Bir neçə il əvvəl tədqiqat agentlikləri və informasiya təhlükəsizliyi xidməti təminatçıları hesabat verməyə başladılar DDoS hücumlarının sayı. Lakin 1-cu ilin 2019-ci rübündə eyni tədqiqatçılar heyrətamiz olduğunu bildirdilər 84%. Və sonra hər şey gücdən gücə keçdi. Hətta pandemiya sülh atmosferinə töhfə vermədi - əksinə, kibercinayətkarlar və spamerlər bunu hücum üçün əla siqnal hesab etdilər və DDoS-un həcmi artdı. .
İnanırıq ki, sadə, asanlıqla aşkar edilən DDoS hücumlarının (və onların qarşısını ala biləcək sadə alətlərin) vaxtı bitdi. Kibercinayətkarlar bu hücumları gizlətməkdə və onları getdikcə daha mürəkkəb şəkildə həyata keçirməyi bacarıblar. Qaranlıq sənaye kobud gücdən tətbiq səviyyəli hücumlara keçdi. O, biznes proseslərini, o cümlədən tamamilə oflayn olanları məhv etmək üçün ciddi sifarişlər alır.
Gerçəkliyə girmək
2017-ci ildə İsveç nəqliyyat xidmətlərini hədəf alan bir sıra DDoS hücumları uzunmüddətli . 2019-cu ildə Danimarkanın milli dəmir yolu operatoru Satış sistemləri çökdü. Nəticədə stansiyalarda bilet aparatları və avtomatik qapılar işləməyib, 15 mindən çox sərnişin isə yola çıxa bilməyib. Həmçinin 2019-cu ildə güclü kiberhücum elektrik enerjisinin kəsilməsinə səbəb oldu .
DDoS hücumlarının nəticələrini indi təkcə onlayn istifadəçilər deyil, insanlar, necə deyərlər, IRL (real həyatda) yaşayırlar. Təcavüzkarlar tarixən yalnız onlayn xidmətləri hədəfləsələr də, onların məqsədi indi tez-tez istənilən biznes əməliyyatlarını pozmaqdır. Hesab edirik ki, bu gün hücumların 60%-dən çoxu belə bir məqsəd daşıyır - qəsb və ya haqsız rəqabət üçün. Əməliyyatlar və logistika xüsusilə həssasdır.
Daha ağıllı və daha bahalı
DDoS kibercinayətkarlığın ən çox yayılmış və sürətlə böyüyən növlərindən biri hesab olunmağa davam edir. Ekspertlərin fikrincə, 2020-ci ildən onların sayı yalnız artacaq. Bu, müxtəlif səbəblərlə əlaqələndirilir - pandemiya səbəbindən biznesin onlayn rejimə keçməsi və kibercinayətkarlığın kölgə sənayesinin inkişafı və hətta .
DDoS hücumları yerləşdirmə asanlığı və aşağı qiymətə görə bir anda “populyar” oldu: cəmi bir neçə il əvvəl onları gündə 50 dollara başlamaq olardı. Bu gün həm hücum hədəfləri, həm də üsulları dəyişib, onların mürəkkəbliyini və nəticədə dəyərini artırıb. Xeyr, saatda 5 dollardan başlayan qiymətlər hələ də qiymət siyahılarındadır (bəli, kibercinayətkarların qiymət siyahıları və tarif cədvəlləri var), lakin mühafizəsi olan bir veb sayt üçün onlar artıq gündə 400 dollar tələb edirlər və böyük şirkətlər üçün "fərdi" sifarişlərin qiyməti bir neçə min dollara çatır.
Hazırda DDoS hücumlarının iki əsas növü mövcuddur. Birinci məqsəd onlayn resursu müəyyən müddət ərzində əlçatmaz etməkdir. Hücum zamanı hücumçular onlar üçün ittiham olunurlar. Bu halda, DDoS operatoru heç bir konkret nəticəyə əhəmiyyət vermir və müştəri əslində hücuma başlamaq üçün əvvəlcədən ödəniş edir. Bu cür üsullar olduqca ucuzdur.
