Před pár lety začaly hlásit výzkumné agentury a poskytovatelé služeb informační bezpečnosti počet DDoS útoků. Ale v 1. čtvrtletí roku 2019 stejní vědci oznámili své ohromení o 84 %. A pak šlo všechno od úspěchu k úspěchu. Ani pandemie nepřispěla k atmosféře míru – naopak kyberzločinci a spammeři to považovali za výborný signál k útoku a objem DDoS vzrostl .
Věříme, že doba jednoduchých, snadno detekovatelných DDoS útoků (a jednoduchých nástrojů, které jim dokážou zabránit) skončila. Kyberzločinci se zlepšili ve skrývání těchto útoků a jejich provádění s rostoucí sofistikovaností. Temný průmysl přešel od hrubé síly k útokům na aplikační úrovni. Dostává vážné příkazy zničit obchodní procesy, včetně těch zcela offline.
Pronikání do reality
V roce 2017 se série DDoS útoků zaměřených na švédské dopravní služby prodloužila . V roce 2019 národní železniční operátor Dánska Prodejní systémy padly. Na nádražích kvůli tomu nefungovaly automaty na jízdenky a automatické závory a více než 15 tisíc cestujících nemohlo odjet. Také v roce 2019 způsobil silný kybernetický útok výpadek proudu .
Následky DDoS útoků nyní zažívají nejen uživatelé online, ale i lidé, jak se říká, IRL (v reálném životě). Zatímco se útočníci historicky zaměřovali pouze na online služby, jejich cílem je nyní často narušit jakékoli obchodní operace. Odhadujeme, že dnes má více než 60 % útoků takový účel – vydírání nebo nekalou soutěž. Transakce a logistika jsou obzvláště zranitelné.
Chytřejší a dražší
DDoS je nadále považován za jeden z nejběžnějších a nejrychleji rostoucích typů kybernetické kriminality. Podle odborníků se od roku 2020 jejich počet bude jen zvyšovat. To je spojeno s různými důvody – s ještě větším přechodem podnikání online kvůli pandemii a s rozvojem stínového průmyslu kybernetické kriminality, a dokonce s .
DDoS útoky se staly „populárními“ najednou kvůli jejich snadnému nasazení a nízkým nákladům: ještě před pár lety mohly být spuštěny za 50 dolarů na den. Dnes se změnily jak cíle, tak metody útoku, což zvyšuje jejich složitost a v důsledku toho i náklady. Ne, ceny od 5 USD za hodinu jsou stále v cenících (ano, kyberzločinci mají ceníky a tarify), ale za web s ochranou již požadují od 400 USD za den a náklady na „individuální“ zakázky pro velké společnosti dosahuje několika tisíc dolarů.
V současnosti existují dva hlavní typy DDoS útoků. Prvním cílem je znepřístupnit online zdroj po určitou dobu. Útočníci je nabíjejí během samotného útoku. Provozovateli DDoS v tomto případě nezáleží na žádném konkrétním výsledku a klient vlastně platí předem za spuštění útoku. Takové metody jsou poměrně levné.
Druhým typem jsou útoky, které se platí až při dosažení určitého výsledku. S nimi je to zajímavější. Jejich implementace je mnohem obtížnější, a proto jsou výrazně dražší, protože útočníci musí k dosažení svých cílů zvolit nejúčinnější metody. Ve Variti někdy hrajeme celé šachové partie s kyberzločinci, kde okamžitě mění taktiku a nástroje a snaží se proniknout do více zranitelností na více úrovních najednou. Jde jednoznačně o týmové útoky, při kterých hackeři dokonale vědí, jak reagovat a čelit akcím obránců. Vypořádat se s nimi je nejen obtížné, ale pro firmy také velmi nákladné. Například jeden z našich klientů, velký internetový prodejce, udržoval téměř tři roky tým 30 lidí, kteří měli za úkol bojovat proti DDoS útokům.
Jednoduché DDoS útoky prováděné čistě z nudy, trollingu nebo nespokojenosti s konkrétní společností tvoří podle Variti v současnosti méně než 10 % všech DDoS útoků (nechráněné zdroje mohou mít samozřejmě různé statistiky, díváme se na data našich zákazníků ) . Vše ostatní je dílem profesionálních týmů. Nicméně tři čtvrtiny všech „špatných“ robotů jsou komplexní roboti, které je obtížné odhalit pomocí nejmodernějších tržních řešení. Napodobují chování skutečných uživatelů nebo prohlížečů a zavádějí vzorce, které znesnadňují rozlišení mezi „dobrými“ a „špatnými“ požadavky. Díky tomu jsou útoky méně nápadné, a proto efektivnější.
