Πριν από μερικά χρόνια, οι ερευνητικοί φορείς και οι πάροχοι υπηρεσιών ασφάλειας πληροφοριών άρχισαν να αναφέρουν αριθμός επιθέσεων DDoS. Αλλά μέχρι το 1ο τρίμηνο του 2019, οι ίδιοι ερευνητές ανέφεραν την εκπληκτική τους εμφάνιση κατά 84%. Και μετά όλα πήγαν από δύναμη σε δύναμη. Ακόμη και η πανδημία δεν συνέβαλε στην ατμόσφαιρα ειρήνης - αντίθετα, οι κυβερνοεγκληματίες και οι spammers θεώρησαν ότι αυτό ήταν ένα εξαιρετικό μήνυμα για επίθεση και ο όγκος των DDoS αυξήθηκε .
Πιστεύουμε ότι ο χρόνος για απλές, εύκολα ανιχνεύσιμες επιθέσεις DDoS (και απλά εργαλεία που μπορούν να τις αποτρέψουν) έχει τελειώσει. Οι εγκληματίες του κυβερνοχώρου έχουν γίνει καλύτεροι στο να κρύβουν αυτές τις επιθέσεις και να τις πραγματοποιούν με αυξανόμενη πολυπλοκότητα. Η σκοτεινή βιομηχανία έχει περάσει από την ωμή βία στις επιθέσεις σε επίπεδο εφαρμογής. Λαμβάνει σοβαρές εντολές για να καταστρέψει επιχειρηματικές διαδικασίες, συμπεριλαμβανομένων και αυτών που είναι αρκετά εκτός σύνδεσης.
Σπάζοντας στην πραγματικότητα
Το 2017, μια σειρά επιθέσεων DDoS με στόχο τις σουηδικές υπηρεσίες μεταφορών είχε ως αποτέλεσμα παρατεταμένες . Το 2019, ο εθνικός σιδηροδρομικός φορέας της Δανίας Τα συστήματα πωλήσεων κατέρρευσαν. Ως αποτέλεσμα, τα μηχανήματα εισιτηρίων και οι αυτόματες πύλες δεν λειτούργησαν στους σταθμούς και περισσότεροι από 15 χιλιάδες επιβάτες δεν μπόρεσαν να φύγουν. Επίσης το 2019, μια ισχυρή κυβερνοεπίθεση προκάλεσε διακοπή ρεύματος .
Οι συνέπειες των επιθέσεων DDoS αντιμετωπίζονται πλέον όχι μόνο από τους διαδικτυακούς χρήστες, αλλά και από τους ανθρώπους, όπως λένε, IRL (στην πραγματική ζωή). Ενώ οι επιτιθέμενοι στόχευαν ιστορικά μόνο διαδικτυακές υπηρεσίες, στόχος τους είναι τώρα συχνά να διαταράξουν οποιαδήποτε επιχειρηματική λειτουργία. Εκτιμούμε ότι σήμερα πάνω από το 60% των επιθέσεων έχουν τέτοιο σκοπό - για εκβιασμό ή αθέμιτο ανταγωνισμό. Οι συναλλαγές και τα logistics είναι ιδιαίτερα ευάλωτα.
Πιο έξυπνο και ακριβότερο
Το DDoS εξακολουθεί να θεωρείται ένας από τους πιο συνηθισμένους και ταχύτερα αναπτυσσόμενους τύπους εγκλήματος στον κυβερνοχώρο. Σύμφωνα με τους ειδικούς, από το 2020 ο αριθμός τους θα αυξηθεί. Αυτό συνδέεται με διάφορους λόγους - με μια ακόμη μεγαλύτερη μετάβαση των επιχειρήσεων στο Διαδίκτυο λόγω της πανδημίας, και με την ανάπτυξη της σκιώδους βιομηχανίας του εγκλήματος στον κυβερνοχώρο, ακόμη και με .
Οι επιθέσεις DDoS έγιναν «δημοφιλείς» κάποτε λόγω της ευκολίας ανάπτυξης και του χαμηλού κόστους: μόλις πριν από μερικά χρόνια μπορούσαν να ξεκινήσουν με 50 $ την ημέρα. Σήμερα, τόσο οι στόχοι όσο και οι μέθοδοι επίθεσης έχουν αλλάξει, αυξάνοντας την πολυπλοκότητά τους και, κατά συνέπεια, το κόστος τους. Όχι, οι τιμές από 5 $ ανά ώρα εξακολουθούν να βρίσκονται στους τιμοκαταλόγους (ναι, οι εγκληματίες του κυβερνοχώρου έχουν τιμοκαταλόγους και χρονοδιαγράμματα τιμολογίων), αλλά για έναν ιστότοπο με προστασία απαιτούν ήδη από 400 $ την ημέρα και το κόστος των "μεμονωμένων" παραγγελιών για μεγάλες εταιρείες φτάνει πολλές χιλιάδες δολάρια.
