Ychydig flynyddoedd yn ôl, dechreuodd asiantaethau ymchwil a darparwyr gwasanaethau diogelwch gwybodaeth adrodd nifer o ymosodiadau DDoS. Ond erbyn chwarter 1af 2019, adroddodd yr un ymchwilwyr eu syfrdanol gan 84%. Ac yna aeth popeth o nerth i nerth. Nid oedd hyd yn oed y pandemig yn cyfrannu at yr awyrgylch o heddwch - i'r gwrthwyneb, roedd seiberdroseddwyr a sbamwyr yn ystyried hwn yn arwydd ardderchog i ymosod, a chynyddodd nifer y DDoS .
Credwn fod yr amser ar gyfer ymosodiadau DDoS syml, hawdd eu canfod (ac offer syml a all eu hatal) ar ben. Mae seiberdroseddwyr wedi gwella o ran cuddio'r ymosodiadau hyn a'u cyflawni gyda mwy a mwy o soffistigedigrwydd. Mae'r diwydiant tywyll wedi symud o 'n ysgrublaidd i ymosodiadau lefel cais. Mae hi'n derbyn archebion difrifol i ddinistrio prosesau busnes, gan gynnwys rhai eithaf all-lein.
Torri i mewn i realiti
Yn 2017, arweiniodd cyfres o ymosodiadau DDoS a oedd yn targedu gwasanaethau trafnidiaeth Sweden at gyfnod hir o amser. . Yn 2019, gweithredwr rheilffordd cenedlaethol Denmarc Aeth systemau gwerthu i lawr. O ganlyniad, nid oedd peiriannau tocynnau a gatiau awtomatig yn gweithio yn y gorsafoedd, ac nid oedd mwy na 15 mil o deithwyr yn gallu gadael. Hefyd yn 2019, achosodd ymosodiad seiber pwerus doriad pŵer i mewn .
Mae canlyniadau ymosodiadau DDoS bellach yn cael eu profi nid yn unig gan ddefnyddwyr ar-lein, ond hefyd gan bobl, fel y dywedant, IRL (mewn bywyd go iawn). Er bod ymosodwyr yn hanesyddol wedi targedu gwasanaethau ar-lein yn unig, eu nod bellach yn aml yw tarfu ar unrhyw weithrediadau busnes. Rydym yn amcangyfrif bod gan fwy na 60% o ymosodiadau heddiw ddiben o'r fath - ar gyfer cribddeiliaeth neu gystadleuaeth annheg. Mae trafodion a logisteg yn arbennig o agored i niwed.
Doethach a drutach
Mae DDoS yn parhau i gael ei ystyried yn un o’r mathau mwyaf cyffredin o seiberdroseddu sy’n tyfu gyflymaf. Yn ôl arbenigwyr, o 2020 dim ond cynyddu fydd eu nifer. Mae hyn yn gysylltiedig â gwahanol resymau - gyda mwy fyth o drawsnewid busnes ar-lein oherwydd y pandemig, a chyda datblygiad y diwydiant cysgodol o seiberdroseddu, a hyd yn oed gyda .
Daeth ymosodiadau DDoS yn “boblogaidd” ar un adeg oherwydd eu bod yn hawdd eu defnyddio a’u cost isel: dim ond cwpl o flynyddoedd yn ôl gallent gael eu lansio am $50 y dydd. Heddiw, mae targedau ymosod a dulliau wedi newid, gan gynyddu eu cymhlethdod ac, o ganlyniad, cost. Na, mae prisiau o $5 yr awr yn dal i fod yn y rhestrau prisiau (oes, mae gan seiberdroseddwyr restrau prisiau ac amserlenni tariff), ond ar gyfer gwefan ag amddiffyniad maen nhw eisoes yn mynnu o $400 y dydd, a chost archebion “unigol” ar gyfer cwmnïau mawr yn cyrraedd rhai miloedd o ddoleri.
Ar hyn o bryd mae dau brif fath o ymosodiadau DDoS. Y nod cyntaf yw gwneud adnodd ar-lein ddim ar gael am gyfnod penodol o amser. Mae ymosodwyr yn codi tâl amdanynt yn ystod yr ymosodiad ei hun. Yn yr achos hwn, nid yw gweithredwr DDoS yn poeni am unrhyw ganlyniad penodol, ac mae'r cleient mewn gwirionedd yn talu ymlaen llaw i lansio'r ymosodiad. Mae dulliau o'r fath yn eithaf rhad.
