7000 атак в год: Как Turkcell защищает абонентов Турции и Украины
Как защитить от киберугроз 49 млн абонентов в пяти странах, включая 7,3 млн абонентов в Украине? А находить и отбивать кибератаку за 3 минуты?
Тут никак не обойтись без экранов на всю стену с десятками показателей. И в офисе крупнейшего телеком-оператора Турции Turkcell, мамы украинского lifecell, об этом знают.
IT-департамент компании разработал несколько систем, которые мониторят все: от состояния базовых станций и трафика по всей Турции до безопасности топ-менеджмента и каждого украинского абонента.
Журналисту LIGA.net удалось побывать в Центрах Turkcell, откуда 1000 человек обеспечивает работоспособность сети оператора и безопасность каждого абонента. Где 24 человека отбивает 7000 DDos-атак за год. И где целых три стены закрыты огромными экранами с десятками показателей, два из которых нельзя фотографировать.
Горячий репортаж LIGA.net прямо из Стамбула.
Трансляция 150 каналов и трафик по каждому сервису
На входе в непримечательное строение напротив военного городка журналистов попросили обменять паспорта на пропуск в помещение. Всего на территории у флагов Турции и Turkcell два здания: Центр оперативного управления сетью оператора и Центр кибербезопасности.
Оба работают круглосуточно 7 дней в неделю, и 1000 сотрудников готовы каждую минуту решить любую проблему.
Абонент и не догадывается, наверное, что за тем, дабы у него была хорошая связь и все работало, следит целая система, которая анализирует более 50 разных показателей. И все они выводятся на огромный экран вдоль стены в Центре оперативного управления сетью в Стамбуле. А выглядит, как какой-то штаб ЦРУ в шпионском фильме.
В режиме реального времени происходит мониторинг работы всех цифровых сервисов. Например, трансляция 150 каналов сервиса TV+, активность пользователей мессенджера BiP, музыкального сервиса fizy. И если что-то идет не так, сотрудники тут же реагируют.
Кроме этого, на экране есть аналитика работы базовых станций по всей Турции. На разных таблицах можно увидеть, у какого оборудования и где перебои с электричеством, какое уже работает на резервной батарее, у какого нарушена норма температурного режима, а какое не работает вообще.
В Турции, говорят работники центра, случаются перебои с электричеством. И тогда базовые станции начинают работать на резервной батарее. Но и та не вечна. Если на экране вдруг возникнет сигнал о том, что у одной из базовых станций скоро сядет запасная батарея, сотрудники отправят к ней человека в помощь.
В день экскурсии по Центру в Турции по разным причинам было отключено 570 базовых станций. К слову, около сотня из них - сезонные. Их включают в определенных районах только в период наплыва туристов.
Экран также показывает трафик по каждому городу, количество обращений абонентов и еще целую кучу других показателей. Аномальные скачки или падения могут сигнализировать об угрозе. Например, всплеск активности юзеров мессенджера BiP может заставить сотрудников Turkcell проверить, все ли впорядке. Вдруг это атака или еще чего.
Вся эта система - внутренняя разработка оператора. IT-команда Turkcell годами разрабатывала ее и доделывала. Поэтому там затрудняются оценить ее в деньгах. В украинском офисе lifecell, говорят, есть похожий центр. Только в нем экран поменьше и работает около 40-50 человек.
7000 кибератак за год
Во втором здании разместился отдел кибербезопасности. Он делится на разные департаменты. Например, центр киберзащиты, который моментально реагирует на киберугрозы. В нем работает всего 24 человека. За прошлый год они отбили 7000 DDos-атак на Turkcell. И еще 300 целенаправленных атак, таких как фишинг. Это одна из тех комнат, экран в которых фотографировать нельзя.
В центре кибербезопасности говорят, что защищаются практически от всего. Но на 100% защититься невозможно. “Раньше компании были двух типов: уже хакнутые и те, что еще будут взломаны. Сейчас компании делятся на те, которые знают, что их взломали, и те, которые еще не знают об этом”, - говорит менеджер центра.
