Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

В рамках проходящей в эти дни конференции Yandex Cloud компания «Яндекс» объявила об официальном запуске нового сервиса для защиты веб-приложений — Smart Web Security. В настоящее время функция Smart Web Security работает в режиме Public Preview и предоставляется ограниченному количеству пользователей бесплатно по запросу. Воспользоваться новым сервисом смогут компании, разместившие свои сайты в облаке Yandex Cloud.

Новая технология Smart Web Security позволяет блокировать наиболее сложные атаки злоумышленников, которые реализуются через ботов на прикладном уровне L7 (Application level) по классификации OSI. Считается, что такие DDoS-атаки максимально близко имитируют поведение «живых» пользователей, поэтому для защиты от реализуемых с их помощью DDoS-атак наиболее эффективным является отсечение ботов от доступа к разделам пользовательских сайтов. Технически данная функция была доступна и ранее, но на уровне корпоративных средств защиты. Это стоило достаточно высоких затрат. Теперь опция защиты от DDoS становится доступной для всех клиентов Yandex Cloud.

Особенности работы механизма Smart Web Security

Как отмечает «Яндекс», новая технология помогает выявлять угрозы с помощью поведенческого анализа пользователей, встроенных алгоритмов машинного обучения и средств интеграции с капча-механизмом Yandex SmartCaptcha. Новый сервис «Яндекса» проводит верификацию запросов и способен отличить обращения пользователей от действий роботов в автоматическом режиме.

Если механизм «Яндекса» при автоматической идентификации убеждается, что перед ним с высокой достоверностью присутствует человек, то сервис обходит вызов капча-опции «Я не робот». Если подключение опции показа капчи все-таки требуется, то пользователю достаточно просто кликнуть на чек-бокс и подтвердить, что он не является роботом. В остальных случаях, когда механизм оценки «Яндекса» показывает высокую вероятность присутствия робота, запускается обработка капчи в полном объеме: на экране появляется «изломленный» текст, а от пользователя требуется ввод показанных слов с клавиатуры.

 

Новый сервис был разработан на основе «Антиробота» – внутренней технологии «Яндекса», которая давно применяется внутри компании для отражения DDoS-атак на ее собственные сервисы, сообщает сам вендор. Интеграция тех же ML-алгоритмов в Smart Web Security позволит вести постоянное дообучение механизма на новых реальных паттернах, перехватываемых «Яндексом» в сегменте легитимного и нелегитимного трафика.

Следует также напомнить, что, по имеющимся данным, исходный код Smart Web Security ранее попал в массовую утечку, которая произошла в январе 2023 года. Тогда в сеть попали 45 Гбайт данных «Яндекса» в открытом виде, в том числе исходные коды его отдельных механизмов и готовящейся функции Smart Web Security. Многие утверждали, что из-за этого «Яндекс» получил тогда не только серьезные репутационные убытки, но и трудности в будущей реализации защиты от DDoS. Яндекс не комментировал необходимость переработки алгоритма выявления роботов, поэтому сейчас нет достоверных сведений, работает ли механизм в его нынешней реализации на «слитом» коде или код претерпел существенные изменения.

Кастомизация Smart Web Security

Можно отметить, что «Яндекс» предоставил не просто механизм Smart Web Security, но также предусмотрел возможность его кастомизации. Типовые опции управления представлены в готовых пресетах, но пользователь может выбирать, например, сложность генерируемых капчей, добиваясь эффективной защиты от интеллектуальных DDoS-атак, когда злоумышленники используют механизм для распознавания.

«Яндекс» не использует для капчей рисунки и фотоснимки, поскольку злоумышленники уже научились достаточно хорошо распознавать и обходить такую защиту. Вместо этого «Яндекс» применяет кастомную генерацию двухсловных последовательностей. Сложность их распознавания увеличивается с ростом количества изломов текста. Впрочем, известно по исследованиям самого «Яндекса», что с ростом количества и степени изломов падает распознаваемость текста не только для роботов, но и для человека. Возможно, поэтому «Яндекс» предоставил выбирать сложность капчей самим владельцам сайтов. Как минимум теперь они смогут экспериментировать с качеством своей защиты.

К сожалению, «Яндекс» не предоставляет возможности для кастомного формирования капчей и оценки результатов их выбора посетителями сайтов. Эта опция могла бы быть полезной самим компаниям – клиентам «Яндекса». Например, 20 лет назад на такой опции Google выстроил проект по оцифровке газетного фонда, благодаря чему удалось оцифровать архив всех газетных публикаций The New York Times с самого первого выпуска в 1851 году. Это было большое культурное достижение. Оно позволило практически бесплатно решить задачу, за которую не бралось ни одно профильное агентство.

