Prije nekoliko godina, istraživačke agencije i pružaoci usluga sigurnosti informacija počele su da izvještavaju broj DDoS napada. Ali do 1. tromjesečja 2019. isti istraživači su izvijestili o njihovom zapanjujućem za 84%. A onda je sve krenulo od snage do snage. Čak ni pandemija nije doprinijela atmosferi mira - naprotiv, sajber kriminalci i spameri smatrali su ovo odličnim signalom za napad, a obim DDoS-a se povećao .
Vjerujemo da je vrijeme jednostavnih, lako otkrivenih DDoS napada (i jednostavnih alata koji ih mogu spriječiti) prošlo. Sajber kriminalci su postali bolji u skrivanju ovih napada i njihovom izvođenju sa sve sofisticiranijim. Mračna industrija je prešla sa brutalne sile na napade na nivou aplikacije. Ona prima ozbiljne naloge da uništi poslovne procese, uključujući i one prilično oflajn.
Probijanje u stvarnost
U 2017., serija DDoS napada usmjerenih na švedske transportne usluge rezultirala je produženjem . 2019. godine nacionalni željeznički operater Danske Sistemi prodaje su pali. Kao rezultat toga, automati za prodaju karata i automatske kapije nisu radili na stanicama, a više od 15 hiljada putnika nije moglo da izađe. Takođe 2019. snažan sajber napad izazvao je nestanak struje .
Posledice DDoS napada sada ne doživljavaju samo onlajn korisnici, već i ljudi, kako kažu, IRL (u stvarnom životu). Dok su napadači u prošlosti ciljali samo na online usluge, njihov cilj je sada često ometati bilo koje poslovne operacije. Procjenjujemo da danas više od 60% napada ima takvu svrhu – iznudu ili nelojalnu konkurenciju. Transakcije i logistika su posebno ranjive.
Pametniji i skuplji
DDoS se i dalje smatra jednom od najčešćih i najbrže rastućih vrsta sajber kriminala. Prema mišljenju stručnjaka, od 2020. njihov broj će se samo povećati. To je povezano s raznim razlozima – sa još većom tranzicijom online poslovanja zbog pandemije, pa i s razvojem sive industrije cyber kriminala, pa čak i sa .
DDoS napadi su svojevremeno postali “popularni” zbog svoje lakoće implementacije i niske cijene: prije samo nekoliko godina mogli su se pokrenuti za 50 dolara dnevno. Danas su se i ciljevi i metode napada promijenili, povećavajući njihovu složenost i, kao rezultat, cijenu. Ne, cijene od 5$ po satu su još uvijek u cjenovnicima (da, sajber kriminalci imaju cjenovnike i tarifnike), ali za web stranicu sa zaštitom već traže od 400$ po danu, a trošak "individualnih" narudžbi za velike kompanije dostiže nekoliko hiljada dolara.
Trenutno postoje dvije glavne vrste DDoS napada. Prvi cilj je učiniti internetski resurs nedostupnim u određenom vremenskom periodu. Napadači napadaju za njih tokom samog napada. U ovom slučaju, DDoS operater ne brine o bilo kakvom konkretnom ishodu, a klijent zapravo plaća unaprijed za pokretanje napada. Takve metode su prilično jeftine.
Druga vrsta su napadi koji se plaćaju samo kada se postigne određeni rezultat. Sa njima je zanimljivije. Mnogo ih je teže implementirati, a samim tim i znatno skuplje, jer napadači moraju odabrati najefikasnije metode za postizanje svojih ciljeva. U Variti-ju ponekad igramo čitave šahovske partije sa sajber kriminalcima, gdje oni momentalno mijenjaju taktiku i alate i pokušavaju probiti više ranjivosti na više nivoa odjednom. Jasno je da se radi o timskim napadima u kojima hakeri odlično znaju kako da reaguju i da se suprotstave akcijama defanzivaca. Suočavanje s njima nije samo teško, već je i veoma skupo za kompanije. Na primjer, jedan od naših klijenata, veliki online trgovac, je skoro tri godine održavao tim od 30 ljudi, čiji je zadatak bio da se bori protiv DDoS napada.
Prema Varitiju, jednostavni DDoS napadi koji se izvode isključivo iz dosade, trolanja ili nezadovoljstva određenom kompanijom trenutno čine manje od 10% svih DDoS napada (naravno, nezaštićeni resursi mogu imati različite statistike, gledamo podatke o našim korisnicima) . Sve ostalo je rad profesionalnih timova. Međutim, tri četvrtine svih “loših” botova su složeni botovi koje je teško otkriti korištenjem najsuvremenijih tržišnih rješenja. Oni imitiraju ponašanje stvarnih korisnika ili pretraživača i uvode obrasce koji otežavaju razlikovanje između "dobrih" i "loših" zahtjeva. To čini napade manje uočljivim i stoga efikasnijim.