Yr ail fath yw ymosodiadau sy'n cael eu talu dim ond pan gyflawnir canlyniad penodol. Mae'n fwy diddorol gyda nhw. Maent yn llawer anoddach i'w gweithredu ac felly'n llawer drutach, gan fod yn rhaid i ymosodwyr ddewis y dulliau mwyaf effeithiol i gyflawni eu nodau. Yn Variti, rydyn ni weithiau'n chwarae gemau gwyddbwyll cyfan gyda seiberdroseddwyr, lle maen nhw'n newid tactegau ac offer ar unwaith ac yn ceisio torri i mewn i wendidau lluosog ar lefelau lluosog ar unwaith. Mae'r rhain yn amlwg yn ymosodiadau tîm lle mae'r hacwyr yn gwybod yn iawn sut i ymateb a gwrthsefyll gweithredoedd yr amddiffynwyr. Mae delio â nhw nid yn unig yn anodd, ond hefyd yn gostus iawn i gwmnïau. Er enghraifft, cynhaliodd un o'n cleientiaid, adwerthwr ar-lein mawr, dîm o 30 o bobl am bron i dair blynedd, a'u tasg oedd brwydro yn erbyn ymosodiadau DDoS.
Yn ôl Variti, mae ymosodiadau DDoS syml a wneir yn gyfan gwbl o ddiflastod, trolio neu anfodlonrwydd â chwmni penodol ar hyn o bryd yn cyfrif am lai na 10% o'r holl ymosodiadau DDoS (wrth gwrs, efallai y bydd gan adnoddau heb eu diogelu ystadegau gwahanol, edrychwn ar ein data cwsmeriaid ) . Gwaith timau proffesiynol yw popeth arall. Fodd bynnag, mae tri chwarter yr holl fotiau “drwg” yn fotiau cymhleth sy'n anodd eu canfod gan ddefnyddio'r rhan fwyaf o atebion marchnad modern. Maent yn dynwared ymddygiad defnyddwyr neu borwyr go iawn ac yn cyflwyno patrymau sy’n ei gwneud yn anodd gwahaniaethu rhwng ceisiadau “da” a “drwg”. Mae hyn yn gwneud ymosodiadau yn llai amlwg ac felly'n fwy effeithiol.
Data o GlobalDots
Targedau DDoS newydd
Adroddiad gan ddadansoddwyr o GlobalDots yn dweud bod bots bellach yn cynhyrchu 50% o'r holl draffig gwe, ac mae 17,5% ohonynt yn bots maleisus.
Mae bots yn gwybod sut i ddifetha bywydau cwmnïau mewn gwahanol ffyrdd: yn ogystal â'r ffaith eu bod yn “chwalu” gwefannau, maen nhw bellach hefyd yn ymwneud â chynyddu costau hysbysebu, clicio ar hysbysebion, dosrannu prisiau er mwyn eu gwneud nhw geiniog yn llai a denu prynwyr i ffwrdd, a dwyn cynnwys at wahanol ddibenion drwg (er enghraifft, rydym yn ddiweddar am wefannau gyda chynnwys wedi'i ddwyn sy'n gorfodi defnyddwyr i ddatrys captchas pobl eraill). Mae bots yn ystumio ystadegau busnes amrywiol yn fawr, ac o ganlyniad, gwneir penderfyniadau ar sail data anghywir. Mae ymosodiad DDoS yn aml yn sgrin fwg ar gyfer troseddau hyd yn oed yn fwy difrifol fel hacio a dwyn data. Ac yn awr rydym yn gweld bod dosbarth hollol newydd o fygythiadau seiber wedi'u hychwanegu - mae hyn yn amharu ar waith rhai prosesau busnes y cwmni, yn aml all-lein (gan yn ein hamser ni all unrhyw beth fod yn gwbl "all-lein"). Yn enwedig yn aml rydym yn gweld bod prosesau logisteg a chyfathrebu â chwsmeriaid yn torri i lawr.
"Heb ei ddanfon"
Mae prosesau busnes logisteg yn allweddol i'r rhan fwyaf o gwmnïau, felly ymosodir arnynt yn aml. Dyma'r senarios ymosodiad posibl.
Dim ar gael
Os ydych chi'n gweithio mewn masnach ar-lein, yna mae'n debyg eich bod eisoes yn gyfarwydd â phroblem archebion ffug. Pan ymosodir arnynt, mae bots yn gorlwytho adnoddau logisteg ac yn gwneud nwyddau ddim ar gael i brynwyr eraill. I wneud hyn, maent yn gosod nifer fawr o orchmynion ffug, sy'n hafal i'r nifer uchaf o gynhyrchion mewn stoc. Yna ni thelir am y nwyddau hyn ac ar ôl peth amser cânt eu dychwelyd i'r safle. Ond mae'r weithred eisoes wedi'i gwneud: fe'u marciwyd fel "allan o stoc", ac mae rhai prynwyr eisoes wedi mynd at gystadleuwyr. Mae'r dacteg hon yn adnabyddus yn y diwydiant tocynnau hedfan, lle mae bots weithiau'n “gwerthu allan” pob tocyn bron cyn gynted ag y byddant ar gael. Er enghraifft, dioddefodd un o'n cleientiaid, cwmni hedfan mawr, o ymosodiad o'r fath a drefnwyd gan gystadleuwyr Tsieineaidd. Mewn dim ond dwy awr, archebodd eu bots 100% o docynnau i rai cyrchfannau.
