Wesfarmers’a ait Catch.com.au, 2022’deki ilk önemli dağıtılmış hizmet engelleme saldırısına yanıt olarak kısmen bir web uygulaması koruma yükseltmesi geçirdi.
Platform mühendisliği lideri Cameron Hall, geçen ay ABD’de düzenlenen AWS re:Inforce 2024 konferansında, 2006’da kurulan çevrimiçi pazar yerinin o zamana kadar felç edici DDoS saldırılarından kaçınmada “oldukça iyi bir performans gösterdiğini” söyledi.
Hall, “Bildiğimiz kadarıyla daha önce bir DoS saldırısının kurbanı olmamıştık, en azından bizi çevrimdışı bırakacak kadar büyük bir saldırı olmamıştı veya fark etmemiştik” dedi.
“Ne olursa olsun, birinin bizi çevrimdışı bıraktığını biliyorduk [and] tekrar yapacaklar. Bu biraz oyun gibi.
“Sonuç olarak sitemiz yayında değilse, para kazanamayan tek kişi Catch değil, işlerini yürütmek için Catch’e güvenen satıcılarımızdır.
“Bu nedenle, her zaman işlem yapabileceğimizden emin olmamız gerçekten önemli.”
2022 saldırısında Catch’in sitesine normalden 11 kat fazla istek yönlendirildi.
Hall, olayın teknoloji ekipleri tarafından “iki dakika içinde” tespit edildiğini, ancak asıl nedenin teşhis edilmesinin biraz daha uzun sürdüğünü söyledi.
Kalkanlanmamış
DDoS tespit edildikten sonra, şirket gerekli koruma önlemlerini aldığına inandığı için başlangıçta bir miktar karışıklık yaşandı.
“Sitemize hizmet veriyoruz [AWS] Hall, “2011’den beri CloudFront kullanıyoruz… ve CloudFront’ta olduğumuz için AWS Shield Standard’a da sahibiz” dedi.
“Bu yüzden saldırıya uğradığımızda biraz kafamız karıştı. ‘AWS Shield’ımız var, sitemiz neden kapatılıyor? DoS saldırılarından korunmuyor muyuz?’ diye düşündük.”
Bulut sağlayıcısının temel DDoS koruma mekanizması olan AWS Shield Standard etkinleştirildi, ancak yalnızca ağ ve taşıma katmanı saldırılarını otomatik olarak azaltıyor; uygulama katmanını hedef alan saldırıları azaltmıyor.
AWS, uygulama katmanını hedef alan DDoS saldırılarını tespit edebilen Gelişmiş bir Shield sürümüne sahiptir. Ancak meşru kullanıcı trafiğinin engellenmesini önlemek için yine de otomatik azaltmalar uygulamaz.
Catch’te Shield Standard’ın yanı sıra, uygulama katmanı saldırılarını hafifletmede rol oynayabilecek AWS WAF (web uygulama güvenlik duvarı) da bulunuyordu.
Ancak Catch, “Amazon tarafından yönetilen her kuralı sayım modunda bırakmıştı”, istekleri topluyor ancak bunlara izin verilip verilmeyeceğine karar vermiyordu.
Hall, “WAF kurallarını uygularken meşru trafiği engellemeye başlayacağınız konusunda doğal bir korku vardır ve bu, bizimki gibi eskiyen monolitik web uygulamaları söz konusu olduğunda daha da geçerlidir” dedi.
Hall, WAF’ın hayata geçirilmesinde başka faktörlerin de rol oynamış olabileceğini ancak bunların büyük ölçüde etkinleştirilmediğini ileri sürdü.
“Catch’te çalışmak, girişimci bir girişimde çalışmaya çok benziyor. Her zaman işleri halletmek için çabalıyoruz,” dedi.
“Bazı şeyler tam olarak yapılmıyor, ama birçok şey de sonuna kadar yapılıyor.
“Meşru trafiği engelleme korkusunun WAF’ımızın hala sayımda olmasının sebebi olduğunu tahmin ediyorum. Ancak bunu kuran kişiyi savunmak gerekirse, bunun bir ünvandan başka bir şey olmadığından neredeyse eminim. [in an architecture specification] ‘AWS WAF’ı web sitesinin önüne koyun’ dedi. Ve onların hakkını vermek gerekirse, tam olarak kutunun üzerinde yazanı yaptılar.”
Alınan önlemler
Şirketin DDoS koruma sınırlamaları netleştikten sonra Catch, WAF’ı kullanarak DDoS’u azaltmak için bazı acil önlemler aldı.
Altyapısının “çökmesini” önlemek için “cömert bir küresel oran sınırı” getirdi; benzer bir olayla karşılaşabilecek “bir sonraki kişi için bir kullanım kılavuzu” olarak “basit bir engelleme listesi ve ilgili bir oyun kitabı” oluşturdu; ve “sadece Avustralya ve Yeni Zelanda ile trafiği sınırlamak için cam kırma coğrafi engelleme kuralı getirdi çünkü hedef pazarımız oralar.”
Hall, “Bu, sayım modundan çıkıp bir saldırıya yanıt olarak engelleme moduna geçtiğiniz bir kuraldır” dedi.
“Sizi her şeye karşı koruyamayacak ama bir saldırıyı hafifletmeniz gerektiğinde alet çantanızda bulundurmanız gereken bir araç ve birden fazla durumda fazlasıyla faydalı olduğu kanıtlandı.”