С сегодняшнего дня в сервисе SmartCaptcha появятся ряд существенных улучшений. Станет доступен выбор типов проверок для основного челленджа (чек-бокс и слайдер) и для дополнительного челленджа (текст, силуэты, калейдоскоп). Появится возможность настроить уровень сложности проверок, при этом для оценки правильности выбора клиентам станет доступен встроенный мониторинг с различными метриками, например, показы капчи, успешные прохождения капчи, количество успешных validate запросов в API сервиса и т. д. По этим метрикам можно будет оценивать эффективность работы капчи.

Сколько это стоит?

В арсенале конфигуратора пользователя веб-сайта и раньше была опция защиты от DDoS-атак в рамках услуг Advanced Yandex DDoS Protection и Managed Web Application Firewall. Однако цены на эти услуги остаются достаточно высокими. Они ограничивают применение данной опции в основном только для компаний среднего и крупного бизнеса.

 

Достоинство новой функции Smart Web Security состоит в том, что она позволяет активно противодействовать DDoS также и для компаний малого бизнеса, ведущим свой интернет-бизнес через Yandex Cloud. Пока информации о тарифах на эту опцию нет, она предоставляется в режиме Public Preview ограниченному количеству пользователей бесплатно по запросу. Мы попросили ответить «Яндекс» о планах будущей тарификации этой услуги, но, к сожалению, пока не получили ответа.

«Для нас приоритетно не просто обеспечивать высокий уровень безопасности собственной инфраструктуры, а предоставлять готовые сервисы для защиты ИТ-систем клиентов, – отметил Григорий Атрепьев, директор по продуктам в Yandex Cloud. – Smart Web Security – хороший пример, в котором мы применили алгоритмы защиты, разработанные с учетом экспертизы ИБ-специалистов Яндекса».

Что ждать в будущем еще?

В будущем в сервисе для фильтрации трафика появится еще и технология WAF (Web Application Firewall, межсетевой экран для веб-приложений), обещает «Яндекс». Этот инструмент позволит осуществлять фильтрацию трафика и предоставлять сервис Yandex DDoS Protection на уровнях L3 (сетевой) и L4 (транспортный). Владельцы сайтов в Yandex Cloud смогут комплексно работать с безопасностью на уровне сети и на уровне приложений.

«Яндекс» отмечает, что новый сервис Smart Web Security уже нативно интегрирован с другими продуктами его облачной платформы. В частности, можно по кнопке развернуть его в рамках балансировщика нагрузки Yandex Application Load Balancer, использовать Certificate Manager для безопасного хранения и использования TLS-сертификатов. Средствами Cloud Logging и Audit Trails можно использовать логи сервиса Smart Web Security для анализа трафика и событий безопасности. Можно также применять накопленные данные для мониторинга в рамках Yandex Monitoring.

Насколько накладна для «Яндекс» реализация новой функции Smart Web Security?

Согласно обнародованным данным, в настоящее время облачным сервисом Yandex Cloud пользуется более 29 тыс. клиентов. Как уже было отмечено ранее, наиболее нагруженный сценарий поддержки, охватывающий загрузку капчи в виде «ломанного текста», требует передачи трафика в размере 300 Кбайт. Используемые ML-алгоритмы позволяют отсечь не менее 50% от дополнительной проверки, опираясь на поведенческий анализ активности. Благодаря этому для них не требуется загрузка графики капчей. Таким образом, благодаря ИИ и оптимизации процедуры обработки, «Яндекс» обеспечил ограничение повышенной загрузки при реализации DDoS-защиты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новая ИИ-модель копирует собеседника путем проведения опроса

Исследователи из трех американских университетов и команды Google DeepMind создали модель генеративного ИИ, способную после двухчасового аудиоинтервью сымитировать личность и поведение собеседника с точностью до 85%.

В контрольную выборку вошли 1052 добровольца разного возраста, пола, образования, достатка, национальности, вероисповедания и политических взглядов. Для всех были созданы индивидуальные программы-агенты одинаковой архитектуры.

Разработанный сценарий бесед включал обычные для социологических исследований вопросы, тесты «Большая пятерка» для построения модели личности, пять экономических игр («Диктатор», «Общественное благо» и проч.) и поведенческую анкету, составленную в ходе недавних экспериментов с большими языковыми моделями (БЯМ, LLM).

Ответы испытуемых сохранялись в памяти для использования в качестве контекста. Спустя две недели добровольцам предложили пройти тот же опрос, и LLM смогла предугадать их реплики с точностью до 85%.

 

По мнению авторов исследования, их метод создания цифровых двойников — хорошее подспорье в изучении индивидуального и коллективного поведения. Полученные результаты также можно использовать в социологии и для выработки политических решений.

К сожалению, совершенствование ИИ-технологий — палка о двух концах. Попав в руки злоумышленников, подобный инструмент позволит создавать еще более убедительные дипфейки, чтобы вводить в заблуждение интернет-пользователей с корыстной либо иной неблаговидной целью.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru