Пару гадоў таму даследчыя агенцтвы і правайдэры паслуг інфармацыйнай бяспекі ўжо пачалі было дакладваць аб колькасці DDoS-нападаў. Але ўжо да 1-га квартала 2019 года тыя ж даследчыкі паведамілі аб іх ашаламляльным на 84 працэнты. А далей усё пайшло па нарастальнай. Нават пандэмія не паспрыяла атмасферы свету – наадварот, кіберзлачынцы і спамеры палічылі гэта выдатным сігналам да нападу, і аб'ём DDoS вырас .
Мы ўпэўненыя, што час простых і лёгка выяўляных DDoS-нападаў (і нескладаных прылад, якія могуць іх прадухіліць) ужо скончылася. Кіберзлачынцы навучыліся лепш хаваць гэтыя напады і праводзіць іх усё больш выдасканалена. Цёмная індустрыя перайшла ад brute force да нападаў на ўзроўні прыкладанняў. Яна атрымлівае сур'ёзныя замовы на разбурэнне бізнес-працэсаў, уключаючы цалкам сабе афлайнавыя.
Урываючыся ў рэальнасць
У 2017 годзе серыя DDoS-атак, накіраваных на транспартныя паслугі Швецыі, прывяла да працяглых . У 2019 годзе ў нацыянальнага чыгуначнага аператара Даніі адключыліся сістэмы продажаў. У выніку на станцыях не працавалі аўтаматы па продажы білетаў і аўтаматычныя вароты, і больш за 15 тысяч пасажыраў не змаглі нікуды з'ехаць. У тым жа 2019-ым магутная кібератака выклікала адключэнне электразабеспячэння ў .
Наступствы DDoS-нападаў цяпер адчуваюць не толькі анлайн-карыстальнікі, але і людзі, як гаворыцца, IRL (in real life). Хоць гістарычна атакуючыя цэліліся толькі на анлайн-сэрвісы, зараз часта іх задача - парушыць любыя бізнес-аперацыі. Па нашых ацэнках, сёння ў больш чым 60% нападаў ёсць такая мэта - для вымагальніцтва або неахайнай канкурэнтнай барацьбы. Асабліва ўразлівыя пры гэтым транзакцыі і лагістыка.
Разумнейшы і даражэйшы
DDoS працягвае лічыцца адным з самых распаўсюджаных і хуткарослых відаў кіберзлачыннасці. Па прагнозах экспертаў, з 2020 года іх колькасць будзе толькі расці. Гэта звязваюць з рознымі прычынамі - і з яшчэ большым пераходам бізнесу ў анлайн з-за пандэміі, і з развіццём самай ценявой галіны кіберзлачынстваў, і нават з .
"Папулярнымі" DDoS-напады сталі ў свой час з-за прастаты разгортвання і нізкай кошту: яшчэ пару гадоў таму іх можна было ініцыяваць за $50 у дзень. Сёння як мэты, так і метады нападу змяніліся, што прывяло да павелічэння іх складанасці і, як следства, кошты. Не, кошты ад $5 у гадзіну па-ранейшаму ёсць у прайсах (так, у кіберзлачынцаў ёсць прайсы і тарыфныя сеткі), але за сайт з абаронай ужо патрабуюць ад $400 у суткі, а кошт "індывідуальных" заказаў на буйныя кампаніі даходзіць да некалькіх тысяч долараў.
Цяпер існуе два асноўных тыпу DDoS-нападаў. У першага мэта - зрабіць анлайн-рэсурс недаступным на працягу пэўнага перыяду часу. Аплату за іх зламыснікі бяруць за час самай атакі. У гэтым выпадку DDoS-аператар не клапоціцца аб які-небудзь канкрэтным выніку, а кліент фактычна робіць перадаплату за пачатак нападу. Такія метады дастаткова танныя.
Другі тып - напады, якія аплачваюцца толькі пры дасягненні вызначанага выніку. З імі ўжо цікавей. Яны нашмат складаней у выкананні і таму значна даражэй, паколькі атакавалым даводзіцца выбіраць найболей эфектыўныя метады для дасягнення мэт. У Variti мы часам праводзім цэлыя шахматныя партыі з кіберзлачынцамі, у якіх яны імгненна змяняюць тактыку і прылады і спрабуюць зараз прарвацца ў некалькі ўразлівасцяў на некалькіх узроўнях. Гэта відавочна камандныя напады, у якіх хакеры выдатна ведаюць, як рэагаваць і процідзейнічаць дзеянням абаронцаў. Змагацца з імі не толькі няпроста, але і яшчэ і вельмі затратна для кампаній. Напрыклад, адзін з нашых кліентаў, буйны сеткавы рытэйлер, амаль тры гады трымаў у сябе каманду з 30 чалавек, чыёй задачай было дужацца з DDoS-атакамі.