Podaci iz GlobalDots-a
Nove DDoS mete
Izveštaj analitičari iz GlobalDots-a kažu da botovi sada generiraju 50% ukupnog web prometa, a 17,5% njih su zlonamjerni botovi.
Botovi znaju upropastiti živote kompanijama na različite načine: osim što „ruše“ web stranice, sada se bave i povećanjem troškova oglašavanja, klikanjem na reklame, analiziranjem cijena kako bi zaradili koju kunu manje i namamiti kupce i ukrasti sadržaj u razne loše svrhe (npr. nedavno smo o web lokacijama s ukradenim sadržajem koji tjeraju korisnike da rješavaju tuđe captcha). Botovi uvelike iskrivljuju različite poslovne statistike, a kao rezultat toga, odluke se donose na osnovu netačnih podataka. DDoS napad je često dimna zavjesa za još ozbiljnije zločine poput hakovanja i krađe podataka. A sada vidimo da je dodana čitava nova klasa sajber prijetnji - ovo je poremećaj rada određenih poslovnih procesa kompanije, često van mreže (pošto u naše vrijeme ništa ne može biti potpuno "offline"). Posebno često vidimo da se kvare logistički procesi i komunikacija s kupcima.
"Nije isporučeno"
Logistički poslovni procesi su ključni za većinu kompanija, pa su često napadnuti. Evo mogućih scenarija napada.
Nije dostupan
Ako radite u online trgovini, vjerovatno ste već upoznati s problemom lažnih narudžbi. Kada su napadnuti, botovi preopterećuju logističke resurse i čine robu nedostupnom drugim kupcima. Da bi to učinili, postavljaju ogroman broj lažnih narudžbi, jednak maksimalnom broju proizvoda na zalihama. Ova roba se tada ne plaća i nakon nekog vremena se vraća na lokaciju. Ali delo je već urađeno: oni su označeni kao „nema na lageru“, a neki kupci su već otišli kod konkurenata. Ova taktika je dobro poznata u industriji prodaje avio karata, gdje botovi ponekad momentalno "rasprodaju" sve karte gotovo čim postanu dostupne. Na primjer, jedan od naših klijenata, velika aviokompanija, pretrpio je takav napad koji su organizovali kineski konkurenti. Za samo dva sata njihovi botovi su naručili 100% karata za određene destinacije.
Sneakers botovi
Sljedeći popularni scenarij: botovi odmah kupuju cijelu liniju proizvoda, a njihovi vlasnici ih kasnije prodaju po naduvanoj cijeni (u prosjeku 200% marže). Takvi botovi se nazivaju sneakers botovi, jer je ovaj problem dobro poznat u modnoj industriji patika, posebno u ograničenim kolekcijama. Botovi su kupili nove linije koje su se upravo pojavile za skoro nekoliko minuta, dok su blokirali resurs tako da pravi korisnici ne mogu proći tamo. Ovo je rijedak slučaj kada se o botovima pisalo u modernim sjajnim časopisima. Iako, generalno, preprodavači karata za cool događaje poput fudbalskih utakmica koriste isti scenario.
Drugi scenariji
Ali to nije sve. Postoji još složenija verzija napada na logistiku, koja prijeti ozbiljnim gubicima. To se može učiniti ako servis ima opciju „Plaćanje po prijemu robe“. Botovi ostavljaju lažne narudžbe za takvu robu, ukazujući na lažne ili čak prave adrese ljudi koji ništa ne sumnjaju. A kompanije snose ogromne troškove za isporuku, skladištenje i pronalaženje detalja. U ovom trenutku roba nije dostupna drugim kupcima, a zauzima i prostor u magacinu.
Šta još? Botovi ostavljaju masivne lažne loše kritike o proizvodima, blokiraju funkciju „povrata plaćanja“, blokiraju transakcije, kradu podatke o kupcima, šalju neželjenu poštu stvarnim kupcima - postoji mnogo opcija. Dobar primjer je nedavni napad na DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hakeri , da "testiraju DDoS sisteme zaštite", ali su na kraju spustili poslovni klijentski portal kompanije i sve API-je. Kao rezultat toga, došlo je do velikih prekida u isporuci robe kupcima.
Zovi sutra
Prošle godine, Federalna trgovinska komisija (FTC) je izvijestila o udvostručenju pritužbi kompanija i korisnika na neželjenu poštu i lažne telefonske bot pozive. Prema nekim procjenama iznose sve pozive.
