For et par år siden begyndte forskningsbureauer og udbydere af informationssikkerhedstjenester at rapportere antal DDoS-angreb. Men i 1. kvartal af 2019 rapporterede de samme forskere om deres fantastiske med 84 %. Og så gik alt slag i slag. Selv pandemien bidrog ikke til fredens atmosfære - tværtimod betragtede cyberkriminelle og spammere dette som et fremragende signal til angreb, og mængden af DDoS steg .
Vi mener, at tiden for simple, let opdagede DDoS-angreb (og simple værktøjer, der kan forhindre dem) er forbi. Cyberkriminelle er blevet bedre til at skjule disse angreb og udføre dem med stigende sofistikering. Den mørke industri har bevæget sig fra brute force til angreb på applikationsniveau. Hun modtager seriøse ordrer om at ødelægge forretningsprocesser, inklusive helt offline.
At bryde ind i virkeligheden
I 2017 resulterede en række DDoS-angreb rettet mod svenske transporttjenester i forlængede . I 2019 er Danmarks nationale jernbaneoperatør Salgssystemerne gik ned. Som et resultat fungerede billetautomater og automatiske porte ikke på stationerne, og mere end 15 tusinde passagerer var ude af stand til at forlade. Også i 2019 forårsagede et kraftigt cyberangreb et strømafbrydelse i .
Konsekvenserne af DDoS-angreb opleves nu ikke kun af onlinebrugere, men også af folk, som de siger, IRL (i det virkelige liv). Mens angribere historisk set kun har målrettet onlinetjenester, er deres mål nu ofte at forstyrre enhver forretningsdrift. Vi vurderer, at mere end 60 % af angrebene i dag har et sådant formål – til afpresning eller unfair konkurrence. Transaktioner og logistik er særligt sårbare.
Smartere og dyrere
DDoS betragtes fortsat som en af de mest almindelige og hurtigst voksende typer af cyberkriminalitet. Ifølge eksperter vil deres antal fra 2020 kun stige. Dette er forbundet med forskellige årsager - med en endnu større overgang af forretning online på grund af pandemien, og med udviklingen af skyggeindustrien af cyberkriminalitet, og endda med .
DDoS-angreb blev "populære" på et tidspunkt på grund af deres lette implementering og lave omkostninger: For bare et par år siden kunne de blive lanceret for $50 om dagen. I dag har både angrebsmål og metoder ændret sig, hvilket øger deres kompleksitet og som følge heraf omkostningerne. Nej, priser fra $5 pr. time er stadig i prislisterne (ja, cyberkriminelle har prislister og takstplaner), men for en hjemmeside med beskyttelse kræver de allerede fra $400 pr. dag, og omkostningerne ved "individuelle" ordrer for store virksomheder når op på flere tusinde dollars.
Der er i øjeblikket to hovedtyper af DDoS-angreb. Det første mål er at gøre en online ressource utilgængelig i en vis periode. Angribere lader for dem under selve angrebet. I dette tilfælde er DDoS-operatøren ligeglad med noget specifikt resultat, og klienten betaler faktisk på forhånd for at starte angrebet. Sådanne metoder er ret billige.
Den anden type er angreb, der kun betales, når et bestemt resultat er opnået. Det er mere interessant med dem. De er meget sværere at implementere og derfor væsentligt dyrere, da angribere skal vælge de mest effektive metoder for at nå deres mål. Hos Variti spiller vi nogle gange hele skakspil med cyberkriminelle, hvor de øjeblikkeligt ændrer taktik og værktøjer og forsøger at bryde ind i flere sårbarheder på flere niveauer på én gang. Det er helt klart teamangreb, hvor hackerne udmærket ved, hvordan de skal reagere og imødegå forsvarernes handlinger. At håndtere dem er ikke kun vanskeligt, men også meget dyrt for virksomhederne. For eksempel havde en af vores kunder, en stor onlineforhandler, et team på 30 personer i næsten tre år, hvis opgave var at bekæmpe DDoS-angreb.
Ifølge Variti udgør simple DDoS-angreb, der udføres udelukkende af kedsomhed, trolling eller utilfredshed med en bestemt virksomhed, i øjeblikket mindre end 10% af alle DDoS-angreb (selvfølgelig kan ubeskyttede ressourcer have forskellige statistikker, vi ser på vores kundedata ) . Alt andet er arbejdet i professionelle teams. Tre fjerdedele af alle "dårlige" bots er dog komplekse bots, som er svære at opdage ved hjælp af de fleste moderne markedsløsninger. De efterligner virkelige brugeres eller browseres adfærd og introducerer mønstre, der gør det vanskeligt at skelne mellem "gode" og "dårlige" anmodninger. Dette gør angreb mindre mærkbare og derfor mere effektive.
