Под угрозой любой работающий в онлайне бизнес
В интернете огромное количество контента, мессенджеры разрываются от сообщений, а мир постоянно ускоряется. Онлайн-бизнесу приходится бороться за внимание пользователей. Один из ключевых факторов удержания клиента — скорость загрузки контента на сайтах и в мобильных приложениях.
В 2019 году специалисты маркетингового агентства Portent проанализировали трафик 94 млн страниц на десяти крупных площадках из сферы электронной торговли и пришли к выводу, что оптимальная скорость загрузки сайта — 0–4 секунды, а первые пять секунд оказывают важнейшее влияние на дальнейшую конверсию. Каждая дополнительная секунда ожидания с промежутке от нуля до пяти снижает ее почти на 4,5%.
Это подтверждают опросы пользователей, проведенные в том же году платформой Unbounce. Более четверти респондентов оказались не готовы ждать загрузки страницы дольше трех секунд, а на отметке в шесть секунд «сдались» уже почти 60% опрошенных. Почти половина респондентов признала, что медленная скорость загрузки негативно повлияет на их желание что-то купить. Более трети участников исследования указали, что с меньшей вероятностью вернутся на медленный сайт.
Интересно, что в том же исследовании участвовали маркетологи, и только 19% из них тогда посчитали, что скорость загрузки действительно важна. С тех пор все изменилось, и этому фактору уделяется все больше внимания. Тем более, что он влияет не только на конверсию, но и на количество трафика. В 2020 году Google анонсировала новые критерии ранжирования веб-страниц под названием Web Vitals. Это довольно сложная система, но в ней явно выделяются три ключевых показателя. Интерактивность, визуальная стабильность и скорость загрузки, которая в тройке стоит на первом месте. Хорошим показателем считаются 2,5 секунды, средним — до четырех секунд. Все, что дольше, в красной зоне, и это означает, что сайт будет значительно хуже индексироваться поисковой системой, чем более быстрые конкуренты площадки.
В 2020 и 2021 годах вопрос стал актуальнее еще и потому, что пандемия спровоцировала беспрецедентный рост рынка электронной коммерции. По данным АКИТ, в 2020 году россияне потратили на онлайн-покупки более ₽3,2 трлн, и это на 58,5% больше, чем годом ранее. Оценки Ассоциации на 2021 год немного иные: около ₽3,5 трлн продаж и рост примерно на 8%. В то же время, глава Минпромторга Денис Мантуров смотрит на ситуацию оптимистичнее: в октябре он озвучил прогноз в ₽4 трлн по итогам 2021 года.
Прямое следствие всего этого — развитие рынка мобильных приложений. Доля трафика, приходящегося на компьютеры и ноутбуки, неуклонно снижается уже много лет, и мобильные гаджеты давно в большинстве. Они — карманный терминал доступа к любым сервисам и услугам. По данным Sensor Tower, расходы мировых пользователей в приложениях в пандемическом 2020 году выросли на 30%. Аналитика российской компании Asomobile показала рост количества загрузок в Google Play и AppStore на 6,7% и 23,3% соответственно. Многие исследователи отмечают бурный рост отдельных категорий. В частности, приложений для заказа еды, стриминговых и образовательных платформ.
Что между ними общего? Все это — сервисы компаний, которыми может воспользоваться кто угодно через интернет с компьютера или смартфона. Помимо обычных пользователей они вызывают живой интерес у злоумышленников. В интервью РБК Евгений Касперский отметил, что во время пандемии количество киберпреступлений выросло на 25%. О резком росте числа преступлений с использованием интернета сообщали и в МВД России, и это очень заметные цифры: от 73% до 91% в разных категориях. Под угрозой не только банковские карты физических лиц, но и сами сервисы и построенная вокруг них инфраструктура. Об этом свидетельствует статистика ChekpointResearch. С января по май 2020 года было совершено на 69% больше кибератак на организации, чем годом ранее. А в 2021 году количество таких инцидентов по всему миру выросло еще на 40% по сравнению с 2020 годом. Отдельный антирекорд 2020 года — количество зарегистрированных DDoS-атак: более 10 млн, согласно оценке Netscout Systems. Во время бурного роста о защите забывать ни в коем случае нельзя — под угрозой любой представленный в интернете бизнес.
CDN: ускоряем загрузку для удержания пользователей
Итак, пользователь зашел на сайт. Как сделать так, чтобы он увидел контент максимально быстро, остался на площадке и совершил нужное действие? Прежде всего, нужно оптимизировать все на своей стороне: убедиться, что сервер генерирует страницу без задержек, аппаратных ресурсов достаточно, файлы хорошо сжаты, а кэширование грамотно настроено. Но поскольку Россия очень большая, то скорость загрузки будет сильно зависеть от географического расположения вашего потенциального клиента.
Если обратиться к статистике, то, по данным Росстата за 2020 год, наибольшие доли онлайн-продаж в общем торговом обороте регионов зафиксированы в Москве (9,3%), Новосибирске (8%), Севастополе (7,8%) и Санкт-Петербурге (7,3%). В Приволжском федеральном округе это 2,5%, в Уральском — 2,8%, в Дальневосточном — 1,5%. Главные точки притяжения понятны, но даже они расположены в тысячах километров друг от друга.
Значительно ускорить загрузку в ситуации, когда контент должен одинаково быстро появляться на экранах ПК и мобильных гаджетов и в Ростове-на-Дону, и в Москве, и во Владивостоке, помогает CDN — сеть доставки контента (Content Delivery Network).
Идея в том, что в крупнейших точках концентрации пользователей по всей стране (или даже по всему миру) устанавливаются кэширующие сервера. На них дублируется весь значимый контент из «центра», чтобы максимально приблизить его к конечному пользователю. Условный юзер из Комсомольска-на-Амуре увидит размещенную на кэширующем сервере в Хабаровске картинку гораздо быстрее, чем если будет ждать, пока она дойдет до него из Москвы, по пути обогнув половину земного шара.
Помимо ускорения трафика, CDN дает еще два значимых преимущества: помогает избегать ошибок при загрузке и распределять нагрузку на сервера. Это крайне важно, например, для маркетплейсов и стриминговых сервисов. Во время «черной пятницы», премьеры нового сериала или трансляции «топового» спортивного матча запросы пользователей можно, наоборот, перенаправлять из региона с высокой нагрузкой на оборудование на другие серверы по всей стране. Показательный пример: финал The International 2021, в котором впервые в истории победила российская команда Team Spirit, в пиковые моменты на Twitch одновременно смотрели более 1,5 млн человек.
CDN актуален для компаний любого масштаба. Конечно, прежде всего это очень большие бизнесы вроде маркетплейсов с сотнями картинок на странице, финансовые организации с их сложной защитой, а также видеосервисы, специфика которых заключается в необходимости передавать «тяжелый» контент, причем нередко в режиме прямого эфира. Однако CDN используют и менее крупные компании. Например, в СМИ заранее невозможно спрогнозировать популярность той или иной статьи. Если у вас есть сеть серверов помимо основного собственного, то внезапный всплеск посещаемости никогда не «завалит» всю площадку. Маленькие интернет-магазины тоже в деле. Если, скажем, вы торгуете тканями, фактуру которых нужно показать крупно и в высоком разрешении, то CDN очень пригодится. И, конечно, это актуально для разработчиков игр: пользователи не любят ждать обновлений, а если их много, то с CDN все они точно получат их вовремя и без накладок.
Главная проблема CDN в том, что построить собственную инфраструктуру для доставки контента способны лишь очень крупные компании. Минимальный уровень вложений только в оборудование составит ₽50–150 млн. Но это решаемо: можно заказать CDN как услугу у крупного поставщика, который уже расставил кэширующие серверы по стране и теперь продает их мощности и возможности. Обычно это тарифицируется по объему загруженного контента в терабайтах. Месячный трафик небольшого интернет-магазина едва ли превысит 4–5 Тб, а чек в таком случае составит около ₽10 000. Риск во всем этом только один: нужно быть готовым заплатить больше, если вдруг реальный трафик сильно превысит прогноз, ведь чем больше пакет, тем ниже цена за единицу трафика. Но хороший CDN-провайдер в такой ситуации всегда пойдет на уступки и сам предложит компромиссное решение.
Выбирать провайдера лучше среди крупных и давно представленных на рынке игроков. У них широкий выбор услуг, они дорожат репутацией и дают важные дополнительные преимущества. Например, «МегаФон», который входит в тройку лидирующих операторов связи России, за почти 30 лет работы построил быструю, надежную и устойчивую внутреннюю сеть для собственных нужд, и именно она стала основой для CDN. Это тот случай, когда небольшие провайдеры приходят к «МегаФону» и просят за деньги обеспечить связность сети с ними. Результат — наибольшее количество пирингов в России среди всех CDN-провайдеров. Очень масштабная здесь и сама инфраструктура. У «МегаФона» 17 крупных узлов в российских городах-миллионниках и особый подход к скорости доставки столь актуального сейчас мобильного трафика. Сегодня, по внутренней статистике компании, 60% просмотров в Сети приходится на мобильные гаджеты. Кроме того, через CDN «МегаФона» можно легко и быстро выйти на CDN для доставки контента по всему миру.
Подключиться к CDN по подписке очень просто. После заключения договора провайдер пришлет вам данные, которые администратору сайта нужно будет прописать в DNS. С более сложными ситуациями, когда необходимо подстроиться под защиту, поменять состав ссылки в зависимости от региона или гибко изменить что-то еще, помогают инженеры имплементации. В целом, скорость подключения такая, что иногда даже можно успеть все настроить, если с CDN вы раньше не работали, но чувствуете, что сайт вот-вот «завалится». Минимальный срок — от одного до нескольких часов.
WAF, Antibot и API Security: фильтруем трафик, отсекая злоумышленников
Быстро растущий рынок электронной коммерции практически полностью привязан к веб-ресурсам. С их помощью клиенты взаимодействуют с серверами компании, используя браузер в качестве терминала доступа: вводят информацию, отправляют на сервер, он проводит вычисления и выдает ответ согласно запросу. Именно так все мы делаем заказы в онлайн-магазинах и маркетплейсах. Абсолютно ожидаемо, что злоумышленники используют эти точки, чтобы выявить уязвимости системы и как-то навредить бизнесу.
Основной способ защиты от таких действий — WAF (Web Application Firewall), защитный экран для веб-приложений. Система анализирует весь входящий трафик и выявляет в нем попытки эксплуатации различных уязвимостей и отправки вредоносных команд. В результате злоумышленники не могут сканировать ресурсы компании, влиять на пользовательские сеансы, перенаправлять ваших клиентов на вредоносные сайты и совершать другие негативно влияющие на бизнес операции. Это абсолютно необходимая вещь для всех, кто использует личные кабинеты пользователей, отображает конфиденциальную информацию и дает возможность делать заказы.
Стоимость оборудования для развертывания собственного решения здесь меньше, чем в случае с CDN, но в силу вступает другой нюанс, из-за которого модель подписки вновь становится крайне актуальной. Атаки, от которых защищает WAF, постоянно меняются и совершенствуются. Вполне может случиться так, что на горизонте в 2–3 года появится нечто совершенно новое, и оборудование придется полностью менять еще до окончания его запланированного жизненного цикла. Стоимость подписки на WAF начинается примерно от ₽30–50 тыс., а комплект оборудования стоит от ₽1,5 млн без учета затрат на лицензии, поддержку, персонал и других сопутствующих расходов. Нередко получается так, что даже для крупного бизнеса это выгоднее, чем собственное решение, не говоря уже про небольшие компании.
Следующие ступени развития WAF — защита от ботов и защита API. Первое — абсолютный must-have для маркетплейсов и ретейла. Решение позволяет избежать очень неприятной ситуации, когда боты злоумышленников делают большое количество заказов, которые впоследствии не выкупаются. Это перегружает склад и лишает бизнес настоящих клиентов, которые не могут приобрести товары из-за того, что они уже зарезервированы.
API — это программный интерфейс приложения (Application Programming Interface). Именно он обеспечивает взаимодействие между всеми компонентами ИТ-систем. Их очень много: от аппаратной «начинки» до программного обеспечения, архитектуры, микросервисов, мобильных приложений и не только. Такое мощное связующее звено не может не остаться незамеченным хакерами, и очень значимое количество атак так или иначе задействует API. И защита от ботов, и защита API работают по принципу фильтрации трафика, как и в случае с WAF. Система анализирует поток данных и модели поведения, выявляя попытки эксплуатации различных уязвимостей. В модели подписки WAF и его логическое развитие в виде защиты от ботов и защиты API также можно заказать у «МегаФона».
Anti-DDoS: отсекаем запросы, которые перегружают сайт
Следующий вид атак, о котором нельзя забывать владельцам бизнеса, — DDoS. Их суть в том, что злоумышленники отправляют на сайт настолько огромное количество запросов, что его работа как минимум существенно замедляется и, как максимум, полностью блокируется. Чаще всего это делают с целью шантажа: требуют заплатить, чтобы атаки прекратились. Кроме того, DDoS-атака может отвлекать внимание специалистов по безопасности от попытки хакеров эксплуатировать другую уязвимость. Банальную причину в виде желания дискредитировать конкурента, конечно, тоже никто не отменяет.
Количество DDoS-атак неуклонно растет в последние годы. По данным «Ростелекома», за первые три квартала 2021 года таких инцидентов произошло в 2,5 раза больше, чем за аналогичный период в 2020-м. Прежде всего в зоне риска финансовые компании, онлайн-торговля и государственный сектор. Одновременно более чем на четверть выросла и мощность атак. К сожалению, тенденция к усилению и учащению DDoS-атак явно сохранится. Основная причина в том, что они очень дешевые. Еще в 2017 году Евгений Касперский говорил о себестоимости в $7 в час и средней цене в $25 в час для заказчика.
Защита вновь сводится к фильтрации трафика. Ее может обеспечивать как собственное оборудование компании, так и облачный сервер в рамках подписной модели защиты от DDoS. Выбор зависит от масштабов бизнеса. Собственное «железо» разово будет стоить от ₽1 млн без учета сопутствующих расходов и устареет через 3–5 лет или раньше, если методы DDoS-атак изменятся и потребуют других подходов к защите. В подписной модели 1 Мбит трафика стоит от ₽300 до ₽1 000 в месяц. Средний чек небольшого интернет-магазина или СМИ — от ₽20 тыс. до ₽50 тыс. в месяц. Чем крупнее провайдер, тем более мощные атаки он может отражать. Один из рекордсменов на российском рынке — «МегаФон». Компания способна отражать атаки мощностью до 300 Гбит/c. Это очень много. Для понимания: ориентировочная ширина канала в достаточно крупной организации вроде серьезного банка из российского Топ-50 — порядка 1 Гбит/c.