Описание и условия предоставления услуги «Защита от DDoS-атак (StormWall)», «защита веб-приложений (StormWall)». Приложение № 1.CRS.3.

1. Общая информация и описание Услуг

[1]

Здесь и далее по тексту документа под «сервисами Заказчика» подразумеваются любые сервисы, доступные по протоколу HTTP, HTTPS или иным прикладным протоколам, подверженным DDoS-атакам, в том числе, но не ограничиваясь WEB-сайтами, доменными именами, Интернет-магазинами и прочими WEB-сервисами Заказчика.

[2]

Т.е. без необходимости установки программного обеспечения на серверы Заказчика.

2. Описание Услуги «Защита от DDOS-атак (StormWall)»

• сквозную передачу на оборудование Заказчика IP-адресов источников запросов;

• возможность прохождения протокола WebSocket с настройкой соответствующих портов;

• беспрепятственную работу легальных поисковых ботов и не оказывает влияния на показания Яндекс- и Google-метрик в части источников перехода даже в режиме фильтрации атаки. При этом полностью исключено влияние защиты на такие показатели, как число внутренних переходов, число отказов и продолжительность сессии;

• не менее 5 точек очистки трафика по миру в США, Европе, Российской Федерации, Центральной Азии и в Китае.

• TCP-флуд (включая SYN ACK reflecton flood, TCP ACK flood, TCP fragmented attack);

• SYN-флуд (включая Spoofed SYN flood);

• UDP-флуд (включая DNS/NTP/SSDP amplification, UDP fragment flood);

• HTTP/S-флуд (POST/GET bot attack, SlowLoris);

• ICMP-флуд (включая Smurf attack, Ping of Death);

• Флуд другими протоколами (GRE flood etc.);

• Заполнение полосы пропускания (volumetric flood).

• фильтрацию как HTTP, так и HTTPS трафика с раскрытием приватных ключей SSL;

• поддержку протокола HTTP/2 без переключения клиентов с поддержкой протокола HTTP/2 на более старые версии протокола;

• балансировку нагрузки между пулом основных и резервных бэкендов;

• кэширование для необходимых расширений файлов;

• обеспечивается защита от атак, имеет техническую возможность подавления (грубой очистки) атаки емкостью не менее 3,5 Тбит/сек;

• обеспечивается тонкая пакетная фильтрация трафика со скоростью не менее 1,6 Тбит/с.

3. Порядок доступа к Услуге «Защита от DDOS-атак (StormWall)»

• По количеству запросов в секунду;

• По % соотношению запросов, завершенных с ошибками на подзащитном сервисе;

• По скорости увеличения входящего трафика;

• Возможность настройки индивидуальных порогов для блокировки IP-адресов по количеству заблокированных запросов и запросов в определенные области web-приложения (Location);

• Возможность настройки максимальной продолжительности атаки, а также управление условиями завершения (обратного перехода из режима активной фильтрации в режим обнаружения).

• Выбор определенного домена/поддомена и персональная настройка для каждого сайта

• Возможность построения различных графиков:

  • запросов к сайту с возможностью выбора типа отображаемых запросов: общее количество запросов, разрешенные запросы, из кэша, в белом списке, всего заблокированных запросов, ошибки;

  • объема трафика с возможностью просмотра информации за диапазон в 5 минут;

  • Графики времени ответа и кодов ответа с возможностью просмотра информации за диапазон в 5 минут с шагом 0-50 ms, 51-100 ms, 201-600 ms, 601-1000 ms, 1001-4000 ms;

  • График кодов ответа с возможностью просмотра информации за диапазон в 5 минут;

• Возможность масштабирования графиков за период 5 минут, 15 минут, 1 час, 3 часа, 6 часов, 24 часа, 3 дня, неделя, месяц;

• Тепловая карта запросов;

• Информация о городах и странах, откуда были запросы. Отображение в виде списка и в виде круговой (секторной) диаграммы;

• Список и круговая (секторная) диаграмма основной локацией запросов с отображением процента;

• Возможность скачать лог запросов;

• Возможность управления функциями black и whitelist для определенного домена/поддомена, а именно просмотр и добавления/удаления IP адресов;

• Возможность просмотра истории атак для определенного домена/поддомена с выбором конкретных дат и формированием PDF-отчета в реальном времени. По каждой атаке должна быть возможность просмотреть подробную информацию по цели атаки, по уровню атаки, по времени начала и конца атаки, мощность атаки, протокол и значение на момент атаки в rps / bps / cps с подробным графиком. В деталях трафика должна быть информация по запросам на сайт, объему трафика, времени ответа, кода ответа и тепловая карта с указанием топ локаций;