Data fra GlobalDots
Nye DDoS-mål
Rapport fra analytikere fra GlobalDots siger, at bots nu genererer 50% af al webtrafik, og 17,5% af dem er ondsindede bots.
Bots ved, hvordan man ødelægger virksomhedernes liv på forskellige måder: Ud over at de "crasher" hjemmesider, er de nu også engageret i at øge annonceringsomkostningerne, klikke på annoncer, analysere priser for at gøre dem en krone mindre og lokke købere væk og stjæle indhold til forskellige dårlige formål (for eksempel, vi for nylig om websteder med stjålet indhold, der tvinger brugere til at løse andres captchas). Bots forvrænger i høj grad forskellige forretningsstatistikker, og som følge heraf træffes beslutninger baseret på forkerte data. Et DDoS-angreb er ofte et røgslør for endnu mere alvorlige forbrydelser som hacking og datatyveri. Og nu ser vi, at en helt ny klasse af cybertrusler er blevet tilføjet - dette er en forstyrrelse af arbejdet i visse forretningsprocesser i virksomheden, ofte offline (da i vores tid intet kan være helt "offline"). Især ofte ser vi, at logistikprocesser og kommunikation med kunder bryder sammen.
"Ikke afleveret"
Logistiske forretningsprocesser er nøglen for de fleste virksomheder, så de bliver ofte angrebet. Her er de mulige angrebsscenarier.
Ikke tilgængelig
Hvis du arbejder med online handel, så er du sikkert allerede bekendt med problemet med falske ordrer. Når de angribes, overbelaster bots logistikressourcer og gør varer utilgængelige for andre købere. For at gøre dette placerer de et stort antal falske ordrer svarende til det maksimale antal produkter på lager. Disse varer betales derefter ikke og returneres efter nogen tid til siden. Men skødet er allerede gjort: de blev markeret som "udsolgt", og nogle købere er allerede gået til konkurrenter. Denne taktik er velkendt i billetbranchen, hvor bots nogle gange øjeblikkeligt "sælger ud" alle billetter næsten så snart de bliver tilgængelige. For eksempel led en af vores kunder, et stort flyselskab, under et sådant angreb organiseret af kinesiske konkurrenter. På kun to timer bestilte deres bots 100 % af billetterne til bestemte destinationer.
Sneakers bots
Det næste populære scenarie: bots køber øjeblikkeligt en hel serie af produkter, og deres ejere sælger dem senere til en høj pris (i gennemsnit en 200% markup). Sådanne bots kaldes sneakersbots, fordi dette problem er velkendt i modesneakerindustrien, især begrænsede kollektioner. Bots opkøbte nye linjer, der lige var dukket op på næsten få minutter, mens de blokerede ressourcen, så rigtige brugere ikke kunne komme igennem der. Dette er et sjældent tilfælde, hvor der blev skrevet om bots i fashionable glossy magasiner. Selvom forhandlere af billetter til fede begivenheder som fodboldkampe generelt bruger samme scenarie.
Andre scenarier
Men det er ikke alt. Der er en endnu mere kompleks version af angreb på logistik, som truer med alvorlige tab. Dette kan gøres, hvis ydelsen har muligheden "Betaling ved varemodtagelse". Bots efterlader falske ordrer på sådanne varer, hvilket angiver falske eller endda rigtige adresser på intetanende personer. Og virksomheder pådrager sig enorme omkostninger til levering, opbevaring og at finde ud af detaljer. På nuværende tidspunkt er varer ikke tilgængelige for andre kunder, og de fylder også på lageret.
Hvad ellers? Bots efterlader massive falske dårlige anmeldelser om produkter, blokerer "betalingsretur"-funktionen, blokerer transaktioner, stjæler kundedata, spammer rigtige kunder - der er mange muligheder. Et godt eksempel er det seneste angreb på DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackere , at de "tester DDoS-beskyttelsessystemer", men i sidste ende lagde de virksomhedens erhvervsklientportal og alle API'erne ned. Som følge heraf var der store afbrydelser i leveringen af varer til kunderne.
Ring i morgen
Sidste år rapporterede Federal Trade Commission (FTC) en fordobling af klager fra virksomheder og brugere om spam og svigagtige telefonbot-opkald. Ifølge nogle skøn udgør de alle opkald.
