Fa un parell d'anys, les agències d'investigació i els proveïdors de serveis de seguretat de la informació van començar a informar nombre d'atacs DDoS. Però el primer trimestre del 1, els mateixos investigadors van informar de la seva impressionant en un 84%. I després tot va anar de més en més. Fins i tot la pandèmia no va contribuir a l'ambient de pau; per contra, els cibercriminals i els spammers van considerar això un excel·lent senyal per atacar i el volum de DDoS va augmentar. .
Creiem que s'ha acabat el temps dels atacs DDoS senzills i fàcilment detectables (i d'eines senzilles que els poden prevenir). Els ciberdelinqüents han millorat per ocultar aquests atacs i dur-los a terme amb una sofisticació creixent. La indústria fosca ha passat de la força bruta als atacs a nivell d'aplicació. Rep ordres serioses de destruir processos empresarials, inclosos els que no tenen connexió.
Irrompre en la realitat
L'any 2017, una sèrie d'atacs DDoS dirigits als serveis de transport suecs es van produir perllongament . El 2019, l'operador ferroviari nacional de Dinamarca Els sistemes de vendes van caure. Com a resultat, les màquines de bitllets i les portes automàtiques no van funcionar a les estacions i més de 15 mil passatgers no van poder sortir. També el 2019, un poderós atac cibernètic va provocar un tall de corrent .
Les conseqüències dels atacs DDoS les viuen ara no només els usuaris en línia, sinó també les persones, com diuen, IRL (a la vida real). Tot i que històricament els atacants només s'han dirigit als serveis en línia, el seu objectiu ara és sovint interrompre qualsevol operació empresarial. Calculem que avui en dia més del 60% dels atacs tenen aquest propòsit: extorsió o competència deslleial. Les transaccions i la logística són especialment vulnerables.
Més intel·ligent i més car
DDoS continua sent considerat un dels tipus de cibercrim més comuns i de més ràpid creixement. Segons els experts, a partir del 2020 el seu nombre només augmentarà. Això s'associa a diverses raons: amb una transició encara més gran dels negocis en línia a causa de la pandèmia, i amb el desenvolupament de la indústria a l'ombra del cibercrim, i fins i tot amb .
Els atacs DDoS es van fer "populars" alhora per la seva facilitat de desplegament i el seu baix cost: fa només un parell d'anys es podien llançar per 50 dòlars al dia. Avui dia, tant els objectius com els mètodes d'atac han canviat, augmentant la seva complexitat i, per tant, el seu cost. No, els preus a partir de 5 dòlars l'hora encara es troben a les llistes de preus (sí, els ciberdelinqüents tenen llistes de preus i horaris de tarifes), però per a un lloc web amb protecció ja demanen des de 400 dòlars diaris i el cost de les comandes "individuals" per a les grans empreses. arriba a diversos milers de dòlars.
Actualment hi ha dos tipus principals d'atacs DDoS. El primer objectiu és que un recurs en línia no estigui disponible durant un període de temps determinat. Els atacants cobren per ells durant l'atac en si. En aquest cas, a l'operador DDoS no li importa cap resultat específic, i el client paga per avançat per llançar l'atac. Aquests mètodes són bastant barats.
El segon tipus són els atacs que només es paguen quan s'aconsegueix un determinat resultat. Amb ells és més interessant. Són molt més difícils d'implementar i, per tant, molt més cars, ja que els atacants han de triar els mètodes més efectius per assolir els seus objectius. A Variti, de vegades juguem a jocs d'escacs sencers amb ciberdelinqüents, on canvien instantàniament les tàctiques i les eines i intenten trencar amb múltiples vulnerabilitats a diversos nivells alhora. Es tracta clarament d'atacs d'equip en què els hackers saben perfectament com reaccionar i contrarestar les accions dels defensors. Tractar-los no només és difícil, sinó també molt costós per a les empreses. Per exemple, un dels nostres clients, un gran minorista en línia, va mantenir durant gairebé tres anys un equip de 30 persones, la tasca del qual era combatre els atacs DDoS.
Segons Variti, els atacs DDoS simples duts a terme només per avorriment, trolling o insatisfacció amb una empresa concreta representen actualment menys del 10% de tots els atacs DDoS (per descomptat, els recursos no protegits poden tenir estadístiques diferents, mirem les dades dels nostres clients) . Tota la resta és obra d'equips professionals. Tanmateix, tres quartes parts de tots els robots "dolents" són robots complexos que són difícils de detectar mitjançant la majoria de solucions modernes del mercat. Imiten el comportament dels usuaris o navegadors reals i introdueixen patrons que dificulten la distinció entre peticions "bones" i "dolentes". Això fa que els atacs siguin menys notables i, per tant, més efectius.
Dades de GlobalDots
Nous objectius DDoS
Informe d'analistes de GlobalDots diu que ara els robots generen el 50% de tot el trànsit web, i el 17,5% d'ells són robots maliciosos.
Els robots saben com arruïnar la vida de les empreses de diferents maneres: a més d'"estavellar" els llocs web, ara també es dediquen a augmentar els costos publicitaris, fent clic als anuncis, analitzant els preus per tal de fer-los un cèntim menys i atreure els compradors i robar contingut amb diversos propòsits dolents (per exemple, recentment sobre llocs amb contingut robat que obliguen els usuaris a resoldre captchas d'altres persones). Els robots distorsionen molt diverses estadístiques empresarials i, com a resultat, les decisions es prenen a partir de dades incorrectes. Un atac DDoS sovint és una cortina de fum per a delictes encara més greus, com ara la pirateria i el robatori de dades. I ara veiem que s'ha afegit una nova classe d'amenaces cibernètiques: es tracta d'una interrupció del funcionament de determinats processos empresarials de l'empresa, sovint fora de línia (ja que en els nostres temps res no pot estar completament "fora de línia"). Sobretot sovint veiem que els processos logístics i les comunicacions amb els clients es trenquen.
"No lliurat"
Els processos de negoci logístics són clau per a la majoria de les empreses, per la qual cosa sovint són atacats. Aquests són els possibles escenaris d'atac.
No disponible
Si treballeu al comerç en línia, probablement ja esteu familiaritzat amb el problema de les comandes falses. Quan són atacats, els robots sobrecarreguen els recursos logístics i fan que els productes no estiguin disponibles per a altres compradors. Per fer-ho, fan un gran nombre de comandes falses, igual al nombre màxim de productes en estoc. Aquests béns no es paguen i després d'un temps es retornen al lloc. Però l'escriptura ja s'ha fet: estaven marcats com a "exhaurits", i alguns compradors ja s'han dirigit als competidors. Aquesta tàctica és ben coneguda a la indústria dels bitllets d'avió, on els robots de vegades "venen" tots els bitllets gairebé tan aviat com estan disponibles. Per exemple, un dels nostres clients, una gran companyia aèria, va patir un atac com aquest organitzat per competidors xinesos. En només dues hores, els seus robots van demanar el 100% dels bitllets a determinades destinacions.
Bots de sabatilles
El següent escenari popular: els robots compren a l'instant una línia sencera de productes i els seus propietaris els venen més tard a un preu inflat (de mitjana un 200% de marge). Aquests robots s'anomenen robots de sabatilles d'esport, perquè aquest problema és ben conegut a la indústria de les sabatilles de moda, especialment les col·leccions limitades. Els robots van comprar noves línies que acabaven d'aparèixer en gairebé minuts, alhora que bloquejaven el recurs perquè els usuaris reals no poguessin passar-hi. Aquest és un cas rar quan es va escriure sobre robots a revistes brillants de moda. Encara que, en general, els revenedors d'entrades per a esdeveniments genials com els partits de futbol fan servir el mateix escenari.
Altres escenaris
Però això no és tot. Hi ha una versió encara més complexa dels atacs a la logística, que amenaça amb pèrdues greus. Això es pot fer si el servei disposa de l'opció "Pagament a la recepció de la mercaderia". Els robots deixen comandes falses per a aquests productes, indicant adreces falses o fins i tot reals de persones desprevenides. I les empreses incorren en costos enormes per al lliurament, l'emmagatzematge i la recerca de detalls. En aquest moment, les mercaderies no estan disponibles per a altres clients, i també ocupen espai al magatzem.
Què més? Els robots deixen nombroses ressenyes falses sobre els productes, obstrueixen la funció de "devolució del pagament", bloquegen transaccions, roben dades dels clients, envien correu brossa a clients reals: hi ha moltes opcions. Un bon exemple és el recent atac a DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackers , que estan "provant sistemes de protecció DDoS", però al final han deixat el portal de clients empresarials de l'empresa i totes les API. Com a conseqüència, es van produir grans interrupcions en el lliurament de mercaderies als clients.
Truca demà
L'any passat, la Comissió Federal de Comerç (FTC) va informar d'una duplicació de les queixes d'empreses i usuaris sobre correu brossa i trucades telefòniques fraudulentes. Segons algunes estimacions, equivalen a totes les trucades.