• Возможность просмотра заблокированных IP адресов и истории блокировок за определенный период с указанием времени и причины блокировки;

• Возможность смены IP backend адреса сервера/хостинга;

• Возможность добавления субаккунтов с настройками прав управления под каждый аккаунт отдельно;

• Возможность смены имени домена/поддомена без дополнительных плат или обращений;

• Возможность ручной настройки редиректов с одного домена на другой;

• Возможность добавления Websocket;

• Возможность добавление e-mail адресов для получения рассылок об атаках;

• Возможность активации проактивной защиты для проверки новых клиентов по методам location, keepalive соединения, использованию User Agent и лимитам RPS.

• Полностью выключена в этом режиме защита полностью выключена. Ни при каких обстоятельствах защита не будет переключена ни каким из автоматов.

• Выключена/авто для запросов с обычных IP защита выключена. Но если IP находится в грейлисте, то уровень защиты автоматически повысится до редиректа. Если IP находится в дарклисте, то защита будет повышена до максимальной(капча). Если IP находится в блэклисте, то соединение закроется с 418 статусом.

• Редирект/авто для запросов с обычных IP применяется редирект. Но если IP находится в грейлисте, то уровень защиты автоматически повысится до JS валидации. Если IP находится в дарклисте, то защита будет повышена до максимальной(капча). Если IP находится в блэклисте, то соединение закроется с 418 статусом.

• JS/авто для запросов с обычных IP применяется JS валидация. Для IP грейлиста/дарклиста применяется JSA. Если IP находится в блэклисте, то соединение закроется с 418 статусом.

• JSA/авто для запросов с обычных IP применяется JSA валидация. Для IP грейлиста/дарклиста применяется капча. Если IP находится в блэклисте, то соединение закроется с 418 статусом.

• Капча/авто для всех запросов применяется капча.

• Редирект (Redirect) для всех запросов применяется редирект.

• JS для всех запросов применяется JS валидация.

• JSA для всех запросов применяется JS валидация.

4. Описание Услуги «Защита Веб-приложений (StormWall)»

• поддерживает протокол WebSocket, приложения, использующие NTLM-аутентификацию;

• работа с использованием сигнатурных методов обнаружения аномалий 3.

• основных видов атак на веб-приложения из перечня OWASP Top 10;

• на протокол HTTP, включая атаки на переполнение буфера; синтаксических в т.ч. различных атак класса injection (внедрение команд в передаваемые данные SQL Injection, Code Injection, OS Command Injection, LDAP Injection, Path Traversal и др.);

• «методом грубой силы», в т.ч. переборных атак и атак класса «умный DoS»;

• логических на приложения, в том числе от атак на механизмы аутентификации и контроля сессий и атак на бизнес-логику;

• «внутри» передаваемых данных с произвольным уровнем вложенности (атаки на бэкенд, механизмы сериализации/десериализации и т.п.);

• на клиенты веб-приложений (CSRF, XSS);

• 0-day и 1-day атак;

• нежелательной активности с применением средств автоматизации (защита от ботов).

• определения и фильтрации статического контента;

• валидации протокола HTTP, включая контроль заголовков, cookie и др.;

• рекурсивной модели синтаксического анализа запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности данных (в частности, XML, JSON, BASE64, GZIP, SOAP);

• источников – определение характеристик источника на основе параметров запроса;

• определения логических действий (бизнес-действий) в приложении, параметров логических действий и их значений, последовательностей действий, проверки успешности действий;

• идентификации, аутентификации и контроля сессий в приложении;

• защиты от переборных атак и атак типа «умный DoS» на уровне отдельных логических действий и произвольных параметров действия;

• наличие готовых моделей валидации протокола HTTP и синтаксического анализа запросов для типового веб-приложения в комплекте поставки;

• возможность ручной тонкой настройки моделей отдельно для каждого из логических действий и параметров, в частности настройка сигнатурного анализа, моделей параметров, конфигураций модуля защиты от переборных атак.

• аномалий или значимых данных как в HTTP-запросах, так и в HTTP-ответах; в работе приложения на основе настроенных позитивных моделей приложения (совпадение с моделью или наоборот – отклонение от нее);

• работы приложения на основе сопоставления значений параметров HTTP запросов/ответов с сигнатурами атак;

• аномалий и значимых параметров непосредственно внутри вложенных данных, передаваемых по протоколу HTTP без ограничений на количество уровней вложенности; в процессе работы механизмов идентификации, аутентификации, авторизации пользователей и контроля пользовательских сессий;

• аномалий, свидетельствующих о возможных попытках атак, осуществляемых «методом грубой силы» (bruteforce);

• нарушение бизнес-логики приложения или контроля выполнения бизнес-логики путем использования соответствующей позитивной модели работы приложения.

