«Проблема в масштабе, скорости и кросс-канальной природе угроз», — CISO Wildberries о слабом звене в защите онлайн-ритейла

Когда говорят о кибербезопасности в ритейле, часто в первую очередь представляют кассы и складские системы учета. Но современный крупный маркетплейс — это уже даже не «продвинутый магазин», а полноценная технологическая платформа. И в этой точке начинаются принципиальные отличия.

Ритейл крайне неоднороден — и это важно. Прежде всего, нужно разделять модели. Есть классический офлайн-ритейл, где цифровые сервисы поддерживают бизнес, но не являются его ядром. Даже при мощной инфраструктуре такой бизнес не является digital-first с точки зрения взаимодействия с клиентом. Вектор ИБ здесь логично смещается в сторону защиты цепочек поставок, контроля подрядчиков и третьих лиц, безопасности кассовой и логистической инфраструктуры.

И есть digital-first-ритейл — крупные маркетплейсы, где цифровой канал, по сути, и есть бизнес. В этом случае основной вызов — не просто защита процессов, а масштаб инфраструктуры. Когда у компании более 100 000 серверов и средний трафик порядка сотен гигабит в секунду, она по сути перестаёт быть «ритейлом» в традиционном понимании. Это уже самый настоящий бигтех с розничной моделью монетизации.

Классические решения, которые подходят компаниям вне digital-first-модели, здесь часто неприменимы — прежде всего из-за нагрузки. Если взять коробочное решение и просто умножить его стоимость на объём инфраструктуры, итоговая цифра иногда выглядит абсурдно — вплоть до сопоставимости с капитализацией самого вендора.

Это не означает отказ от рынка. Антивирусные решения, сигнатурные механики, YARA-правила, внешняя threat intelligence — всё это используется. Но там, где готовые продукты не масштабируются, компании вынуждены строить собственные инструменты и держать крупные инженерные команды.

Ключевое архитектурное отличие моделей — характер трафика. В классической модели преобладает вертикальный поток: пользователь пришёл из интернета, запрос прошёл через периметр, дошёл до сервера и вернулся обратно.

В крупном e-commerce всё иначе. Один пользовательский запрос запускает десятки и сотни внутренних обращений:

• проверка остатков,
  
• расчёт цены,
  
• определение сроков и способов доставки,
  
• взаимодействие с платёжными сервисами,
  
• персонализация и рекомендации.
  

В результате доминирует горизонтальный трафик — интенсивное взаимодействие между сервисами внутри инфраструктуры.

В такой архитектуре централизованный NGFW-кластер становится либо узким местом, либо точкой отказа. Поэтому функции сетевой защиты постепенно смещаются ближе к конечным хостам.

Логичным развитием становится модель zero trust: каждый сервер и сервис должны быть защищены так, чтобы даже при компрометации одного узла атакующий не мог развивать атаку дальше. Это дополняется принципом defence in depth. Нельзя полагаться на единственный механизм — ни на периметре, ни на сервере. Защита строится как цепочка средств, частично дублирующих функции друг друга. Если один уровень даёт сбой, срабатывает следующий.

При этом архитектура выстраивается не от «функций продукта», а от ландшафта угроз. Вопрос формулируется не как «какой инструмент поставить», а как «каким сценарием нас могут атаковать и чем он будет остановлен».

В высоконагруженной среде стандартные подходы к мониторингу также требуют переработки. Когда счёт идёт на миллионы событий в секунду, задача уже не просто в сборе логов, а в их интеллектуальной фильтрации и приоритизации. Поэтому крупные digital-first-компании всё чаще строят собственные SOC-платформы на базе open-source-технологий с глубокой кастомизацией под свои объёмы и процессы (о применении open-source в ИБ онлайн-ритейла в колонке SecPost рассказывал CISO Авито Андрей Усенок, прим. ред.). Реагирование при этом ведётся в круглосуточном режиме, с высокой долей автоматизации.

Что касается главных проблем или, скорее, главной проблемы цифрового ритейла, то она лежит не в инфраструктуре. Самое слабое звено по-прежнему — конечный пользователь. Технологии усложняются, но мошеннические схемы развиваются быстрее. Выманивание кодов, социальная инженерия, подмена звонков — это уже базовый уровень.

Ключевой тренд — кросс-канальное мошенничество. Сценарий выглядит так:

1. Пользователь компрометируется на одной площадке — в банке, у оператора связи или где-то еще;
   
2. Полученные данные используются для атаки на другой сервис;
   
3. Инцидент развивается сразу в нескольких экосистемах.
   

В результате компания может иметь зрелую внутреннюю защиту, но атака происходит не на нее.

Что с этим делать? Очевидно, что усиливать только собственный контур защиты уже недостаточно. Нужны:

• более быстрые механизмы обмена индикаторами компрометации,
  
• совместные антифрод-инициативы,
  
• координация между маркетплейсами, банками и телекомом.
  

Пока злоумышленники действуют на стыке экосистем, а защита строится строго в рамках одной компании, у атакующих всегда будет преимущество.

Кибербезопасность в highload-среде — это не проект и не закупка. Это постоянная инвестиция в собственную разработку, в инженеров, в автоматизацию, в круглосуточные процессы реагирования.

Это дорого. Но альтернатива — ещё дороже. Потому что для digital-first-компании инцидент — это не только утечка данных, а риск остановки транзакций, логистики и клиентских сервисов в режиме реального времени.

Проблема отрасли не в отсутствии продуктов как таковых. Проблема — в масштабе, скорости и кросс-канальной природе угроз. И решается она не одной «коробкой», а архитектурой, процессами и кооперацией.