Αυτή τη στιγμή υπάρχουν δύο κύριοι τύποι επιθέσεων DDoS. Ο πρώτος στόχος είναι να καταστήσετε έναν διαδικτυακό πόρο μη διαθέσιμο για ένα ορισμένο χρονικό διάστημα. Οι επιτιθέμενοι τους χρεώνουν κατά τη διάρκεια της ίδιας της επίθεσης. Σε αυτήν την περίπτωση, ο χειριστής DDoS δεν ενδιαφέρεται για κάποιο συγκεκριμένο αποτέλεσμα και ο πελάτης πληρώνει στην πραγματικότητα για να ξεκινήσει την επίθεση. Τέτοιες μέθοδοι είναι αρκετά φθηνές.
Ο δεύτερος τύπος είναι οι επιθέσεις που πληρώνονται μόνο όταν επιτευχθεί ένα συγκεκριμένο αποτέλεσμα. Είναι πιο ενδιαφέρον μαζί τους. Είναι πολύ πιο δύσκολο να εφαρμοστούν και επομένως σημαντικά πιο ακριβά, αφού οι επιτιθέμενοι πρέπει να επιλέξουν τις πιο αποτελεσματικές μεθόδους για να πετύχουν τους στόχους τους. Στο Variti, μερικές φορές παίζουμε ολόκληρους αγώνες σκακιού με εγκληματίες του κυβερνοχώρου, όπου αλλάζουν αμέσως τακτική και εργαλεία και προσπαθούν να σπάσουν σε πολλαπλά τρωτά σημεία σε πολλά επίπεδα ταυτόχρονα. Αυτές είναι ξεκάθαρα ομαδικές επιθέσεις στις οποίες οι χάκερ ξέρουν πολύ καλά πώς να αντιδράσουν και να αντιμετωπίσουν τις ενέργειες των αμυνόμενων. Η αντιμετώπισή τους είναι όχι μόνο δύσκολη, αλλά και πολύ δαπανηρή για τις εταιρείες. Για παράδειγμα, ένας από τους πελάτες μας, ένας μεγάλος διαδικτυακός πωλητής λιανικής, διατήρησε μια ομάδα 30 ατόμων για σχεδόν τρία χρόνια, καθήκον της οποίας ήταν να καταπολεμήσει τις επιθέσεις DDoS.
Σύμφωνα με το Variti, οι απλές επιθέσεις DDoS που πραγματοποιούνται καθαρά από πλήξη, τρολάρισμα ή δυσαρέσκεια με μια συγκεκριμένη εταιρεία αντιπροσωπεύουν επί του παρόντος λιγότερο από το 10% όλων των επιθέσεων DDoS (φυσικά, οι μη προστατευμένοι πόροι μπορεί να έχουν διαφορετικά στατιστικά στοιχεία, εξετάζουμε τα δεδομένα των πελατών μας ) . Όλα τα άλλα είναι δουλειά επαγγελματικών ομάδων. Ωστόσο, τα τρία τέταρτα όλων των «κακών» ρομπότ είναι πολύπλοκα ρομπότ που είναι δύσκολο να εντοπιστούν χρησιμοποιώντας τις περισσότερες σύγχρονες λύσεις της αγοράς. Μιμούνται τη συμπεριφορά πραγματικών χρηστών ή προγραμμάτων περιήγησης και εισάγουν μοτίβα που καθιστούν δύσκολη τη διάκριση μεταξύ «καλών» και «κακών» αιτημάτων. Αυτό κάνει τις επιθέσεις λιγότερο αισθητές και επομένως πιο αποτελεσματικές.
Δεδομένα από την GlobalDots
Νέοι στόχοι DDoS
Αναφορά από αναλυτές της GlobalDots λέει ότι τα bot δημιουργούν πλέον το 50% της συνολικής επισκεψιμότητας στον ιστό και το 17,5% από αυτά είναι κακόβουλα ρομπότ.
Τα ρομπότ ξέρουν πώς να καταστρέφουν τις ζωές των εταιρειών με διαφορετικούς τρόπους: εκτός από το γεγονός ότι «σκάνε» ιστοσελίδες, πλέον ασχολούνται επίσης με την αύξηση του κόστους διαφήμισης, κάνοντας κλικ σε διαφημίσεις, αναλύοντας τις τιμές για να τους κάνουν μια δεκάρα λιγότερο και παρασύρουν τους αγοραστές και κλέβουν περιεχόμενο για διάφορους κακούς σκοπούς (για παράδειγμα, πρόσφατα σχετικά με ιστότοπους με κλεμμένο περιεχόμενο που αναγκάζουν τους χρήστες να λύσουν τα captcha άλλων ατόμων). Τα ρομπότ παραμορφώνουν σε μεγάλο βαθμό διάφορα στατιστικά στοιχεία των επιχειρήσεων και ως εκ τούτου, οι αποφάσεις λαμβάνονται με βάση λανθασμένα δεδομένα. Μια επίθεση DDoS είναι συχνά προπέτασμα καπνού για ακόμη πιο σοβαρά εγκλήματα, όπως η πειρατεία και η κλοπή δεδομένων. Και τώρα βλέπουμε ότι έχει προστεθεί μια εντελώς νέα κατηγορία απειλών στον κυβερνοχώρο - αυτή είναι μια διακοπή της εργασίας ορισμένων επιχειρηματικών διαδικασιών της εταιρείας, συχνά εκτός σύνδεσης (καθώς στην εποχή μας τίποτα δεν μπορεί να είναι εντελώς "εκτός σύνδεσης"). Ιδιαίτερα συχνά βλέπουμε ότι οι διαδικασίες logistics και οι επικοινωνίες με τους πελάτες καταρρέουν.