İkinci növ yalnız müəyyən nəticə əldə edildikdə ödənilən hücumlardır. Onlarla daha maraqlıdır. Onları həyata keçirmək daha çətindir və buna görə də əhəmiyyətli dərəcədə daha bahalıdır, çünki təcavüzkarlar məqsədlərinə çatmaq üçün ən təsirli üsulları seçməlidirlər. Variti-də biz bəzən kibercinayətkarlarla bütöv şahmat oyunları oynayırıq, burada onlar dərhal taktika və alətləri dəyişdirir və eyni anda bir neçə səviyyədə birdən çox zəifliyi sındırmağa çalışırlar. Bunlar açıq-aydın komanda hücumlarıdır ki, hakerlər müdafiəçilərin hərəkətlərinə necə reaksiya verməyi və onlara qarşı çıxmağı mükəmməl bilirlər. Onlarla məşğul olmaq şirkətlər üçün nəinki çətin, həm də çox baha başa gəlir. Məsələn, müştərilərimizdən biri, böyük onlayn pərakəndə satıcı, vəzifəsi DDoS hücumları ilə mübarizə aparmaq olan 30 nəfərdən ibarət komandanı təxminən üç il saxladı.
Variti-yə görə, sırf cansıxıcılıq, trolling və ya müəyyən bir şirkətdən narazılıq səbəbindən həyata keçirilən sadə DDoS hücumları hazırda bütün DDoS hücumlarının 10%-dən azını təşkil edir (əlbəttə ki, qorunmayan resursların fərqli statistikası ola bilər, biz müştəri məlumatlarımıza baxırıq ) . Qalan hər şey peşəkar komandaların işidir. Bununla belə, bütün “pis” botların dörddə üçü ən müasir bazar həllərindən istifadə etməklə aşkarlanması çətin olan mürəkkəb botlardır. Onlar real istifadəçilərin və ya brauzerlərin davranışını təqlid edir və “yaxşı” və “pis” sorğuları ayırmağı çətinləşdirən nümunələr təqdim edirlər. Bu, hücumları daha az nəzərə çarpan edir və buna görə də daha təsirli olur.
GlobalDots-dan məlumatlar
Yeni DDoS hədəfləri
Bildir GlobalDots analitiklərinin fikrincə, indi botlar bütün veb trafikinin 50%-ni yaradır və onların 17,5%-i zərərli botlardır.
Botlar şirkətlərin həyatını müxtəlif yollarla necə məhv edəcəyini bilirlər: veb-saytları “çökmək”lə yanaşı, indi həm də reklam xərclərini artırmaqla, reklamlara klikləməklə, onları bir qəpik daha az etmək və qiymətləri təhlil etməklə məşğuldurlar. alıcıları cəlb etmək və müxtəlif pis məqsədlər üçün məzmunu oğurlamaq (məsələn, biz bu yaxınlarda istifadəçiləri başqalarının captchalarını həll etməyə məcbur edən oğurlanmış məzmunlu saytlar haqqında). Botlar müxtəlif biznes statistikalarını çox təhrif edir və nəticədə yanlış məlumatlar əsasında qərarlar qəbul edilir. DDoS hücumu tez-tez hakerlik və məlumat oğurluğu kimi daha ciddi cinayətlər üçün tüstü ekranıdır. İndi görürük ki, tamamilə yeni bir kibertəhlükə sinfi əlavə edildi - bu, şirkətin müəyyən iş proseslərinin işinin pozulmasıdır, tez-tez oflayndır (çünki bizim dövrümüzdə heç bir şey tamamilə "oflayn" ola bilməz). Xüsusilə tez-tez logistik proseslərin və müştərilərlə ünsiyyətin pozulduğunu görürük.
"Çatdırılmadı"
Logistika biznes prosesləri əksər şirkətlər üçün açardır, ona görə də onlar tez-tez hücuma məruz qalırlar. Budur mümkün hücum ssenariləri.
Mövcud deyil
Onlayn ticarətdə işləyirsinizsə, yəqin ki, saxta sifarişlər problemi ilə tanışsınız. Hücuma məruz qaldıqda, botlar logistik resursları həddən artıq yükləyir və malları digər alıcılar üçün əlçatmaz edir. Bunun üçün stokda olan məhsulların maksimum sayına bərabər çoxlu sayda saxta sifarişlər verirlər. Daha sonra bu malların pulu ödənilmir və bir müddət sonra sayta qaytarılır. Amma artıq iş görülüb: onlar “anbarda yoxdur” kimi qeyd olunub və bəzi alıcılar artıq rəqiblərin yanına gediblər. Bu taktika aviabilet sənayesində yaxşı tanınır, burada botlar bəzən bütün biletləri əlçatan olan kimi dərhal “satırlar”. Məsələn, böyük bir aviaşirkət olan müştərilərimizdən biri çinli rəqiblərin təşkil etdiyi belə bir hücumdan əziyyət çəkdi. Cəmi iki saat ərzində onların botları müəyyən istiqamətlərə 100% biletlər sifariş etdi.