Web uygulaması koruma platformlarının kapsamını belirleme
Olaydan sonra pazar yeri operatörü ayrıca web uygulaması korumalarını yeniden değerlendirdi ve CDN, DDoS koruması, bot kontrolü ve -çözüm izin veriyorsa- API güvenliğini de kapsayan “hepsi bir arada çözüm” için pazara girdi.
Catch, “birçok sıkıcı satış görüşmesi ve demo” sayesinde birkaç şey öğrendi.
Öncelikle, API güvenliği birçok satıcının “yol haritasındaydı” ancak üretime hazır değildi. Bu, bir web uygulaması koruma platformunun “arzu edilen” bir özelliği olarak kabul edildiğinden ancak bir tane için pazarda olmanın birincil nedeni olmadığından, Catch “sadece sorunu ertelemeyi” tercih etti.
İkinci olarak, Catch’in piyasa incelemesinden çıkardığı en büyük ders, hepsi bir arada bir platformun maliyetinin ne kadar olacağıydı.
“[These platforms] Hall, “Gerçekten çok yüksek bir fiyat etiketiyle geliyor” dedi.
“İncelediğimiz bu çözümlerden herhangi birinin başlangıç fiyatı, alacağınız veya göndereceğiniz trafiğin miktarına bakılmaksızın yaklaşık çeyrek milyon dolardı.
“Sadece sözleşmeyi imzalayıp, işi bitirip, bütçeyi yapması gereken bir sonraki adam için sorun yaratabilirdim.
“Ancak biz düşük marjlı, yüksek hacimli bir perakendeciyiz, dolayısıyla bu tür yatırımları değerlendirirken maliyet bilincine sahip olmak bizim için kesinlikle çok önemli.
“Ve biz bu daha ‘beyaz eldiven’ çözümlerine doğru yönelmeye başladığımızda, bir adım geri çekilip bunu gerçekten karşılayıp karşılayamayacağımızı yeniden değerlendirmek zorunda kaldık.”
Hall’un “fiyat şoku” olarak nitelendirmesi, Catch’in AWS’nin yeteneklerini yeniden değerlendirmesine yol açtı.
Hall, “Zaten yarısını tamamlamıştık” dedi.
Hall, Catch’in piyasaya sürüldüğü dönemde Layer 7’yi hedef alan DDoS saldırılarından korunması için AWS’nin Shield Advanced için 60 günlük deneme süresi sunduğunu söyledi.
Hall, “AWS çözümüne baktığımızda, biraz daha kendin yap tarzı bir yapı görüyoruz. Bu zaten bilinen bir şey, yapı taşları bunlar” dedi.
Ancak kurulum ve devam eden işletme maliyetlerinin önemli ölçüde daha düşük olduğunu söyledi.
“AWS opsiyonuyla toplam sahip olma maliyetimiz ilk yıl iki kat, sonraki her yıl ise dört kat tasarruf sağladı.
“Yani… AWS Shield Advanced’imiz, Amazon tarafından yönetilen kuralların artık hesaba katılmadığı AWS WAF’ımız ve bot kontrolümüz var.”
Tedarik sırasında AWS’nin bot kontrol yetenekleri sınırlıydı ve Catch, beş yıldır “insan davranışını taklit etmeye çalışan daha gelişmiş botları” tespit etmek için kullandığı başka bir bot koruma platformuna sahipti.
AWS, 2022’nin sonlarında daha gelişmiş botları da hedefleme yeteneğini tanıttı ve Catch, bazı şüphelere rağmen bunu test etmeyi seçti.
“AWS’nin bunu yapma yönündeki ilk girişimiydi. Botları tespit etmenin çok basit bir şey olmadığını ve gerçekten iyi olmanın zaman aldığını biliyorduk, bu yüzden AWS çıktığında biraz çekingen davrandık, ancak neler yapabileceğini görmek için gerçekten istekliydik,” dedi Hall.
“Mimarimiz [set up] Böylece AWS’nin hedeflenen blok korumasını kullanabildik ve AWS’nin kaçırdığı her şey üçüncü taraf seçeneğine düştü.
“Üçüncü taraf çözümü günlükler sağladı ve biz de bunları AWS’ye geri gönderdik, böylece bot ürününü geliştirmelerine yardımcı olabildik. Bunun gerçekten etkili bir strateji olduğu kanıtlandı.”
Yine bu çalışmalardan yola çıkarak Catch, bazı sınırlamalarla da olsa WAF kurallarını oluşturuyor ve uygulamaya koyuyor.
Şirket, tüm yeni kuralları sayım modunda uygulamaya devam ediyor, böylece kurallar özelleştirilebilir hale getirilebiliyor ve istisnalar, isteklere izin vermek veya istekleri engellemek için kullanılmadan önce yönetilebiliyor.
Hall, “Güven oluştuğunda, engelleme kurallarını teşvik edeceğiz” dedi.
Bu güvenin oluşturulmasına yardımcı olmak için WAF günlükleri, trafik modellerini ve davranışlarını anlamak amacıyla bir gözlem platformu olan Datadog’daki bir panoya aktarılır.
“Bunu, en sık hangi kuralların engellendiğini belirlemek için kullanıyorduk. Dünden bu yana ne değişti? Engelleme isteklerinde veya sayılarında artışlar var mı? Sadece ne olduğunu görmeye çalışıyoruz,” dedi Hall.
Hall, bu kurulumun Catch’in yeni kurallara uyma ve ayarlama süresini “haftalardan günlere” düşürmesini sağladığını sözlerine ekledi.