Údaje z GlobalDots
Nové cíle DDoS
Zpráva od analytiků z GlobalDots říká, že roboti nyní generují 50 % veškerého webového provozu a 17,5 % z nich jsou škodliví roboti.
Boti vědí, jak ničit životy společností různými způsoby: kromě toho, že „bourají“ webové stránky, se nyní také zabývají zvyšováním nákladů na reklamu, klikáním na reklamy, analýzou cen, aby měly o cent méně a odlákat kupce a ukrást obsah pro různé špatné účely (například jsme nedávno o webech s kradeným obsahem, které nutí uživatele řešit captcha jiných lidí). Boti značně zkreslují různé obchodní statistiky a v důsledku toho jsou rozhodnutí přijímána na základě nesprávných dat. DDoS útok je často kouřovou clonou pro ještě závažnější trestné činy, jako je hackování a krádeže dat. A nyní vidíme, že přibyla zcela nová třída kybernetických hrozeb - jedná se o narušení práce určitých podnikových procesů společnosti, často offline (protože v naší době nemůže být nic zcela „offline“). Zvláště často vidíme, že se rozpadávají logistické procesy a komunikace se zákazníky.
"Nedoručeno"
Logistické obchodní procesy jsou pro většinu společností klíčové, proto jsou často napadány. Zde jsou možné scénáře útoku.
Není k dispozici
Pokud pracujete v internetovém obchodě, pak pravděpodobně již znáte problém falešných objednávek. Když jsou boti napadeni, přetíží logistické zdroje a znepřístupní zboží ostatním kupujícím. K tomu zadávají obrovské množství falešných objednávek, které se rovná maximálnímu počtu produktů na skladě. Toto zboží pak není zaplaceno a po nějaké době je vráceno zpět na stránky. Ale skutek již byl učiněn: byly označeny jako „vyprodáno“ a někteří kupující již odešli ke konkurentům. Tato taktika je dobře známá v odvětví prodeje letenek, kde roboti někdy okamžitě „vyprodají“ všechny letenky téměř ihned, jakmile budou k dispozici. Například jeden z našich klientů, velká letecká společnost, utrpěl takový útok organizovaný čínskými konkurenty. Za pouhé dvě hodiny si jejich roboti objednali 100 % letenek do určitých destinací.
Boti tenisky
Další populární scénář: roboti okamžitě koupí celou řadu produktů a jejich majitelé je později prodají za přemrštěnou cenu (v průměru 200% marže). Takovým botům se říká sneakers bots, protože tento problém je dobře známý v módním odvětví tenisek, zejména v limitovaných kolekcích. Boti zakoupili nové linky, které se právě objevily během téměř minut, a zablokovali zdroj, aby se tam nemohli dostat skuteční uživatelé. Toto je vzácný případ, kdy se o botech psalo v módních lesklých časopisech. Ačkoli obecně platí, že prodejci vstupenek na skvělé akce, jako jsou fotbalové zápasy, používají stejný scénář.
Jiné scénáře
Ale to není všechno. Existuje ještě složitější verze útoků na logistiku, která hrozí vážnými ztrátami. To lze provést, pokud má služba možnost „Platba při převzetí zboží“. Boti nechávají na takové zboží falešné objednávky, označující falešné nebo dokonce skutečné adresy nic netušících lidí. A společnostem vznikají obrovské náklady na doručení, skladování a zjišťování podrobností. V tuto chvíli je zboží nedostupné pro ostatní zákazníky a navíc zabírá místo ve skladu.
Co jiného? Boti zanechávají masivní falešné špatné recenze o produktech, ruší funkci „vrácení platby“, blokují transakce, kradou zákaznická data, spamují skutečné zákazníky – existuje mnoho možností. Dobrým příkladem je nedávný útok na DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackeři , že „testují systémy ochrany DDoS“, ale nakonec odloží firemní klientský portál a všechna API. V důsledku toho došlo k velkým přerušením dodávek zboží zákazníkům.
Zavolejte zítra
V loňském roce Federální obchodní komise (FTC) oznámila zdvojnásobení stížností firem a uživatelů na spam a podvodné telefonáty. Podle některých odhadů činí všechny hovory.