İdman botları
Növbəti məşhur ssenari: botlar dərhal bütün məhsul xəttini alır və onların sahibləri onları daha sonra şişirdilmiş qiymətə satırlar (orta hesabla 200% qiymət artımı). Belə botlara idman ayaqqabısı botları deyilir, çünki bu problem moda idman ayaqqabısı sənayesində, xüsusən də məhdud kolleksiyalarda yaxşı bilinir. Botlar, real istifadəçilərin oradan keçə bilməməsi üçün resursu bloklayarkən, demək olar ki, bir neçə dəqiqə ərzində yeni yaranan yeni xətləri satın aldı. Dəbli parlaq jurnallarda botların yazıldığı nadir haldır. Baxmayaraq ki, ümumiyyətlə, futbol matçları kimi maraqlı hadisələrə bilet satıcıları eyni ssenaridən istifadə edirlər.
Digər ssenarilər
Ancaq bu, hamısı deyil. Logistikaya hücumların daha mürəkkəb bir versiyası var ki, bu da ciddi itkilərlə təhdid edir. Bu, xidmətdə "Malların qəbulu zamanı ödəniş" seçimi olduqda edilə bilər. Botlar belə mallar üçün saxta sifarişlər buraxır, saxta və hətta şübhəsiz insanların real ünvanlarını göstərir. Şirkətlər çatdırılma, saxlama və təfərrüatları öyrənmək üçün böyük xərclər çəkirlər. Bu zaman mallar digər müştərilər üçün əlçatan deyil və onlar da anbarda yer tutur.
Başqa? Botlar məhsullar haqqında kütləvi saxta pis rəylər buraxır, "ödənişin qaytarılması" funksiyasını pozur, əməliyyatları bloklayır, müştəri məlumatlarını oğurlayır, real müştərilərə spam göndərir - bir çox seçim var. Yaxşı bir nümunə DHL, Hermes, AldiTalk, Freenet, Snipes.com-a edilən son hücumdur. Hakerlər , onlar "DDoS qoruma sistemlərini sınaqdan keçirirlər", lakin sonda şirkətin biznes müştəri portalını və bütün API-lərini buraxırlar. Nəticədə malların müştərilərə çatdırılmasında böyük fasilələr yaranıb.
Sabah zəng edin
Keçən il Federal Ticarət Komissiyası (FTC) şirkətlərdən və istifadəçilərdən spam və saxta telefon bot zəngləri ilə bağlı şikayətlərin iki dəfə artdığını bildirdi. Bəzi hesablamalara görə, onlar təşkil edir bütün zənglər.
DDoS-da olduğu kimi, TDoS-un məqsədləri - telefonlara kütləvi bot hücumları - "aldatmacalardan" vicdansız rəqabətə qədər. Botlar əlaqə mərkəzlərini həddən artıq yükləyə və real müştərilərin buraxılmasının qarşısını ala bilər. Bu üsul təkcə “canlı” operatorları olan zəng mərkəzləri üçün deyil, həm də AVR sistemlərinin istifadə olunduğu yerlərdə effektivdir. Botlar, həmçinin müştərilərlə digər ünsiyyət kanallarına (çat, e-poçt) kütləvi şəkildə hücum edə bilər, CRM sistemlərinin işini poza və hətta müəyyən dərəcədə kadr idarəçiliyinə mənfi təsir göstərə bilər, çünki operatorlar böhranın öhdəsindən gəlməyə çalışırlar. Hücumlar həmçinin qurbanın onlayn resurslarına ənənəvi DDoS hücumu ilə sinxronlaşdırıla bilər.
Bu yaxınlarda analoji hücum xilasetmə xidmətinin işini pozmuşdu ABŞ-da - köməyə çox ehtiyacı olan adi insanlar sadəcə keçə bilmədilər. Təxminən eyni vaxtda Dublin Zooparkı da eyni aqibəti yaşadı, ən azı 5000 insan onları zooparkın telefon nömrəsinə təcili zəng vurmağa və uydurma bir adam istəməyə təşviq edən spam SMS mesajları aldı.