Как бы там ни было, в Turkcell стараются мониторить все, что возможно, и предотвращать атаки, а не разгребать последствия. Последний рекорд работы департамента - 3 минуты. Столько времени потребовалось сотрудникам, чтобы идентифицировать атаку и отбить ее. Раньше это занимало около месяца.
А новая система сильно ускоряет процесс. Ежедневно она собирает более 3,5 млрд логов, фильтрует их, анализирует, определяет потенциально опасные. К примеру, 10-го апреля из общего числа система выделила 584 подозрительных, 265 отправила на глубинный разбор, 9 определила в качестве инцидентов. “Из них с тремя-четырьмя реально нужно что-то делать”, - рассказывают в центре.
Система отслеживает трафик внутри Turkcell: следит за действиями более 4000 работников оператора, видит, когда пользователь вводит неправильный пароль или когда его пытаются взломать, определяет подозрительные домены и сразу понимает, откуда идет трафик.
В топ стран, из которых пытаются атаковать Turkcell - Турция, США, Индия. Абонентов же пытаются атаковать из Китая, России, Казахстана и Индии. Бывает, в топ выбиваются необычные страны, например, Габон. Это чаще всего означает, что кто-то использует прокси-сервер для маскировки.
Отдельно в департаменте мониторят топ-менеджеров компании, поскольку они часто становятся объектами кибератак. Для их показателей есть даже отдельное место на экране. Прямо под собственной новостной лентой отдела кибербезопасности на основе разных соцсетей. В нее система выводит сообщения с ключевыми словами. И если кто-то оповестил друзей о том, что “хакнул Turkcell”, департамент киберзащиты моментально об этом узнает.
Также оператор анализирует трафик своих абонентов. И знает, когда абоненты пытаются подключиться к подозрительным ресурсам. Если это происходит массово, Turkcell блокирует подключение.
Только турки в IT и безопасность украинцев
Рядом с офисом киберзащиты работает департамент, который удаленно следит за безопасностью внешних корпоративных клиентов и дочек компании - в том числе оператора lifecell в Украине и Беларуси.
На вопрос, сколько кибератак случается на украинский lifecell в этом департаменте отвечают: “Много!”.
В том же здании сидят специалисты, которые расследуют киберпреступления - это департамент, отвечающий за услугу форензик. В Turkcell ее предоставляют также внешним корпоративным клиентам.
Здесь расследуют кибератаки и пытаются найти их организаторов. Сотрудник центра рассказал, что пару раз удавалось это сделать. В департаменте расследований есть специальная техника, которая позволяет исследовать карты памяти, смартфоны, USB-диски и т.д. И если нужно, узнать, какие данные на них были до того, как их удалили, например.
В центре говорят, специалистов по кибербезопасности всегда не хватает. Поэтому компания ежегодно проводит киберлагерь для турецких студентов. Они проходят около 5 этапов экзаменов, чтобы попасть в программу. А самые стойкие проходят на работу в Turkcell. Во всех отделах безопасности Turkcell работает 130 человек.
Зарплату таких специалистов в компании не называют. Но говорят, что она на 50% выше средней зарплаты турецкого IT-специалиста. В Turkcell не нанимают иностранцев. Говорят, для оперативной работы очень важен язык и доверие. Последнее касается также сотрудничества с хакерами. Менеджер центра сказал, что не переманивает хакеров на работу, и высказал личное мнение, что попросту не может им доверять.
Зато у оператора уже 4 года работает программа поиска багов в системе и продуктах Turkcell - Bug Bounty. В качестве награды турецкий телеком-гигант предлагает “всякую крутую технику”, вроде Playstation.
Поездка журналиста LIGA.net в Стамбул состоялась при поддержке Turkcell. Репортаж был подготовлен по инициативе журналиста.