Sneakers bots
Y senario poblogaidd nesaf: mae bots yn prynu llinell gyfan o gynhyrchion ar unwaith, ac mae eu perchnogion yn eu gwerthu yn ddiweddarach am bris chwyddedig (marciad o 200%) ar gyfartaledd. Gelwir bots o'r fath yn bots sneakers, oherwydd mae'r broblem hon yn adnabyddus yn y diwydiant sneaker ffasiwn, yn enwedig casgliadau cyfyngedig. Prynodd Bots linellau newydd a oedd newydd ymddangos mewn bron i funudau, wrth rwystro'r adnodd fel na allai defnyddwyr go iawn fynd drwodd yno. Mae hwn yn achos prin pan ysgrifennwyd am bots mewn cylchgronau sgleiniog ffasiynol. Er, yn gyffredinol, mae ailwerthwyr tocynnau i ddigwyddiadau oer fel gemau pêl-droed yn defnyddio'r un senario.
Senarios eraill
Ond nid dyna'r cyfan. Mae yna fersiwn hyd yn oed yn fwy cymhleth o ymosodiadau ar logisteg, sy'n bygwth colledion difrifol. Gellir gwneud hyn os oes gan y gwasanaeth yr opsiwn “Talu ar ôl derbyn nwyddau”. Mae bots yn gadael archebion ffug am nwyddau o'r fath, gan nodi cyfeiriadau ffug neu hyd yn oed go iawn pobl ddiarwybod. Ac mae cwmnïau'n mynd i gostau enfawr am ddosbarthu, storio, a darganfod manylion. Ar hyn o bryd, nid yw nwyddau ar gael i gwsmeriaid eraill, ac maent hefyd yn cymryd lle yn y warws.
Beth arall? Mae bots yn gadael adolygiadau ffug enfawr am gynhyrchion, yn jamio'r swyddogaeth “dychwelyd taliad”, yn rhwystro trafodion, yn dwyn data cwsmeriaid, yn sbamio cwsmeriaid go iawn - mae yna lawer o opsiynau. Enghraifft dda yw'r ymosodiad diweddar ar DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hacwyr , eu bod yn “profi systemau amddiffyn DDoS,” ond yn y diwedd fe wnaethant roi porth cleient busnes y cwmni a'r holl APIs i lawr. O ganlyniad, bu ymyriadau mawr wrth ddosbarthu nwyddau i gwsmeriaid.
Galwch yfory
Y llynedd, adroddodd y Comisiwn Masnach Ffederal (FTC) am ddyblu mewn cwynion gan fusnesau a defnyddwyr am sbam a galwadau bot ffôn twyllodrus. Yn ôl rhai amcangyfrifon, maent yn gyfystyr â pob galwad.
Yn yr un modd â DDoS, mae nodau TDoS - ymosodiadau bot enfawr ar ffonau - yn amrywio o “ffug” i gystadleuaeth ddiegwyddor. Gall bots orlwytho canolfannau cyswllt ac atal cwsmeriaid go iawn rhag cael eu methu. Mae'r dull hwn yn effeithiol nid yn unig ar gyfer canolfannau galwadau gyda gweithredwyr “byw”, ond hefyd lle defnyddir systemau AVR. Gall bots hefyd ymosod yn aruthrol ar sianeli cyfathrebu eraill â chwsmeriaid (sgwrsio, e-byst), amharu ar weithrediad systemau CRM a hyd yn oed, i ryw raddau, effeithio'n negyddol ar reolaeth personél, oherwydd bod gweithredwyr yn cael eu gorlwytho yn ceisio ymdopi â'r argyfwng. Gall yr ymosodiadau hefyd gael eu cysoni ag ymosodiad DDoS traddodiadol ar adnoddau ar-lein y dioddefwr.
Yn ddiweddar, fe wnaeth ymosodiad tebyg amharu ar waith y gwasanaeth achub yn UDA - ni allai pobl gyffredin sydd ag angen dybryd am gymorth ymdopi. Tua'r un amser, dioddefodd Sw Dulyn yr un dynged, gydag o leiaf 5000 o bobl yn derbyn negeseuon testun SMS sbam yn eu hannog i ffonio rhif ffôn y sw ar frys a gofyn am berson ffug.