Som med DDoS spænder målene for TDoS - massive botangreb på telefoner - fra "hoaxes" til skruppelløs konkurrence. Bots kan overbelaste kontaktcentre og forhindre rigtige kunder i at blive savnet. Denne metode er effektiv ikke kun for callcentre med "live" operatører, men også hvor der bruges AVR-systemer. Bots kan også massivt angribe andre kommunikationskanaler med kunder (chat, e-mails), forstyrre driften af CRM-systemer og endda til en vis grad påvirke personaleledelsen negativt, fordi operatører er overbelastede i forsøget på at klare krisen. Angrebene kan også synkroniseres med et traditionelt DDoS-angreb på ofrets onlineressourcer.
For nylig forstyrrede et lignende angreb redningstjenestens arbejde i USA - almindelige mennesker med hårdt behov for hjælp kunne simpelthen ikke komme igennem. Omtrent på samme tid led Dublin Zoo samme skæbne, hvor mindst 5000 mennesker modtog spam-sms-beskeder, der opfordrede dem til hurtigst muligt at ringe til zoologisk haves telefonnummer og spørge efter en fiktiv person.
Der vil ikke være Wi-Fi
Cyberkriminelle kan også nemt blokere et helt firmanetværk. IP-blokering bruges ofte til at bekæmpe DDoS-angreb. Men dette er ikke kun ineffektiv, men også meget farlig praksis. IP-adressen er let at finde (for eksempel gennem ressourceovervågning) og nem at erstatte (eller forfalske). Vi har haft kunder, før de kom til Variti, hvor blokering af en specifik IP simpelthen slog Wi-Fi fra på deres egne kontorer. Der var et tilfælde, hvor en klient blev "smuttet" med den påkrævede IP, og han blokerede adgangen til sin ressource for brugere fra en hel region og ikke bemærkede dette i lang tid, fordi ellers hele ressourcen fungerede perfekt.
Hvad er nyt
Nye trusler kræver nye sikkerhedsløsninger. Denne nye markedsniche er dog lige begyndt at dukke op. Der er mange løsninger til effektivt at afvise simple botangreb, men med komplekse er det ikke så enkelt. Mange løsninger praktiserer stadig IP-blokeringsteknikker. Andre har brug for tid til at indsamle de indledende data for at komme i gang, og de 10-15 minutter kan blive en sårbarhed. Der er løsninger baseret på maskinlæring, der giver dig mulighed for at identificere en bot ved dens adfærd. Og samtidig praler hold fra den "anden" side af, at de allerede har bots, der kan efterligne rigtige mønstre, der ikke kan skelnes fra menneskelige. Det er endnu ikke klart, hvem der vinder.
Hvad skal du gøre, hvis du skal håndtere professionelle bot-teams og komplekse angreb i flere trin på flere niveauer på én gang?
Vores erfaring viser, at du skal fokusere på at filtrere illegitime anmodninger uden at blokere IP-adresser. Komplekse DDoS-angreb kræver filtrering på flere niveauer på én gang, inklusive transportniveau, applikationsniveau og API-grænseflader. Takket være dette er det muligt at afvise selv lavfrekvente angreb, der normalt er usynlige og derfor ofte savnes. Endelig skal alle rigtige brugere slippes igennem, også mens angrebet er aktivt.
For det andet har virksomheder brug for muligheden for at skabe deres egne flertrinsbeskyttelsessystemer, som udover værktøjer til at forhindre DDoS-angreb vil have indbyggede systemer mod svindel, datatyveri, indholdsbeskyttelse med videre.
For det tredje skal de arbejde i realtid fra den allerførste anmodning - evnen til øjeblikkeligt at reagere på sikkerhedshændelser øger i høj grad chancerne for at forhindre et angreb eller reducere dets ødelæggende kraft.
Nær fremtid: Omdømmestyring og indsamling af store data ved hjælp af bots
Historien om DDoS har udviklet sig fra simpel til kompleks. I første omgang var angribernes mål at stoppe siden i at fungere. De finder det nu mere effektivt at målrette kerneforretningsprocesser.
Sofistikeringen af angreb vil fortsætte med at stige, det er uundgåeligt. Plus hvad dårlige bots gør nu - datatyveri og forfalskning, afpresning, spambots - vil indsamle data fra et stort antal kilder (Big Data) og skabe "robuste" falske konti til indflydelsesstyring, omdømme eller massephishing.
I øjeblikket er det kun store virksomheder, der har råd til at investere i DDoS og botbeskyttelse, men selv de kan ikke altid fuldt ud overvåge og filtrere trafik genereret af bots. Det eneste positive ved, at botangreb bliver mere komplekse, er, at det stimulerer markedet til at skabe smartere og mere avancerede sikkerhedsløsninger.
Hvad tænker du - hvordan vil botbeskyttelsesindustrien udvikle sig, og hvilke løsninger er der brug for på markedet lige nu?
Kilde: www.habr.com