция тех же ML-алгоритмов в Smart Web Security позволит вести постоянное дообучение механизма на новых реальных паттернах, перехватываемых «Яндексом» в сегменте легитимного и нелегитимного трафика.

Следует также напомнить, что, по имеющимся данным, исходный код Smart Web Security ранее попал в массовую утечку, которая произошла в январе 2023 года. Тогда в сеть попали 45 Гбайт данных «Яндекса» в открытом виде, в том числе исходные коды его отдельных механизмов и готовящейся функции Smart Web Security. Многие утверждали, что из-за этого «Яндекс» получил тогда не только серьезные репутационные убытки, но и трудности в будущей реализации защиты от DDoS. Яндекс не комментировал необходимость переработки алгоритма выявления роботов, поэтому сейчас нет достоверных сведений, работает ли механизм в его нынешней реализации на «слитом» коде или код претерпел существенные изменения.

Кастомизация Smart Web Security

Можно отметить, что «Яндекс» предоставил не просто механизм Smart Web Security, но также предусмотрел возможность его кастомизации. Типовые опции управления представлены в готовых пресетах, но пользователь может выбирать, например, сложность генерируемых капчей, добиваясь эффективной защиты от интеллектуальных DDoS-атак, когда злоумышленники используют механизм для распознавания.

«Яндекс» не использует для капчей рисунки и фотоснимки, поскольку злоумышленники уже научились достаточно хорошо распознавать и обходить такую защиту. Вместо этого «Яндекс» применяет кастомную генерацию двухсловных последовательностей. Сложность их распознавания увеличивается с ростом количества изломов текста. Впрочем, известно по исследованиям самого «Яндекса», что с ростом количества и степени изломов падает распознаваемость текста не только для роботов, но и для человека. Возможно, поэтому «Яндекс» предоставил выбирать сложность капчей самим владельцам сайтов. Как минимум теперь они смогут экспериментировать с качеством своей защиты.

К сожалению, «Яндекс» не предоставляет возможности для кастомного формирования капчей и оценки результатов их выбора посетителями сайтов. Эта опция могла бы быть полезной самим компаниям – клиентам «Яндекса». Например, 20 лет назад на такой опции Google выстроил проект по оцифровке газетного фонда, благодаря чему удалось оцифровать архив всех газетных публикаций The New York Times с самого первого выпуска в 1851 году. Это было большое культурное достижение. Оно позволило практически бесплатно решить задачу, за которую не бралось ни одно профильное агентство.

С сегодняшнего дня в сервисе SmartCaptcha появятся ряд существенных улучшений. Станет доступен выбор типов проверок для основного челленджа (чек-бокс и слайдер) и для дополнительного челленджа (текст, силуэты, калейдоскоп). Появится возможность настроить уровень сложности проверок, при этом для оценки правильности выбора клиентам станет доступен встроенный мониторинг с различными метриками, например, показы капчи, успешные прохождения капчи, количество успешных validate запросов в API сервиса и т. д. По этим метрикам можно будет оценивать эффективность работы капчи.

Сколько это стоит?

В арсенале конфигуратора пользователя веб-сайта и раньше была опция защиты от DDoS-атак в рамках услуг Advanced Yandex DDoS Protection и Managed Web Application Firewall. Однако цены на эти услуги остаются достаточно высокими. Они ограничивают применение данной опции в основном только для компаний среднего и крупного бизнеса.

 

Достоинство новой функции Smart Web Security состоит в том, что она позволяет активно противодействовать DDoS также и для компаний малого бизнеса, ведущим свой интернет-бизнес через Yandex Cloud. Пока информации о тарифах на эту опцию нет, она предоставляется в режиме Public Preview ограниченному количеству пользователей бесплатно по запросу. Мы попросили ответить «Яндекс» о планах будущей тарификации этой услуги, но, к сожалению, пока не получили ответа.

«Для нас приоритетно не просто обеспечивать высокий уровень безопасности собственной инфраструктуры, а предоставлять готовые сервисы для защиты ИТ-систем клиентов, – отметил Григорий Атрепьев, директор по продуктам в Yandex Cloud. – Smart Web Security – хороший пример, в котором мы применили алгоритмы защиты, разработанные с учетом экспертизы ИБ-специалистов Яндекса».

Что ждать в будущем еще?

В будущем в сервисе для фильтрации трафика появится еще и технология WAF (Web Application Firewall, межсетевой экран для веб-приложений), обещает «Яндекс». Этот инструмент позволит осуществлять фильтрацию трафика и предоставлять сервис Yandex DDoS Protection на уровнях L3 (сетевой) и L4 (транспортный). Владельцы сайтов в Yandex Cloud смогут комплексно работать с безопасностью на уровне сети и на уровне приложений.

«Яндекс» отмечает, что новый сервис Smart Web Security уже нативно интегрирован с другими продуктами его облачной платформы. В частности, можно по кнопке развернуть его в рамках балансировщика нагрузки Yandex Application Load Balancer, использовать Certificate Manager для безопасного хранения и использования TLS-сертификатов. Средствами Cloud Logging и Audit Trails можно использовать логи сервиса Smart Web Security для анализа трафика и событий безопасности. Можно также применять накопленные данные для мониторинга в рамках Yandex Monitoring.

Насколько накладна для «Яндекс» реализация новой функции Smart Web Security?

Согласно обнародованным данным, в настоящее время облачным сервисом Yandex Cloud пользуется более 29 тыс. клиентов. Как уже было отмечено ранее, наиболее нагруженный сценарий поддержки, охватывающий загрузку капчи в виде «ломанного текста», требует передачи трафика в размере 300 Кбайт. Используемые ML-алгоритмы позволяют отсечь не менее 50% от дополнительной проверки, опираясь на поведенческий анализ активности. Благодаря этому для них не требуется загрузка графики капчей. Таким образом, благодаря ИИ и оптимизации процедуры обработки, «Яндекс» обеспечил ограничение повышенной загрузки при реализации DDoS-защиты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru