منذ عامين مضت، بدأت وكالات الأبحاث ومقدمو خدمات أمن المعلومات في تقديم التقارير عدد هجمات DDoS. ولكن بحلول الربع الأول من عام 1، أبلغ نفس الباحثين عن نتائجهم المذهلة بنسبة 84%. وبعد ذلك انتقل كل شيء من قوة إلى قوة. حتى الوباء لم يساهم في خلق جو من السلام - بل على العكس من ذلك، اعتبر مجرمو الإنترنت ومرسلي البريد العشوائي أن هذه إشارة ممتازة للهجوم، وزاد حجم DDoS .
نحن نعتقد أن زمن هجمات DDoS البسيطة التي يسهل اكتشافها (والأدوات البسيطة التي يمكنها منعها) قد انتهى. لقد أصبح مجرمو الإنترنت أفضل في إخفاء هذه الهجمات وتنفيذها بتطور متزايد. لقد انتقلت الصناعة المظلمة من القوة الغاشمة إلى الهجمات على مستوى التطبيقات. إنها تتلقى أوامر جادة لتدمير العمليات التجارية، بما في ذلك العمليات غير المتصلة بالإنترنت.
اقتحام الواقع
في عام 2017، أدت سلسلة من هجمات DDoS التي استهدفت خدمات النقل السويدية إلى إطالة أمدها . في عام 2019، مشغل السكك الحديدية الوطني في الدنمارك لقد تعطلت أنظمة المبيعات. ونتيجة لذلك، توقفت ماكينات التذاكر والبوابات الآلية عن العمل في المحطات، ولم يتمكن أكثر من 15 ألف راكب من المغادرة. وفي عام 2019 أيضًا، تسبب هجوم إلكتروني قوي في انقطاع التيار الكهربائي .
إن عواقب هجمات DDoS لا يواجهها الآن المستخدمون عبر الإنترنت فحسب، بل أيضًا الأشخاص، كما يقولون، IRL (في الحياة الواقعية). على الرغم من أن المهاجمين استهدفوا تاريخيًا الخدمات عبر الإنترنت فقط، إلا أن هدفهم الآن غالبًا ما يكون تعطيل أي عمليات تجارية. وتشير تقديراتنا إلى أن أكثر من 60% من الهجمات اليوم لها مثل هذا الغرض، ألا وهو الابتزاز أو المنافسة غير العادلة. المعاملات والخدمات اللوجستية معرضة للخطر بشكل خاص.
أكثر ذكاءً وأكثر تكلفة
لا تزال هجمات DDoS تعتبر واحدة من أكثر أنواع الجرائم الإلكترونية شيوعًا وأسرعها نموًا. وفقا للخبراء، اعتبارا من عام 2020، سيزداد عددهم فقط. ويرتبط هذا بأسباب مختلفة - مع تحول أكبر في الأعمال التجارية عبر الإنترنت بسبب الوباء، ومع تطور صناعة الظل للجرائم الإلكترونية، وحتى مع .
أصبحت هجمات DDoS "شائعة" في وقت ما بسبب سهولة نشرها وتكلفتها المنخفضة: فقبل عامين فقط كان من الممكن إطلاقها مقابل 50 دولارًا في اليوم. واليوم، تغيرت أهداف الهجوم وأساليبه، مما أدى إلى زيادة تعقيده، ونتيجة لذلك، تكلفته. لا، الأسعار التي تبدأ من 5 دولارات للساعة لا تزال مدرجة في قوائم الأسعار (نعم، لدى مجرمي الإنترنت قوائم أسعار وجداول للتعريفات)، ولكن بالنسبة لموقع ويب يتمتع بالحماية، فإنهم يطلبون بالفعل مبلغًا يبدأ من 400 دولار في اليوم، وتكلفة الطلبات "الفردية" للشركات الكبيرة يصل إلى عدة آلاف من الدولارات.
يوجد حاليًا نوعان رئيسيان من هجمات DDoS. الهدف الأول هو جعل المورد عبر الإنترنت غير متاح لفترة زمنية معينة. يتقاضى المهاجمون تكاليفهم أثناء الهجوم نفسه. في هذه الحالة، لا يهتم مشغل DDoS بأي نتيجة محددة، ويدفع العميل مقدمًا لبدء الهجوم. هذه الأساليب رخيصة جدًا.
النوع الثاني هو الهجمات التي يتم دفعها فقط عند تحقيق نتيجة معينة. إنه أكثر إثارة للاهتمام معهم. فهي أكثر صعوبة في التنفيذ، وبالتالي فهي أكثر تكلفة بكثير، حيث يجب على المهاجمين اختيار الأساليب الأكثر فعالية لتحقيق أهدافهم. في Variti، نلعب أحيانًا ألعاب شطرنج كاملة مع مجرمي الإنترنت، حيث يقومون على الفور بتغيير التكتيكات والأدوات ويحاولون اقتحام نقاط ضعف متعددة على مستويات متعددة في وقت واحد. من الواضح أن هذه هجمات جماعية يعرف فيها المتسللون جيدًا كيفية الرد والتصدي لتصرفات المدافعين. إن التعامل معهم ليس أمرًا صعبًا فحسب، بل إنه مكلف جدًا أيضًا للشركات. على سبيل المثال، احتفظ أحد عملائنا، وهو أحد متاجر التجزئة الكبيرة عبر الإنترنت، بفريق مكون من 30 شخصًا لمدة ثلاث سنوات تقريبًا، وكانت مهمته مكافحة هجمات DDoS.
وفقًا لفاريتي، فإن هجمات DDoS البسيطة التي يتم تنفيذها بدافع الملل أو التصيد أو عدم الرضا عن شركة معينة تمثل حاليًا أقل من 10٪ من جميع هجمات DDoS (بالطبع، قد تحتوي الموارد غير المحمية على إحصائيات مختلفة، ونحن ننظر إلى بيانات عملائنا). . كل شيء آخر هو عمل فرق محترفة. ومع ذلك، فإن ثلاثة أرباع جميع الروبوتات "السيئة" هي روبوتات معقدة يصعب اكتشافها باستخدام معظم حلول السوق الحديثة. فهي تحاكي سلوك المستخدمين أو المتصفحات الحقيقية وتقدم أنماطًا تجعل من الصعب التمييز بين الطلبات "الجيدة" و"السيئة". وهذا يجعل الهجمات أقل وضوحًا وبالتالي أكثر فعالية.
البيانات من جلوبال دوتس
أهداف DDoS جديدة
تقرير يقول محللون من GlobalDots أن الروبوتات تولد الآن 50% من إجمالي حركة المرور على الويب، و17,5% منها عبارة عن روبوتات ضارة.
تعرف الروبوتات كيف تدمر حياة الشركات بطرق مختلفة: فبالإضافة إلى حقيقة أنها "تعطل" مواقع الويب، فإنها تعمل الآن أيضًا على زيادة تكاليف الإعلان، والنقر على الإعلانات، وتحليل الأسعار لجعلها أقل بنسًا واحدًا، جذب المشترين بعيدًا، وسرقة المحتوى لأغراض سيئة مختلفة (على سبيل المثال، قمنا مؤخرًا حول المواقع ذات المحتوى المسروق الذي يجبر المستخدمين على حل رموز التحقق الخاصة بأشخاص آخرين). تعمل الروبوتات على تشويه إحصائيات الأعمال المختلفة بشكل كبير، ونتيجة لذلك، يتم اتخاذ القرارات بناءً على بيانات غير صحيحة. غالبًا ما يكون هجوم DDoS ستارًا من الدخان لجرائم أكثر خطورة مثل القرصنة وسرقة البيانات. والآن نرى أنه تمت إضافة فئة جديدة كاملة من التهديدات السيبرانية - وهذا هو تعطيل عمل بعض العمليات التجارية للشركة، وغالبًا ما تكون غير متصلة بالإنترنت (نظرًا لأنه في عصرنا لا يمكن أن يكون أي شيء "غير متصل بالإنترنت" تمامًا). في كثير من الأحيان نرى أن العمليات اللوجستية والاتصالات مع العملاء تتعطل.
"لم يتم تسليمها"
تعد العمليات التجارية اللوجستية أمرًا أساسيًا بالنسبة لمعظم الشركات، لذلك غالبًا ما تتعرض للهجوم. فيما يلي سيناريوهات الهجوم المحتملة.
غير متوفرة
إذا كنت تعمل في مجال التجارة عبر الإنترنت، فمن المحتمل أنك على دراية بمشكلة الطلبات المزيفة. عند مهاجمتها، تقوم الروبوتات بتحميل الموارد اللوجستية بشكل زائد وتجعل البضائع غير متاحة للمشترين الآخرين. للقيام بذلك، يقومون بوضع عدد كبير من الطلبات المزيفة، وهو ما يعادل الحد الأقصى لعدد المنتجات الموجودة في المخزون. ثم لا يتم دفع ثمن هذه البضائع وبعد مرور بعض الوقت يتم إعادتها إلى الموقع. لكن الفعل قد تم بالفعل: تم وضع علامة "نفاد المخزون" عليهم، وقد ذهب بعض المشترين بالفعل إلى المنافسين. وهذا التكتيك معروف جيدًا في صناعة تذاكر الطيران، حيث تقوم الروبوتات في بعض الأحيان "ببيع" جميع التذاكر على الفور بمجرد توفرها تقريبًا. على سبيل المثال، عانى أحد عملائنا، وهو شركة طيران كبيرة، من مثل هذا الهجوم الذي نظمه منافسون صينيون. وفي غضون ساعتين فقط، طلبت الروبوتات الخاصة بهم 100% من التذاكر إلى وجهات معينة.
روبوتات أحذية رياضية
السيناريو الشائع التالي: تشتري الروبوتات على الفور مجموعة كاملة من المنتجات، ويبيعها أصحابها لاحقًا بسعر مبالغ فيه (بمتوسط زيادة قدرها 200٪). تسمى هذه الروبوتات بـ "روبوتات الأحذية الرياضية"، لأن هذه المشكلة معروفة جيدًا في صناعة الأحذية الرياضية للأزياء، وخاصة المجموعات المحدودة. اشترت الروبوتات خطوطًا جديدة ظهرت للتو خلال دقائق تقريبًا، بينما قامت بحظر المورد حتى لا يتمكن المستخدمون الحقيقيون من الوصول إليه. هذه حالة نادرة عندما تتم كتابة الروبوتات في المجلات اللامعة العصرية. على الرغم من أن بائعي التذاكر للأحداث الرائعة مثل مباريات كرة القدم يستخدمون بشكل عام نفس السيناريو.
سيناريوهات أخرى
ولكن هذا ليس كل شيء. هناك نسخة أكثر تعقيدًا من الهجمات على الخدمات اللوجستية، مما يهدد بخسائر فادحة. يمكن القيام بذلك إذا كانت الخدمة تحتوي على خيار "الدفع عند استلام البضائع". تترك الروبوتات طلبات مزيفة لمثل هذه السلع، مما يشير إلى عناوين مزيفة أو حتى حقيقية لأشخاص مطمئنين. وتتكبد الشركات تكاليف باهظة في التوصيل والتخزين ومعرفة التفاصيل. في هذا الوقت، لا تتوفر البضائع لعملاء آخرين، كما أنها تشغل مساحة في المستودع.
ماذا بعد؟ تترك الروبوتات تقييمات سيئة ومزيفة ضخمة حول المنتجات، وتعطل وظيفة "إرجاع الدفع"، وتحظر المعاملات، وتسرق بيانات العملاء، وترسل بريدًا عشوائيًا إلى العملاء الحقيقيين - هناك العديد من الخيارات. ومن الأمثلة الجيدة على ذلك الهجوم الأخير على DHL، وHermes، وAldiTalk، وFreenet، وSnipes.com. قراصنة ، أنهم "يختبرون أنظمة الحماية من DDoS"، لكنهم في النهاية قاموا بإخماد بوابة عملاء الأعمال الخاصة بالشركة وجميع واجهات برمجة التطبيقات. ونتيجة لذلك، حدثت انقطاعات كبيرة في تسليم البضائع للعملاء.
استدعاء غدا
في العام الماضي، أبلغت لجنة التجارة الفيدرالية (FTC) عن تضاعف الشكاوى المقدمة من الشركات والمستخدمين بشأن البريد العشوائي والمكالمات الهاتفية الاحتيالية. وبحسب بعض التقديرات فإنهم يصلون إلى جميع المكالمات.
كما هو الحال مع DDoS، تتراوح أهداف TDoS - هجمات الروبوت الضخمة على الهواتف - من "الخدع" إلى المنافسة عديمة الضمير. يمكن للروبوتات أن تثقل كاهل مراكز الاتصال وتمنع تفويت العملاء الحقيقيين. هذه الطريقة فعالة ليس فقط لمراكز الاتصال التي بها مشغلين "مباشرين"، ولكن أيضًا حيث يتم استخدام أنظمة AVR. يمكن للروبوتات أيضًا مهاجمة قنوات الاتصال الأخرى مع العملاء (الدردشة ورسائل البريد الإلكتروني) على نطاق واسع، وتعطيل تشغيل أنظمة إدارة علاقات العملاء، وحتى التأثير سلبًا إلى حد ما على إدارة شؤون الموظفين، لأن المشغلين مثقلون بمحاولة التعامل مع الأزمة. يمكن أيضًا مزامنة الهجمات مع هجوم DDoS التقليدي على موارد الضحية عبر الإنترنت.
وفي الآونة الأخيرة، أدى هجوم مماثل إلى تعطيل عمل خدمة الإنقاذ في الولايات المتحدة الأمريكية - الأشخاص العاديون الذين هم في أمس الحاجة إلى المساعدة لم يتمكنوا ببساطة من المرور. في نفس الوقت تقريبًا، عانت حديقة حيوان دبلن من نفس المصير، حيث تلقى ما لا يقل عن 5000 شخص رسائل نصية قصيرة غير مرغوب فيها تشجعهم على الاتصال بشكل عاجل برقم هاتف حديقة الحيوان وطلب شخص وهمي.
لن يكون هناك واي فاي
يمكن لمجرمي الإنترنت أيضًا حظر شبكة الشركة بأكملها بسهولة. غالبًا ما يُستخدم حظر IP لمكافحة هجمات DDoS. لكن هذه ليست ممارسة غير فعالة فحسب، بل هي أيضًا ممارسة خطيرة للغاية. من السهل العثور على عنوان IP (على سبيل المثال، من خلال مراقبة الموارد) ومن السهل استبداله (أو انتحاله). لقد كان لدينا عملاء قبل مجيئنا إلى Variti حيث أدى حظر عنوان IP معين إلى إيقاف تشغيل شبكة Wi-Fi في مكاتبهم. كانت هناك حالة عندما "انزلق" العميل بعنوان IP المطلوب، وقام بحظر الوصول إلى مورده لمستخدمين من المنطقة بأكملها، ولم يلاحظ ذلك لفترة طويلة، لأنه بخلاف ذلك كان المورد بأكمله يعمل بشكل مثالي.
ما الجديد؟
تتطلب التهديدات الجديدة حلولاً أمنية جديدة. ومع ذلك، فإن هذا السوق المتخصص الجديد بدأ للتو في الظهور. هناك العديد من الحلول لصد هجمات الروبوتات البسيطة بشكل فعال، لكن الأمر ليس بهذه البساطة مع الهجمات المعقدة. لا تزال العديد من الحلول تمارس تقنيات حظر IP. يحتاج البعض الآخر إلى وقت لجمع البيانات الأولية للبدء، ويمكن أن تصبح تلك الدقائق التي تتراوح من 10 إلى 15 دقيقة نقطة ضعف. هناك حلول تعتمد على التعلم الآلي تتيح لك التعرف على الروبوت من خلال سلوكه. وفي الوقت نفسه، تتباهى الفرق من الجانب "الآخر" بأن لديها بالفعل روبوتات يمكنها تقليد أنماط حقيقية، لا يمكن تمييزها عن الأنماط البشرية. ولم يتضح بعد من سيفوز.
ماذا تفعل إذا كان عليك التعامل مع فرق الروبوتات المحترفة والهجمات المعقدة متعددة المراحل على عدة مستويات في وقت واحد؟
تُظهر تجربتنا أنك بحاجة إلى التركيز على تصفية الطلبات غير المشروعة دون حظر عناوين IP. تتطلب هجمات DDoS المعقدة التصفية على عدة مستويات في وقت واحد، بما في ذلك مستوى النقل ومستوى التطبيق وواجهات API. بفضل هذا، من الممكن صد حتى الهجمات ذات التردد المنخفض والتي عادة ما تكون غير مرئية وبالتالي يتم تفويتها في كثير من الأحيان. وأخيرًا، يجب السماح لجميع المستخدمين الحقيقيين بالمرور، حتى أثناء نشاط الهجوم.
ثانيا، تحتاج الشركات إلى القدرة على إنشاء أنظمة حماية متعددة المراحل خاصة بها، والتي، بالإضافة إلى أدوات منع هجمات DDoS، سيكون لها أنظمة مدمجة ضد الاحتيال وسرقة البيانات وحماية المحتوى وما إلى ذلك.
ثالثًا، يجب أن يعملوا في الوقت الفعلي منذ الطلب الأول - فالقدرة على الاستجابة الفورية للحوادث الأمنية تزيد بشكل كبير من فرص منع الهجوم أو تقليل قوته التدميرية.
المستقبل القريب: إدارة السمعة وجمع البيانات الضخمة باستخدام الروبوتات
لقد تطور تاريخ DDoS من البسيط إلى المعقد. في البداية، كان هدف المهاجمين هو إيقاف الموقع عن العمل. لقد وجدوا الآن أن استهداف العمليات التجارية الأساسية أكثر كفاءة.
سوف يستمر تعقيد الهجمات في الزيادة، وهذا أمر لا مفر منه. بالإضافة إلى ما تفعله الروبوتات السيئة الآن - سرقة البيانات وتزويرها، والابتزاز، والبريد العشوائي - ستقوم الروبوتات بجمع البيانات من عدد كبير من المصادر (البيانات الضخمة) وإنشاء حسابات مزيفة "قوية" لإدارة التأثير أو السمعة أو التصيد الجماعي.
في الوقت الحالي، لا تستطيع سوى الشركات الكبيرة فقط الاستثمار في حماية DDoS والروبوتات، ولكن حتى هذه الشركات لا يمكنها دائمًا مراقبة وتصفية حركة المرور الناتجة عن الروبوتات بشكل كامل. الشيء الإيجابي الوحيد في حقيقة أن هجمات الروبوتات أصبحت أكثر تعقيدًا هو أنها تحفز السوق على إنشاء حلول أمنية أكثر ذكاءً وتقدمًا.
ما رأيك - كيف ستتطور صناعة حماية الروبوتات وما هي الحلول المطلوبة في السوق الآن؟
المصدر: www.habr.com