Па дадзеных Variti, простыя DDoS-напады, якія здзяйсняюцца выключна з-за нуды, тролінгу ці незадаволенасці вызначанай кампаніяй, у цяперашні час складаюць менш за 10% усіх DDoS-нападаў (зразумела, у неабароненых рэсурсаў можа быць іншая статыстыка, мы глядзім на дадзеныя нашых кліентаў ). Усё астатняе - гэта праца прафесійных каманд. Пры гэтым тры чвэрці ўсіх "дрэнных" робатаў – гэта складаныя робаты, якія цяжка выявіць з дапамогай большасці сучасных рынкавых рашэнняў. Яны імітуюць паводзіны рэальных карыстальнікаў або браўзэраў і ўкараняюць патэрны, якія ўскладняюць адрозненні паміж "добрымі" і "дрэннымі" запытам. Гэта робіць напады менш прыкметнымі і, такім чынам, больш эфектыўнымі.
Дадзеныя ад GlobalDots
Новыя мэты DDoS
Справаздача ад аналітыкаў з GlobalDots кажа аб тым, што робаты зараз генеруюць 50% усяго вэб-трафіку, прычым 17,5% з іх – гэта менавіта шкоднасныя робаты.
Боты ўмеюць па-рознаму псаваць жыццё кампаніям: плюс да таго, што яны "кладуць" сайты, яны зараз займаюцца і тым, што павялічваюць выдаткі на рэкламу, скліканні рэкламныя аб'явы, парсяць кошты, каб зрабіць іх на капейку менш і перавабіць пакупнікоў, і крадуць кантэнт з рознымі нядобрымі мэтамі (напрыклад, мы нядаўна аб сайтах з крадзеным кантэнтам, якія прымушаюць карыстальнікаў вырашаць чужыя капчы). Боты моцна скажаюць розную бізнэс-статыстыку, а ў выніку рашэнні прымаюцца на аснове няслушных дадзеных. DDoS-напад часта бывае дымавой заслонай для яшчэ больш сур'ёзных злачынстваў тыпу ўзлому і крадзяжы дадзеных. А зараз мы бачым, што дадаўся цэлы новы клас кіберпагроз – гэта парушэнне працы пэўных бізнес-працэсаў кампаніі, часта – афлайнавых (бо ў наш час нічога не можа быць зусім "па-за сеткай"). Асабліва часта мы бачым, што ламаюць лагістычныя працэсы і камунікацыі з кліентамі.
"Не дастаўлена"
Лагістычныя бізнес-працэсы - ключавыя для большасці кампаній, таму на іх часта нападаюць. Вось якія сцэнары нападаў могуць быць пры гэтым.
Няма ў наяўнасці
Калі вы працуеце ў сферы анлайн-камерцыі, то ўжо напэўна знаёмыя з праблемай фэйкавых заказаў. У выпадку нападаў боты перагружаюць лагістычныя рэсурсы і робяць тавары недаступнымі для іншых пакупнікоў. Для гэтага яны размяшчаюць велізарную колькасць фэйкавых заказаў, роўнае максімальнай колькасці тавараў у наяўнасці. Гэтыя тавары потым не аплочваюцца і праз некаторы час вяртаюцца на сайт. Але справа ўжо зроблена: яны былі пазначаныя як "няма ў наяўнасці", і частка пакупнікоў ужо сышла да канкурэнтаў. Гэтая тактыка добра знаёмая ў індустрыі авіябілетаў, дзе часам боты імгненна "раскупляюць" усе білеты практычна адразу пасля іх з'яўлення. Напрыклад, адзін з нашых кліентаў - буйная авіякампанія - пацярпеў ад такой атакі, арганізаванай кітайскімі канкурэнтамі. Усяго за дзве гадзіны іх боты замовілі 100% білетаў на пэўныя напрамкі.
