Za minulý rok urazila služba WEDOS Global Protection významnou cestu. Díky zpětné vazbě od testerů, zákazníků i odborné veřejnosti jsme jí posunuli na úplně jinou úroveň. Z čistě multifunkční kybernetické ochrany, která ochrání každý web, jsme se postupně dostali až ke službě, která dokáže navíc využít webovou CDN cache a výrazně zrychlit weby zákazníků. Nicméně ty největší výzvy nám přinesli velcí a ti nejnáročnější uživatelé tarifu WEDOS Global Ultimate.
Jsme stát a potřebujeme to provozovat pod vlastním ASN
Na přelomu května a června 2023 jsme zajeli do USA představit naši infrastrukturu WEDOS Global na jednu z nejvýznamnějších akcí na světě: CloudFest USA. Rozhodně jsme mezi ostatní vystavovatele nezapadli. Chtěli jsme ukázat, že i společnost z Evropy dokáže vybudovat globální infrastrukturu, která je schopná ochránit weby před kybernetickými hrozbami současnosti a budoucnosti.
Na akci měl náš šéf Josef Grill společně s naší obchodní ředitelkou Vendulou Královou přednášku o tom, jak jsme budovali WEDOS Global a jaké jsou naše ambice. Přednáška vzbudila velký ohlas a po skončeni našeho šéfa zavalil hlouček zvědavých posluchačů. On si rád povídá, takže jsme jej nechali :).
Jenomže když se ani po pár hodinách nevracel, tak jsme začali mít obavy…
Jeho vystoupení si poslechl i zástupce organizace, která chrání jeden stát (5x větší než ČR). Řekl si, že našeho šéfa také osloví, a ten mu vše vysvětlil a navrhl, ať si to vyzkouší. WEDOS Global Protection je možné si zdarma a bez závazků vyzkoušet v rámci trial verze na 15 dní.
Druhý den k našemu stánku naběhl celý nadšený a řekl, že se mu WEDOS Global líbí. Že jsme (v mnoha směrech) lepší než jejich současný dodavatel, který nabízí podobné služby a patří mezi nejznámější na světě. Klidně by nám dali šanci, ale musíme jim nabídnout něco, co nikdo jiný na světě zatím nedělá (poptávali toho hodně). Měli zájem o celý náš systém, ale pod jejich ASN.
Náš šéf řekl, že to není problém.
Co je ASN?
Představte si ASN jako unikátní identifikační číslo, které umožňuje jednotlivým síťovým systémům – neboli Autonomous Systems – vystupovat a komunikovat v globální internetové komunitě.
Každé ASN je přiřazeno konkrétní skupině síťových tras, které jsou spravovány jednou nebo více organizacemi. Toto číslo je klíčem k efektivnímu a bezpečnému směrování datových paketů přes internet.
Využíváním ASN mohou síťové systémy spolupracovat, efektivně sdílet informace a vytvářet robustní a vzájemně propojený digitální svět internetu. ASN je tedy nejen technickým nástrojem, ale i symbolem propojení a spolupráce v digitálním věku, kde každá síť přispívá k většímu celku a otevírá dveře k nekonečným možnostem inovací a pokroku.
Náš šéf v tom viděl velký potenciál. Zároveň má dostatečné technické znalosti, aby věděl, že to teoreticky možné je, protože byl u zrodu českého Internetu a v té době vybudoval z nuly tehdejší českou hostingovou jedničku na trhu, kterou později prodal.
Pak už to stačilo jen přetlumočit týmu, který má na starosti vývoj WEDOS Global a síťařům. Každý měl spoustu otázek, ale když velký úkol rozložíte postupně na dílčí úkony a vysvětlíte všechny nejasnosti, tak nic není nemožné.
A tak dnes v rámci WEDOS Global Ultimate můžete být chráněni vy i vaši zákazníci pod vaším ASN, vašimi IP adresami a DNS, kde může název serverů obsahovat přímo vaší doménu. O WEDOS nikde není ani zmínka ;).
Jsme velká korporace a potřebujeme mít přehled o tom, co vlastně blokujete
V našem TO-DO listu, co je potřeba udělat, jsou i statistiky pro službu WEDOS Global Protection. Aktuálně je v administraci pouze souhrn několika základních údajů, ale už teď evidujeme a vyhodnocujeme množství dat, včetně povahy různých druhů útoků. V budoucnu se o ně chceme podělit i s uživateli, ale vývoj komplexních a přehledných statistik je náročný a aktuálně naši vývojáři mají jiné priority.
Nicméně když za vámi přijde velká nadnárodní korporace, že se jim služba líbí, ale jejich IT oddělení by potřebovalo přesně vidět, co se blokuje na aplikační vrstvě, tak si řeknete, jak náročné by to bylo udělat?
Naštěstí máme v týmu šikovné kolegy, kteří dokáží pro náročné zákazníky s Ultimate připravit velmi hezké reporty v Grafana. Již dříve dělali reporty pro naši službu s vyhrazeným výkonem – WMS právě v Grafana. Během pár dní tak bylo vše připraveno.
Reporty tahají data přímo z našich logů a nejsou určené pro běžné uživatele, ale pro zkušené IT pracovníky, kteří mají zkušenosti s kybernetickou bezpečností.