Igual que amb DDoS, els objectius de TDoS (atacs massius de bots als telèfons) van des de "enganys" fins a una competència sense escrúpols. Els robots poden sobrecarregar els centres de contacte i evitar que es perdin clients reals. Aquest mètode és efectiu no només per als centres de trucades amb operadors "en directe", sinó també on s'utilitzen sistemes AVR. Els bots també poden atacar massivament altres canals de comunicació amb els clients (xat, correus electrònics), interrompre el funcionament dels sistemes CRM i fins i tot, fins a cert punt, afectar negativament la gestió del personal, perquè els operadors estan sobrecarregats intentant fer front a la crisi. Els atacs també es poden sincronitzar amb un atac DDoS tradicional als recursos en línia de la víctima.
Recentment, un atac similar va interrompre la tasca del servei de rescat als EUA: la gent comuna que necessitava una gran necessitat d'ajuda simplement no podia passar. Al voltant de la mateixa època, el zoològic de Dublín va patir la mateixa sort, amb almenys 5000 persones que rebien missatges de text SMS de correu brossa animant-los a trucar urgentment al número de telèfon del zoològic i demanar una persona fictícia.
No hi haurà Wi-Fi
Els ciberdelinqüents també poden bloquejar fàcilment una xarxa corporativa sencera. El bloqueig d'IP s'utilitza sovint per combatre atacs DDoS. Però aquesta pràctica no només és ineficaç, sinó també molt perillosa. L'adreça IP és fàcil de trobar (per exemple, mitjançant la supervisió de recursos) i fàcil de substituir (o falsificar). Abans d'arribar a Variti hem tingut clients on bloquejar una IP específica simplement desactivava la connexió Wi-Fi a les seves pròpies oficines. Hi va haver un cas en què un client va ser "lliscat" amb la IP requerida i va bloquejar l'accés al seu recurs als usuaris d'una regió sencera i no es va adonar d'això durant molt de temps, perquè en cas contrari, tot el recurs funcionava perfectament.
Què hi ha de nou
Les noves amenaces requereixen noves solucions de seguretat. Tanmateix, aquest nou nínxol de mercat tot just comença a sorgir. Hi ha moltes solucions per repel·lir eficaçment els atacs de bot simples, però amb els complexos no és tan senzill. Moltes solucions encara practiquen tècniques de bloqueig d'IP. Altres necessiten temps per recollir les dades inicials per començar, i aquests 10-15 minuts poden convertir-se en una vulnerabilitat. Hi ha solucions basades en l'aprenentatge automàtic que permeten identificar un bot pel seu comportament. I al mateix temps, els equips de l'"altra banda" presumeixen que ja disposen de robots que poden imitar patrons reals, indistingibles dels humans. Encara no està clar qui guanyarà.
Què heu de fer si heu de fer front a equips de robots professionals i atacs complexos de diverses etapes a diversos nivells alhora?
La nostra experiència demostra que cal centrar-se a filtrar les sol·licituds il·legítimes sense bloquejar les adreces IP. Els atacs DDoS complexos requereixen un filtratge a diversos nivells alhora, inclosos el nivell de transport, el nivell d'aplicació i les interfícies de l'API. Gràcies a això, és possible repel·lir fins i tot atacs de baixa freqüència que solen ser invisibles i, per tant, sovint es perden. Finalment, s'ha de permetre el pas a tots els usuaris reals, fins i tot mentre l'atac està actiu.
En segon lloc, les empreses necessiten la capacitat de crear els seus propis sistemes de protecció en diverses etapes, que, a més d'eines per prevenir atacs DDoS, tindran integrats sistemes contra el frau, el robatori de dades, la protecció de continguts, etc.
En tercer lloc, han de funcionar en temps real des de la primera sol·licitud: la capacitat de respondre instantàniament als incidents de seguretat augmenta considerablement les possibilitats de prevenir un atac o reduir-ne el poder destructiu.
Futur proper: gestió de la reputació i recollida de big data mitjançant bots
La història de DDoS ha evolucionat de simple a complexa. Al principi, l'objectiu dels atacants era que el lloc no funcionés. Ara els resulta més eficient orientar-se als processos de negoci bàsics.
La sofisticació dels atacs seguirà augmentant, és inevitable. A més, el que estan fent els robots dolents ara: robatori i falsificació de dades, extorsió, correu brossa, els robots recopilaran dades d'un gran nombre de fonts (Big Data) i crearan comptes falsos "robustos" per a la gestió de la influència, la reputació o la pesca massiva.
Actualment, només les grans empreses es poden permetre el luxe d'invertir en DDoS i protecció de bots, però fins i tot no sempre poden controlar i filtrar completament el trànsit generat pels robots. L'únic positiu del fet que els atacs de bot són cada cop més complexos és que estimula el mercat a crear solucions de seguretat més intel·ligents i avançades.
Què en penseu: com es desenvoluparà la indústria de la protecció de bots i quines solucions es necessiten al mercat ara mateix?
Font: www.habr.com