Финансовый сектор – одна из самых атакуемых отраслей, и брокеры – не исключение. Масштабные DDoS и ботовые атаки приводят к сбоям в работе сервисов, серьёзным убыткам, регуляторным рискам, что требует от брокеров усиления киберзащиты. Так «БКС Мир Инвестиций» внедрила решение Servicepipe, которое уже получило признание экспертов за эффективную защиту ИT-инфраструктуры финансовых компаний.

В начале мая старейшая азиатская торговая площадка – Бомбейская фондовая биржа (BSE) – выпустила предупреждение для участников рынка о необходимости усиления мер кибербезопасности. Среди потенциальных угроз она назвала DDoS-атаки. И это не было пустым предупреждением. Например, накануне, в апреле, кибератаке подверглись сразу несколько малазийских брокеров. В целом глобально в первом квартале 2025 года финсектор оставался одним из главных объектов DDoS-атак, занимая шестое место среди предпочтений киберпреступников, следует из данных Cloudflare.

Россия – не исключение. После событий 2022 года брокерские компании стали фиксировать мощнейшие DDoS-атаки, сообщал ТАСС. В 2023 году количество всех ботовых атак на российских брокеров выросло на 35% (при росте общего количества ботовых атак за год на 27%), писало Frank Media со ссылкой на данные Servicepipe. А в первом квартале следующего года брокеры столкнулись с атаками уже с помощью «продвинутых» ботов, мимикрирующих под реальных пользователей ресурсов. Московская биржа, как и её зарубежные коллеги, также стала объектом DDoS-атаки в июне, сообщало Frank Media.

Это заставляет брокеров активно защищать себя и своих клиентов. Например, в инвестиционной компании «БКС Мир Инвестиций» ощутили опасность для себя ещё летом 2021 года – тогда масштабной DDoS-атаке подвергся её интернет-провайдер, рассказывает руководитель центра противодействия внешним атакам БКС Никита Зибаев. По его словам, тогда компании пришлось мигрировать на защищённый интернет-канал со встроенным сервисом автоматического выявления и блокировки сетевых DDoS-атак, который предоставила «Телеком биржа».

Однако когда в 2022 году финансовый сектор столкнулся с масштабными DDoS-атаками в десятки млн запросов в секунду – кибератаки перешли в плоскость веб-приложения и стали нагружать балансировщики и веб-серверы. 

«В 2022 году случились DDoS-атаки, которые подключённый (и передовой на тот момент) российский сервис защиты не мог заблокировать», – рассказывает Никита Зибаев. БКС требовалось усиление средств защиты.

При этом брокеру необходимо было соблюдать требования регулятора и внутренние требования топ-менеджмента самой компании. В частности, компания не должна была передавать ключи шифрования SSL другим сторонам, чтобы исключить возможность доступа злоумышленников при взломе провайдера защиты или анализе клиентских данных, рассказывает Никита Зибаев. 

«Главный критерий выбора антибот-решения – высокая точность защиты от ботов без раскрытия ключей SSL, в том числе и для мобильного API», – подчеркивает он.

В итоге выбор пал на решение, предоставленное компанией Servicepipe. С 2021 года финансовые организации обязаны соблюдать требования стандарта ГОСТ Р 57580, который регулирует защиту информации при проведении финансовых операций. Этот стандарт довольно сложный – в нём содержится более 400 требований, включая, например, наличие «функционала обнаружения вторжений».

Система защиты Servicepipe Cybert удовлетворяла этому требованию, но лишь при условии размещения внутри инфраструктуры БКС. Чтобы обеспечить локальную защиту зашифрованного трафика и не передавать SSL-сертификаты за пределы корпоративной сети, было принято решение интегрировать программное обеспечение (ПО) непосредственно в веб-сервер NGINX, используемый в инфраструктуре брокера.