Ni fydd Wi-Fi
Gall seiberdroseddwyr hefyd rwystro rhwydwaith corfforaethol cyfan yn hawdd. Defnyddir blocio IP yn aml i frwydro yn erbyn ymosodiadau DDoS. Ond mae hyn nid yn unig yn aneffeithiol, ond hefyd yn arfer peryglus iawn. Mae'r cyfeiriad IP yn hawdd dod o hyd iddo (er enghraifft, trwy fonitro adnoddau) ac yn hawdd i'w ddisodli (neu ffug). Rydym wedi cael cleientiaid cyn dod i Variti lle roedd blocio IP penodol yn syml wedi diffodd Wi-Fi yn eu swyddfeydd eu hunain. Roedd achos pan gafodd cleient ei “lithro” gyda’r IP gofynnol, a rhwystrodd fynediad i’w adnodd i ddefnyddwyr o ranbarth cyfan, ac ni sylwodd ar hyn am amser hir, oherwydd fel arall roedd yr adnodd cyfan yn gweithio’n berffaith.
Beth sy'n newydd?
Mae bygythiadau newydd yn gofyn am atebion diogelwch newydd. Fodd bynnag, dim ond dechrau dod i'r amlwg y mae'r gilfach farchnad newydd hon. Mae yna lawer o atebion ar gyfer gwrthyrru ymosodiadau bot syml yn effeithiol, ond gyda rhai cymhleth nid yw mor syml. Mae llawer o atebion yn dal i ymarfer technegau blocio IP. Mae angen amser ar eraill i gasglu'r data cychwynnol i ddechrau, a gall y 10-15 munud hynny ddod yn agored i niwed. Mae yna atebion yn seiliedig ar ddysgu peirianyddol sy'n eich galluogi i adnabod bot yn ôl ei ymddygiad. Ac ar yr un pryd, mae timau o’r ochr “arall” yn brolio bod ganddyn nhw bots yn barod sy’n gallu efelychu patrymau go iawn, na ellir eu gwahaniaethu oddi wrth rai dynol. Nid yw'n glir eto pwy fydd yn ennill.
Beth i'w wneud os oes rhaid i chi ddelio â thimau bot proffesiynol ac ymosodiadau cymhleth, aml-gam ar sawl lefel ar unwaith?
Mae ein profiad yn dangos bod angen i chi ganolbwyntio ar hidlo ceisiadau anghyfreithlon heb rwystro cyfeiriadau IP. Mae angen hidlo ymosodiadau DDoS cymhleth ar sawl lefel ar unwaith, gan gynnwys lefel trafnidiaeth, lefel cymhwysiad, a rhyngwynebau API. Diolch i hyn, mae'n bosibl gwrthyrru hyd yn oed ymosodiadau amledd isel sydd fel arfer yn anweledig ac felly'n aml yn cael eu colli. Yn olaf, rhaid caniatáu i bob defnyddiwr go iawn fynd drwodd, hyd yn oed tra bod yr ymosodiad yn weithredol.
Yn ail, mae angen i gwmnïau allu creu eu systemau amddiffyn aml-gam eu hunain, a fydd, yn ogystal ag offer ar gyfer atal ymosodiadau DDoS, â systemau integredig yn erbyn twyll, lladrad data, diogelu cynnwys, ac ati.
Yn drydydd, rhaid iddynt weithio mewn amser real o'r cais cyntaf un - mae'r gallu i ymateb ar unwaith i ddigwyddiadau diogelwch yn cynyddu'n fawr y siawns o atal ymosodiad neu leihau ei bŵer dinistriol.
Dyfodol agos: rheoli enw da a chasglu data mawr gan ddefnyddio bots
Mae hanes DDoS wedi esblygu o syml i gymhleth. Ar y dechrau, nod yr ymosodwyr oedd atal y safle rhag gweithio. Maent bellach yn ei chael yn fwy effeithlon targedu prosesau busnes craidd.
Bydd soffistigeiddrwydd ymosodiadau yn parhau i gynyddu, mae'n anochel. Yn ogystal â'r hyn y mae bots drwg yn ei wneud nawr - dwyn data a ffugio, cribddeiliaeth, sbam - bydd bots yn casglu data o nifer fawr o ffynonellau (Data Mawr) ac yn creu cyfrifon ffug “cadarn” ar gyfer rheoli dylanwad, enw da neu we-rwydo torfol.
Ar hyn o bryd, dim ond cwmnïau mawr sy'n gallu fforddio buddsoddi mewn DDoS a diogelu bot, ond hyd yn oed ni allant bob amser fonitro a hidlo traffig a gynhyrchir gan bots yn llawn. Yr unig beth cadarnhaol am y ffaith bod ymosodiadau bot yn dod yn fwy cymhleth yw ei fod yn ysgogi'r farchnad i greu atebion diogelwch craffach a mwy datblygedig.
Beth ydych chi'n ei feddwl - sut fydd y diwydiant amddiffyn bot yn datblygu a pha atebion sydd eu hangen ar y farchnad ar hyn o bryd?
Ffynhonnell: hab.com