Stejně jako u DDoS se cíle TDoS – masivních útoků botů na telefony – pohybují od „hoaxů“ po bezohlednou konkurenci. Boti mohou přetížit kontaktní centra a zabránit tomu, aby byli ztraceni skuteční zákazníci. Tato metoda je účinná nejen pro call centra s „živými“ operátory, ale také tam, kde se používají systémy AVR. Boti mohou také masivně napadat další kanály komunikace se zákazníky (chat, e-maily), narušovat chod CRM systémů a dokonce do jisté míry negativně ovlivňovat personální management, protože operátoři jsou přetíženi snahou vyrovnat se s krizí. Útoky lze také synchronizovat s tradičním DDoS útokem na online zdroje oběti.
Nedávno podobný útok narušil práci záchranné služby v USA - obyčejní lidé, kteří nutně potřebují pomoc, se prostě nedostali. Zhruba ve stejnou dobu potkal stejný osud i dublinskou zoo, přičemž nejméně 5000 XNUMX lidí obdrželo spamové SMS zprávy, které je vybízely, aby urychleně zavolali na telefonní číslo zoo a požádali o fiktivní osobu.
Wi-Fi nebude
Kyberzločinci mohou také snadno zablokovat celou firemní síť. Blokování IP se často používá k boji proti DDoS útokům. Ale to je nejen neúčinná, ale také velmi nebezpečná praxe. IP adresu lze snadno najít (například prostřednictvím monitorování zdrojů) a snadno ji nahradit (nebo podvrhnout). Před příchodem do Variti jsme měli klienty, kde blokování konkrétní IP jednoduše vypnulo Wi-Fi v jejich vlastních kancelářích. Vyskytl se případ, kdy klientovi „uklouzla“ požadovaná IP a on zablokoval přístup ke svému zdroji uživatelům z celého regionu a dlouho si toho nevšiml, protože jinak celý zdroj fungoval perfektně.
Co je nového?
Nové hrozby vyžadují nová bezpečnostní řešení. Tato nová mezera na trhu se však teprve začíná objevovat. Existuje mnoho řešení, jak efektivně odrazit jednoduché útoky botů, ale se složitými to tak jednoduché není. Mnoho řešení stále používá techniky blokování IP. Jiní potřebují čas na shromáždění počátečních dat, aby mohli začít, a těchto 10–15 minut se může stát zranitelností. Existují řešení založená na strojovém učení, která vám umožní identifikovat robota podle jeho chování. A zároveň se týmy z „druhé“ strany chlubí, že už mají roboty, kteří dokážou napodobit skutečné vzory, k nerozeznání od lidských. Kdo vyhraje, zatím není jasné.
Co dělat, když se musíte vypořádat s profesionálními týmy botů a složitými, vícestupňovými útoky na několika úrovních najednou?
Naše zkušenosti ukazují, že se musíte zaměřit na filtrování nelegitimních požadavků bez blokování IP adres. Komplexní útoky DDoS vyžadují filtrování na několika úrovních najednou, včetně úrovně přenosu, úrovně aplikace a rozhraní API. Díky tomu je možné odrazit i nízkofrekvenční útoky, které jsou většinou neviditelné, a proto je často minou. A konečně, všichni skuteční uživatelé musí být povoleni, i když je útok aktivní.
Za druhé, firmy potřebují možnost vytvořit si vlastní vícestupňové ochranné systémy, které budou mít kromě nástrojů pro prevenci DDoS útoků zabudované systémy proti podvodům, krádežím dat, ochraně obsahu a tak dále.
Za třetí, musí pracovat v reálném čase od prvního požadavku – možnost okamžité reakce na bezpečnostní incidenty výrazně zvyšuje šance na zabránění útoku nebo snížení jeho ničivé síly.
Blízká budoucnost: správa reputace a sběr velkých dat pomocí robotů
Historie DDoS se vyvíjela od jednoduchých ke složitým. Nejprve bylo cílem útočníků zastavit fungování webu. Nyní považují za efektivnější zaměřit se na hlavní obchodní procesy.
Sofistikovanost útoků se bude stále zvyšovat, je nevyhnutelná. Navíc to, co nyní dělají špatní boti – krádeže a falšování dat, vydírání, spam – boti budou sbírat data z velkého množství zdrojů (Big Data) a vytvářet „robustní“ falešné účty pro řízení vlivu, reputace nebo hromadné phishing.
V současné době si mohou do DDoS a ochrany botů dovolit investovat pouze velké společnosti, ale ani ty nemohou vždy plně monitorovat a filtrovat provoz generovaný roboty. Jedinou pozitivní věcí na tom, že útoky botů jsou stále složitější, je to, že stimuluje trh k vytváření chytřejších a pokročilejších bezpečnostních řešení.
Co si myslíte - jak se bude vyvíjet průmysl ochrany botů a jaká řešení jsou na trhu právě teď potřeba?
Zdroj: www.habr.com