Kao i kod DDoS-a, ciljevi TDoS-a – masovni napadi robota na telefone – kreću se od “prevare” do beskrupuloznog nadmetanja. Botovi mogu preopteretiti kontakt centre i spriječiti propuštanje stvarnih kupaca. Ova metoda je efikasna ne samo za pozivne centre sa “živim” operaterima, već i tamo gdje se koriste AVR sistemi. Botovi takođe mogu masovno da napadnu druge kanale komunikacije sa korisnicima (chat, mejlovi), poremete rad CRM sistema i čak donekle negativno utiču na upravljanje kadrovima, jer su operateri preopterećeni pokušavajući da se izbore sa krizom. Napadi se takođe mogu sinhronizovati sa tradicionalnim DDoS napadom na mrežne resurse žrtve.
Nedavno je sličan napad poremetio rad spasilačke službe u SAD-u - obični ljudi kojima je preko potrebna pomoć jednostavno nisu mogli proći. Otprilike u isto vrijeme i Dublinski zoološki vrt doživio je istu sudbinu, s najmanje 5000 ljudi koji su primili neželjene SMS poruke koje su ih ohrabrivale da hitno nazovu broj telefona zoološkog vrta i traže fiktivnu osobu.
Neće biti Wi-Fi
Cyber kriminalci također mogu lako blokirati cijelu korporativnu mrežu. IP blokiranje se često koristi za borbu protiv DDoS napada. Ali to nije samo neefikasna, već i vrlo opasna praksa. IP adresu je lako pronaći (na primjer, praćenjem resursa) i lako zamijeniti (ili lažirati). Imali smo klijente prije dolaska u Variti gdje je blokiranje određene IP adrese jednostavno isključilo Wi-Fi u njihovim kancelarijama. Došlo je do slučaja da je klijentu „skliznuo“ traženi IP, te je blokirao pristup svom resursu korisnicima iz cijele regije, a to nije primijetio dugo vremena, jer je inače cijeli resurs funkcionisao savršeno.
Šta je novo
Nove prijetnje zahtijevaju nova sigurnosna rješenja. Međutim, ova nova tržišna niša tek počinje da se pojavljuje. Postoji mnogo rješenja za efikasno odbijanje jednostavnih napada botova, ali sa složenim nije tako jednostavno. Mnoga rješenja još uvijek prakticiraju tehnike IP blokiranja. Drugima je potrebno vrijeme da prikupe početne podatke da bi započeli, a tih 10-15 minuta može postati ranjivost. Postoje rješenja zasnovana na mašinskom učenju koja vam omogućavaju da identifikujete bota po njegovom ponašanju. A pritom se timovi sa „druge“ strane hvale da već imaju botove koji mogu imitirati prave obrasce, nerazlučive od ljudskih. Još nije jasno ko će pobijediti.
Šta učiniti ako morate da se nosite sa profesionalnim botovskim timovima i složenim, višestepenim napadima na nekoliko nivoa odjednom?
Naše iskustvo pokazuje da se morate fokusirati na filtriranje nelegitimnih zahtjeva bez blokiranja IP adresa. Složeni DDoS napadi zahtevaju filtriranje na nekoliko nivoa odjednom, uključujući nivo transporta, nivo aplikacije i API interfejse. Zahvaljujući tome, moguće je odbiti čak i napade niske frekvencije koji su obično nevidljivi i stoga često promašeni. Konačno, svim stvarnim korisnicima mora biti dozvoljen prolaz, čak i dok je napad aktivan.
Drugo, kompanijama je potrebna mogućnost da kreiraju sopstvene višestepene sisteme zaštite, koji će, pored alata za sprečavanje DDoS napada, imati ugrađene sisteme protiv prevara, krađe podataka, zaštite sadržaja i tako dalje.
Treće, oni moraju raditi u realnom vremenu od prvog zahtjeva – mogućnost trenutnog odgovora na sigurnosne incidente uvelike povećava šanse za sprječavanje napada ili smanjenje njegove destruktivne moći.
Bliska budućnost: upravljanje reputacijom i prikupljanje velikih podataka pomoću botova
Istorija DDoS-a je evoluirala od jednostavnog do složenog. U početku je cilj napadača bio da zaustave rad stranice. Sada smatraju da je efikasnije da ciljaju osnovne poslovne procese.
Sofisticiranost napada će se i dalje povećavati, to je neizbježno. Plus ono što loši botovi sada rade - krađa i falsifikovanje podataka, iznuda, spam - botovi će prikupljati podatke iz velikog broja izvora (Big Data) i kreirati "robusne" lažne naloge za upravljanje uticajem, reputacijom ili masovnim phishingom.
Trenutno samo velike kompanije mogu sebi priuštiti ulaganje u DDoS i zaštitu od botova, ali čak ni one ne mogu uvijek u potpunosti pratiti i filtrirati promet koji generiraju botovi. Jedina pozitivna stvar u vezi sa činjenicom da napadi botovima postaju sve složeniji je to što stimuliše tržište da kreira pametnija i naprednija sigurnosna rješenja.
Šta mislite - kako će se razvijati industrija zaštite od botova i koja rješenja su trenutno potrebna na tržištu?
izvor: www.habr.com