Wi-Fi olmayacaq
Kibercinayətkarlar həmçinin bütün korporativ şəbəkəni asanlıqla bloklaya bilərlər. IP bloklama tez-tez DDoS hücumları ilə mübarizə üçün istifadə olunur. Ancaq bu, yalnız təsirsiz deyil, həm də çox təhlükəli bir təcrübədir. IP ünvanını tapmaq asandır (məsələn, resurs monitorinqi vasitəsilə) və dəyişdirmək asandır (və ya saxtakarlıq). Variti-yə gəlməmişdən əvvəl müştərilərimiz var idi, burada müəyyən IP-nin bloklanması sadəcə öz ofislərində Wi-Fi-ı söndürdü. Müştərinin tələb olunan IP ilə "sürüşdüyü" bir hal var idi və o, bütün bölgədən istifadəçilərə öz resursuna girişi blokladı və uzun müddət bunu görmədi, çünki əks halda bütün resurs mükəmməl işləyirdi.
Yeni nədir?
Yeni təhlükələr yeni təhlükəsizlik həlləri tələb edir. Bununla belə, bu yeni bazar yeri təzəcə yaranmağa başlayır. Sadə bot hücumlarını effektiv şəkildə dəf etmək üçün bir çox həll yolu var, lakin mürəkkəb olanlarla o qədər də sadə deyil. Bir çox həllər hələ də IP bloklama üsullarını tətbiq edir. Başqalarına işə başlamaq üçün ilkin məlumatları toplamaq üçün vaxt lazımdır və bu 10-15 dəqiqə zəifliyə çevrilə bilər. Botu davranışına görə müəyyən etməyə imkan verən maşın öyrənməsinə əsaslanan həllər var. Eyni zamanda, “digər” tərəfin komandaları lovğalanırlar ki, onlarda insandan fərqlənməyən real naxışları təqlid edə bilən botları var. Kimin qalib gələcəyi hələ bəlli deyil.
Bir anda bir neçə səviyyədə peşəkar bot komandaları və mürəkkəb, çoxmərhələli hücumlarla mübarizə aparmalı olursan, nə etməli?
Təcrübəmiz göstərir ki, siz IP ünvanlarını bloklamadan qeyri-qanuni sorğuların filtrasiyasına diqqət yetirməlisiniz. Mürəkkəb DDoS hücumları nəqliyyat səviyyəsi, tətbiq səviyyəsi və API interfeysləri daxil olmaqla, eyni anda bir neçə səviyyədə filtrasiya tələb edir. Bunun sayəsində adətən görünməyən və buna görə də tez-tez qaçırılan aşağı tezlikli hücumları belə dəf etmək mümkündür. Nəhayət, hücum aktiv olsa belə, bütün real istifadəçilərə icazə verilməlidir.
İkincisi, şirkətlər DDoS hücumlarının qarşısını almaq üçün alətlərə əlavə olaraq, fırıldaqçılıqdan, məlumat oğurluğundan, məzmunun qorunmasından və s.
Üçüncüsü, onlar ilk sorğudan real vaxt rejimində işləməlidirlər - təhlükəsizlik insidentlərinə dərhal reaksiya vermək imkanı hücumun qarşısını almaq və ya onun dağıdıcı gücünü azaltmaq şansını xeyli artırır.
Yaxın gələcək: reputasiyanın idarə edilməsi və botlardan istifadə edərək böyük məlumatların toplanması
DDoS-un tarixi sadədən mürəkkəbə doğru inkişaf etmişdir. Əvvəlcə hücumçuların məqsədi saytın fəaliyyətini dayandırmaq olub. Onlar indi əsas biznes proseslərini hədəf almağı daha səmərəli hesab edirlər.
Hücumların mürəkkəbliyi artmağa davam edəcək, bu qaçılmazdır. Üstəlik, pis botların indi etdikləri - məlumatların oğurlanması və saxtalaşdırılması, qəsb, spam - botlar çoxlu sayda mənbələrdən (Böyük məlumat) məlumat toplayacaq və təsirin idarə edilməsi, reputasiya və ya kütləvi fişinq üçün "möhkəm" saxta hesablar yaradacaq.
Hal-hazırda, yalnız böyük şirkətlər DDoS və botların qorunmasına sərmayə qoya bilər, lakin hətta onlar həmişə botlar tərəfindən yaradılan trafikə tam nəzarət edə və süzgəcdən keçirə bilmirlər. Bot hücumlarının daha da mürəkkəbləşməsi ilə bağlı yeganə müsbət cəhət odur ki, bu, bazarı daha ağıllı və təkmil təhlükəsizlik həlləri yaratmağa stimullaşdırır.
Necə düşünürsünüz - bot mühafizə sənayesi necə inkişaf edəcək və hazırda bazarda hansı həllər lazımdır?
Mənbə: www.habr.com