• предварительного («раннего») подавления, чтобы исключить возможность их влияния на сформированные правила принятия решений, а также чтобы предотвратить их попадание в интерфейс мониторинга;

• упрощенного («быстрого») подавления Исполнителем непосредственно при просмотре описания выявленной аномалии;

• возможность тонкой настройки различных механизмов определения аномалий в привязке к отдельным параметрам запроса/ответа или логическим действиям в приложении.

• наличие настраиваемого модуля принятия решений, позволяющего выделять значимые события информационной безопасности и принимать решения относительно дальнейших действий в отношении HTTP-транзакций (запрос/ответ);

• управление правилами принятия решений на основе данных об источнике (ip-адрес, пользователь, id сессии) и цели HTTP-транзакции (приложение, логическое (бизнес)-действие), а также обнаруженных в ней аномалиях или значимых данных;

• поддержка следующих возможных решений: блокировать HTTP-транзакцию, пропустить HTTP-транзакцию, пометить HTTP-транзакцию, модифицировать ответ.

• определение и описание статического контента на основе анализа статистики запросов к защищаемым приложениям;

• построение рекурсивной модели синтаксического анализа данных запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности (в частности, XML, JSON, BASE64, GZIP, SOAP);

• выявление сигнатурных правил с высоким уровнем ложных срабатываний (автоматическое подавление ложных срабатываний);

• построение модели маршрутизации запросов для веб-приложения;

• построение моделей логических действий в приложении и моделей параметров этих действий, а также последовательностей (цепочек) логических действий;

• оценка отклонения параметров логических действий в веб-приложении от статистической нормы.

• непрерывное обучение в процессе функционирования;

• периодический запуск заданий по обучению по установленному расписанию;

• ручной однократный запуск заданий по обучению;

• инкрементное (только для изменений, произошедших с момента предыдущего обучения), а также частичная ручная корректировка результатов обучения для отдельных статических ресурсов, ложных срабатываний, логических действий и т.п. без необходимости проводить обучение заново.

[3]

В том числе наличие базового набора встроенных сигнатур в комплекте поставки для защиты от угроз OWASP top 10; поддержка распространенного открытого формата веб-сигнатур ModSecurity.

5. Состав, условия и порядок оказания услуги

6. Тарификация Услуги

• \(P\) — ежемесячный платеж за Услугу.

• \(T\) — цена за 1 месяц пользования по Тарифу.

• \(F\) — цена за 1 Мбит/с превышения и/или цена за 1 RPS превышения, указанная в Спецификации в Приложении № 1.0. к Договору.

• \(R\) — легитимная пропускная способность, включенная в подписку.

• \(Y\) — фактически использованная легитимная пропускная способность по 95 перцентилю за расчетный период. Легитимная полоса пропускания, включенная в подписку, может быть превышена на 36 часов за каждый расчетный период (5% времени в месяц). Используемая полоса пропускания измеряется делением количества переданных данных на 5 минутный интервал. По окончании расчетного периода 5% от максимальных значений удаляются. Затем из оставшихся 95% выбирается максимальное число, которое используется для расчета.

• Если значение \(К\) превысило Тариф в диапазоне от 15% до 59,99%, вознаграждение за превышение Тарифа рассчитывается по формуле: \((\text{следующий Тариф}) – (\text{текущий Тариф}) * 0,7\).

• Если значение \(К\) превысило Тариф на 60% и выше, вознаграждение за превышение Тарифа рассчитывается по формуле: \((\text{необходимый для значения К Тариф}) – (\text{текущий Тариф})\).

• Если значение \(К\) превысило Тариф в диапазоне от 200 RPS до 499 RPS, вознаграждение за превышение Тарифа рассчитывается по формуле: \((\text{следующий Тариф}) – (\text{текущий Тариф}) * 0,6\).

• Если значение \(К\) превысило Тариф на 500 RPS и выше, вознаграждение за превышение Тарифа рассчитывается по формуле: \((\text{необходимый для значения К Тариф}) – (\text{текущий Тариф})\).

7. Иные условия, применимые к Услугам

[4]

С учётом особенностей, изложенных в разделе 6 настоящего Приложения.