Такой подход исключил передачу ключей шифрования сторонним компаниям и позволил запускать алгоритмы определения нежелательной автоматизации (например, ботов) прямо внутри корпоративного контура, на уровне приложения (L7). Это значительно повысило безопасность и эффективность защиты веб-ресурсов.

Установка и настройка NGINX-модуля для локальной фильтрации трафика заняли всего один день, после чего система стала ключевым элементом безопасности на первом рубеже защиты БКС. На данный момент в России отсутствуют решения, подобные этому, говорит Никита Зибаев.

 «Servicepipe Cybert даже более точен, чем решения некоторых зарубежных лидеров рынка Bot Management», – уверен он.

Алгоритм работы локальной защиты БКС

1. На веб-серверы NGINX установлено ПО Servicepipe Cybert.

2. Веб-сервер БКС принимает соединение и устанавливает HTTPS-сессию.

3. Развёрнутый на нем NGINX-модуль получает необходимые для анализа на прикладном уровне данные о запросе и сверяется с локальным кэшем. В случае отсутствия в локальном кэше вердикта модуль направляет данные о запросе на проверку в систему принятия решений Servicepipe. Получив вердикт, модуль сохраняет его в кэше и выдаёт серверу директиву – пропустить или заблокировать данный запрос.

Поскольку клиенты и сотрудники БКС могут выходить в интернет через VPN, анонимайзеры или корпоративные компьютеры, система фильтрации иногда может ошибочно принять легитимный трафик за вредоносный. Чтобы таких ложных срабатываний было как можно меньше, защита постоянно обучается на основе реального «хорошего» трафика, который проходит через защищаемые ресурсы.

«БКС не оставляет без внимания ни одну ложноположительную блокировку клиента. Совместно с Servicepipe выстроен процесс оперативного разрешения ситуаций блокировок клиентов», – рассказывает главный специалист центра противодействия внешним атакам БКС Михаил Драгунов.

Кроме того, по его словам, был выстроен автоматизированный процесс учёта обращений клиентов, при котором Servicepipe Cybert непрерывно дообучается профилям легитимного трафика по всем защищаемым ресурсам. При этом, чтобы модель для обучения становилась шире, БКС умышленно заводит необходимые сервисы под защиту отдельными веб-ресурсами.

«Мы считаем, что обучение легитимному трафику в рамках большого количества разных ресурсов происходит значительно лучше. Поэтому мы отдельно завели под защиту значительное количество наших сайтов, сервисов, даже чаты и бэклог-трекеры», – указывает он. «Благодаря сотрудничеству с БКС мы усиливаем собственные алгоритмы выявления и фильтрации нежелательного трафика, непрерывно дообучаясь на многочисленных веб-ресурсах и сложном трафике заказчика», – говорит директор по продуктам Servicepipe Михаил Хлебунов.

Внедрение защиты позволили эффективно фильтровать все виды DDoS-атак и нелегитимных ботов в реальном времени, защищая как ИT-инфраструктуру, так и приложения БКС на всех уровнях, говорят представители брокера. Теперь все веб-ресурсы, включая мобильные API, защищены от атак на авторизацию и от сканирования уязвимостей. При этом вся защита работает внутри инфраструктуры брокера без передачи зашифрованного трафика сторонним компаниям, что соответствует требованиям как регулятора, так и топ-менеджмента компании.

Как результат, количество инцидентов для разбора WAF сократилось на 95% – с 20 миллионов до 1 миллиона вредоносных запросов в месяц. Сейчас объём очищенного трафика превышает 1,5 Гбит/с в месяц. По оценке аналитиков БКС, благодаря отсутствию простоев из-за DDoS-атак на инфраструктуру и приложения удалось избежать убытков в сотни миллионов рублей.

В декабре 2024 года за совместный кейс БКС и Servicepipe компаниям была вручена Национальная банковская премия в номинации «За инновации в защите от веб-угроз в финсекторе».

Текст: Олеся Ошанина

Материал также опубликован в печатной версии Национального банковского журнала (июнь 2025)