Sneakers bots
Наступны папулярны сцэнар: боты імгненна купляюць усю лінейку прадуктаў, а іх уладальнікі прадаюць іх пазней па завышаным кошце (у сярэднім нацэнка складае 200%). Такіх робатаў завуць sneakers bots, таму што з гэтай праблемай добра знаёмыя ў індустрыі модных красовак, асабліва – лімітаваных калекцый. Боты практычна за хвіліны скуплялі толькі што якія з'явіліся новыя лінейкі, пры гэтым блакуючы рэсурс так, каб туды не змаглі прарвацца рэальныя карыстальнікі. Гэта рэдкі выпадак, калі пра робатаў пісалі ў модных глянцавых часопісах. Хоць увогуле, перапрадаўцы білетаў на крутыя мерапрыемствы тыпу футбольных матчаў карыстаюцца тым жа сцэнарам.
Іншыя сцэнары
Але і гэта яшчэ не ўсё. Ёсць яшчэ больш складаны варыянт нападаў на лагістыку, які пагражае сур'ёзнымі стратамі. Гэтым могуць займацца, калі ў сэрвісу ёсць опцыя "Аплата пры атрыманні тавару". Боты пакідаюць падробленыя замовы на такія тавары, паказваючы фэйкавыя, а то і рэальныя адрасы людзей, якія нічога не падазраюць. А кампаніі нясуць вялізныя выдаткі на дастаўку, захоўванне, высвятленне дэталяў. Тым часам тавары недаступныя для іншых кліентаў, ды яшчэ і займаюць месца на складзе.
Што яшчэ? Робаты пакідаюць масавыя фэйкавыя дрэнныя водгукі аб таварах, забіваюць функцыю "вяртанне плацяжу", блакуючы транзакцыі, крадуць дадзеныя кліентаў, згадка рэальным пакупнікам – варыянтаў мноства. Добры прыклад – нядаўняя атака на DHL, Hermes, AldiTalk, Freenet, Snipes.com. Хакеры , Што яны "тэстуюць сістэмы абароны ад DDoS", а ў выніку паклалі партал бізнес-кліентаў кампаніі і ўсе API. У выніку здарыліся вялікія перабоі ў дастаўцы тавараў пакупнікам.
Патэлефануйце заўтра
У мінулым годзе Федэральная гандлёвая камісія (FTC) паведаміла аб падвойным росце скаргаў ад прадпрыемстваў і карыстальнікаў на спамерскія і ашуканскія тэлефонныя бот-званкі. Па некаторых ацэнках, яны складаюць усіх званкоў.
Як і ў выпадках з DDoS, мэты TDoS – масавых нападаў робатаў на тэлефоны – вар'іруюцца ад "розыгрышаў" да неахайнай канкурэнтнай барацьбы. Боты здольныя перагрузіць кантакт-цэнтры і не прапусціць рэальных кліентаў. Гэты метад эфектыўны не толькі для кол-цэнтраў з "жывымі" аператарамі, але і там, дзе выкарыстоўваюцца сістэмы AVR. Боты таксама могуць масава нападаць на іншыя каналы камунікацыі з кліентамі (чаты, emails), парушаць працу CRM-сістэм і нават у некаторай ступені негатыўна ўплываць на кіраванне персаналам, бо аператары перагружаныя, спрабуючы зладзіцца з крызісам. Напады таксама могуць быць сінхранізаваныя з традыцыйнай DDoS-атакай на анлайн-рэсурсы ахвяры.
Нядаўна падобная атака парушыла працу службы выратавання у ЗША - звычайныя людзі, якія маюць вострую патрэбу ў дапамозе, проста не маглі датэлефанавацца. Прыкладна ў той жа час Дублінскі заапарк напаткаў той жа лёс: сама меней 5000 чалавек атрымалі спам у выглядзе тэкставых SMS-паведамленняў, якія падахвочваюць іх тэрмінова патэлефанаваць па нумары тэлефона заапарка і папрасіць выдуманага чалавека.