Tohle nás posunulo hodně dopředu hlavně v tom, že jsme pochopili, že bez detailních reportů a zpráv pro vybrané zákazníky, kteří si rádi zaplatí lidskou práci, to do budoucna nepůjde. I z tohoto důvodu koncem roku 2023 rozšířily náš tým dvě nové datové analytičky.
Jsme banka a nechceme, abyste nám viděli do provozu
Poté, co ruští hacktivisté zaútočili na české banky na přelomu srpna a září 2023, se nám ozvalo několik lidí z jejich IT oddělení, že by chtěli vědět něco více o našem řešení. Už od začátku byl problém s cenou (jste moc levní, to nemůže být kvalitní/fungovat), což byl hlavní problém managementu finančních institucí. Ti chtěli spíše předražené krabičky od velkých firem, které se na kyberbezpečnost ani nezaměřují.
Naopak ti, kteří IT rozumí, vědí, že krabičky za desítky milionů, kde se filtrace navíc často aktivuje ručně v jednom bodě, nejsou řešením a že velké jméno v oboru poskytování telekomunikačních služeb neznamená, že se ubráníte všem útokům.
Poptávky tak byly spíše snahou IT pracovníků sesbírat argumenty, které by mohli použít proti nepružnému managementu. Absolvovali jsme i několikahodinové hovory, kde jsme jim odprezentovali, co umíme a jak to děláme.
Asi největší zádrhel byl, že i když poslední útoky na banky šly přes aplikační vrstvu (L7), tak o tuhle ochranu příliš zájem neměli. Naopak se všichni bojí tradičních volumetrických útoků L3/L4 hrubou silou. Většina věřila, že L7 zvládnou sami a potřebují jen tu ochranu L3/L4. Na to jsme při návrhu popravdě nemysleli.
Problém u L7 ochran je, že musíte vidět do provozu, jedině tak můžete každý jednotlivý požadavek (request) vyhodnotit, jestli se jedná o útok, anebo ne. Pokud by banka nasadila naše řešení a my vše viděli, tak bychom v podstatě viděli všechnu komunikaci mezi bankou a jejím zákazníkem. To je trochu děsilo.
Přišli jsme tak s návrhem, že by bylo možné filtrovat jen L3/L4 a L7 zapnout jen v případě útoku. Přitom zapnutí může být automatické, anebo čistě na nich. To považovali za přijatelný kompromis, a tak se rozhodli, že naše řešení začnou postupně zkoušet.
Tento požadavek posunul celou službu WEDOS Global Protection v tarifu Ultimate na úplně jinou úroveň. Jednak jsme mohli začít nabízet čistě jen L3/L4 ochranu proti tradičním volumetrickým DDoS útokům s možností spustit L7 podle potřeby, ale také nás to dovedlo k selektivní ochraně L7. Umíme tak například celý veřejný web chránit kompletně a jen administraci ochráníme na vyžádání.
Když to nakombinujeme s novou ochranou pomocí cache, tak vaše veřejná webová prezentace je na celém světě super rychlá a zároveň útočníci útočí do statického obsahu, který jim vracíme rychleji než jiné formy ochrany (captcha, přesměrování s cookie apod.).
Závěr
Ačkoliv je WEDOS Global Protection profilována jako služba pro každý web od té nejmenší osobní prezentace až po e-shopy, které hostujete na vlastních serverech, a tomu i odpovídá nízká cena, tak to neznamená, že to je „levná“ služba. „Levná“ je jen proto, že pro tarify Start a Advanced se používají společné filtry, infrastrukturu a výpočetní výkon. Vše je rozpočítáno na stovky tisíc a miliony uživatelů.
Na druhé straně jsou pak tarify Ultimate, kde ceny začínají na 20 tisících Kč bez DPH za měsíc. Což je v podstatě jen na míru dělaná šablona ochran, cache, filtrování a že jste na specializovaných reverzních proxy serverech. Pak si připlácíte za každou další položku dělanou na míru.
Chcete vlastní IP adresy? Není problém! Chcete vlastní chybové stránky? Není problém! Chcete cachovat naprosto všechen obsah ve všech lokalitách a kontrolovat každou vteřinu, jestli se neaktualizovaly webové stránky, aby mohla být cache také aktualizována? Není problém! Chcete vlastního specialistu, který bude sledovat každý den podezřelou aktivitu, psát vám doporučení, jak zlepšit zabezpečení a připraví podklady pro NÚKIB v případě incidentu? Není problém, ale něco to stojí. Zvláště lidská práce je drahá.
V minulosti se WEDOS individuálním službám vyhýbal, protože jsme dělali kvalitní hosting pro masy, a kdo u nás nenašel tu specialitu, kterou potřeboval, tak mohl jít ke konkurenci. Nicméně jsou to právě individuální služby, které minulý rok posunuly WEDOS Global Protection dopředu.
Navíc zájem o WEDOS Global Protection na míru roste a je klidně možné, že v budoucnosti bude WEDOS Global Ultimate obsluhovat samostatné oddělení od individuální podpory, obchodu, tak i s vyhrazenými datovými a bezpečnostními analytiky.