Wi-Fi не будзе
Кіберзлачынцы таксама могуць лёгка заблакаваць усю карпаратыўную сетку. Часта блакіроўка IP выкарыстоўваецца ў якасці барацьбы з DDoS-нападамі. Але гэта ня толькі неэфэктыўная, але і вельмі небясьпечная практыка. IP-адрас лёгка знайсці (напрыклад, з дапамогай маніторынгу рэсурсаў) і лёгка замяніць (ці падрабіць). У нашых кліентаў да прыходу ў Variti былі выпадкі, калі гэта прывяло да таго, што блакіроўка вызначанага IP папросту адключыла Wi-Fi у іх уласных офісах. Быў выпадак, калі кліенту "падсунулі" патрэбны IP, і ён заблакаваў доступ да свайго рэсурсу карыстальнікам з цэлага рэгіёна, прычым доўга гэтага не заўважаў, таму што ў астатнім увесь рэсурс выдатна функцыянаваў.
Што новага?
Новыя пагрозы патрабуюць новых рашэньняў для абароны. Аднак гэтая новая ніша на рынку толькі пачынае фармавацца. Рашэнняў для эфектыўнага адлюстравання простых нападаў ботаў мноства, а вось са складанымі ўсё не так проста. Многія рашэнні па-ранейшаму практыкуюць метады блакіроўкі IP. Іншым патрэбны час, каб сабраць першасныя дадзеныя для пачатку працы, і гэтыя 10-15 хвілін могуць стаць уразлівасцю. Ёсць рашэнні, заснаваныя на машынным навучанні, якія дазваляюць вызначаць робата па яго паводзінах. І адначасова каманды з "таго" боку выхваляюцца, што ў іх ужо ёсць боты, якія могуць імітаваць рэальныя, неадрозныя ад чалавечых патэрны. Хто каго - пакуль незразумела.
Што рабіць, калі даводзіцца змагацца з прафесійнымі камандамі батаводаў і складанымі, шматэтапнымі атакамі адразу на некалькіх узроўнях?
Наш досвед паказвае, што трэба факусавацца на фільтраванні нелегітымных запытаў без блакавання IP-адрасоў. Для складаных DDoS-нападаў патрэбна фільтраванне адразу на некалькіх узроўнях, уключаючы і транспартны ўзровень, і ўзровень прыкладанняў, і API-інтэрфейсы. Дзякуючы гэтаму можна адлюстроўваць нават нізкачашчынныя напады, якія звычайна незаўважныя і таму часта прапускаюцца далей. Нарэшце, неабходна прапускаць усіх рэальных карыстачоў нават у той час, пакуль ідзе актыўная фаза нападу.
Па-другое, кампаніям патрэбна магчымасць ствараць свае ўласныя шматэтапныя сістэмы абароны, куды, акрамя інструментаў прадухілення DDoS-нападаў, будуць убудаваны сістэмы супраць махлярства, крадзяжы дадзеных, абароны кантэнту і гэтак далей.
Па-трэцяе, яны павінны працаваць у рэжыме рэальнага часу з самага першага запыту - магчымасць імгненна рэагаваць на інцыдэнты бяспекі нашмат падвышае шанцы прадухіліць напад або паменшыць іх разбуральную сілу.
Бліжэйшая будучыня: кіраванне рэпутацыяй і збор вялікіх дадзеных з дапамогай ботаў
Гісторыя DDoS развівалася ад простага да складанага. Спачатку мэтай зламыснікаў было спыніць працу сайта. Цяпер яны лічаць больш эфектыўным цэліцца ў асноўныя бізнес-працэсы.
Складанасць нападаў будзе працягваць расці, гэта непазбежна. Плюс да таго, што дрэнныя робаты робяць сёння – крадзеж дадзеных і іх фальсіфікацыя, вымагальніцтва, спам – робаты будуць збіраць дадзеныя з вялікай колькасці крыніц (Big Data) і ствараць «надзейныя» фальшывыя ўліковыя запісы для кіравання уплывам, рэпутацыяй або масавага фішынгу.
У цяперашні час толькі буйныя кампаніі могуць дазволіць сабе інвеставаць сродкі ў абарону ад DDoS і робатаў, але нават яны не заўсёды могуць цалкам адсачыць і адфільтраваць трафік, згенераваны ботамі. Адзіны пазітыў таго, што напады робатаў ўскладняюцца, – гэта стымулюе рынак ствараць "разумныя" і больш дасканалыя рашэнні для абароны.
Што думаеце вы – як будзе развівацца галіна абароны ад робатаў і якія рашэнні неабходныя на рынку ўжо зараз?
Крыніца: habr.com