"Δεν έχει παραδωθεί"
Οι επιχειρηματικές διαδικασίες εφοδιαστικής είναι βασικές για τις περισσότερες εταιρείες, επομένως συχνά δέχονται επίθεση. Εδώ είναι τα πιθανά σενάρια επίθεσης.
Δεν διατίθεται
Εάν εργάζεστε στο ηλεκτρονικό εμπόριο, τότε πιθανότατα γνωρίζετε ήδη το πρόβλημα των ψεύτικων παραγγελιών. Όταν δέχονται επίθεση, τα bots υπερφορτώνουν τους πόρους logistics και καθιστούν τα αγαθά μη διαθέσιμα σε άλλους αγοραστές. Για να γίνει αυτό, πραγματοποιούν έναν τεράστιο αριθμό ψεύτικων παραγγελιών, ίσο με τον μέγιστο αριθμό προϊόντων σε απόθεμα. Αυτά τα αγαθά στη συνέχεια δεν πληρώνονται και μετά από κάποιο χρονικό διάστημα επιστρέφονται στον ιστότοπο. Αλλά η πράξη έχει ήδη γίνει: επισημάνθηκαν ως "εκτός αποθέματος" και ορισμένοι αγοραστές έχουν ήδη πάει σε ανταγωνιστές. Αυτή η τακτική είναι πολύ γνωστή στον κλάδο των αεροπορικών εισιτηρίων, όπου τα bots μερικές φορές «ξεπουλούν» αμέσως όλα τα εισιτήρια σχεδόν μόλις γίνουν διαθέσιμα. Για παράδειγμα, ένας από τους πελάτες μας, μια μεγάλη αεροπορική εταιρεία, υπέφερε από μια τέτοια επίθεση που οργανώθηκε από κινέζους ανταγωνιστές. Σε μόλις δύο ώρες, τα bots τους παρήγγειλαν το 100% των εισιτηρίων για ορισμένους προορισμούς.
Sneakers bots
Το επόμενο δημοφιλές σενάριο: τα ρομπότ αγοράζουν αμέσως μια ολόκληρη σειρά προϊόντων και οι ιδιοκτήτες τους τα πωλούν αργότερα σε διογκωμένη τιμή (κατά μέσο όρο σημείωση 200%). Τέτοια ρομπότ ονομάζονται sneakers bots, επειδή αυτό το πρόβλημα είναι γνωστό στη βιομηχανία sneaker της μόδας, ειδικά σε περιορισμένες συλλογές. Τα ρομπότ αγόρασαν νέες γραμμές που μόλις είχαν εμφανιστεί σε σχεδόν λίγα λεπτά, ενώ μπλοκάρουν τον πόρο ώστε οι πραγματικοί χρήστες να μην μπορούν να περάσουν από εκεί. Αυτή είναι μια σπάνια περίπτωση που γράφτηκαν για bots σε μοντέρνα γυαλιστερά περιοδικά. Αν και, γενικά, οι μεταπωλητές εισιτηρίων για δροσερές εκδηλώσεις όπως ποδοσφαιρικούς αγώνες χρησιμοποιούν το ίδιο σενάριο.
Άλλα σενάρια
Αλλά δεν είναι μόνο αυτό. Υπάρχει μια ακόμη πιο περίπλοκη εκδοχή επιθέσεων στα logistics, η οποία απειλεί σοβαρές απώλειες. Αυτό μπορεί να γίνει εάν η υπηρεσία έχει την επιλογή «Πληρωμή κατά την παραλαβή αγαθών». Τα ρομπότ αφήνουν ψεύτικες παραγγελίες για τέτοια προϊόντα, υποδεικνύοντας ψεύτικες ή ακόμα και πραγματικές διευθύνσεις ανυποψίαστων ατόμων. Και οι εταιρείες επιβαρύνονται με τεράστιο κόστος για την παράδοση, την αποθήκευση και την εύρεση λεπτομερειών. Αυτή τη στιγμή, τα εμπορεύματα δεν είναι διαθέσιμα σε άλλους πελάτες και καταλαμβάνουν επίσης χώρο στην αποθήκη.
Τι άλλο? Τα ρομπότ αφήνουν τεράστιες ψεύτικες κακές κριτικές σχετικά με προϊόντα, μπλοκάρουν τη λειτουργία "επιστροφή πληρωμών", μπλοκάρουν συναλλαγές, κλέβουν δεδομένα πελατών, στέλνουν ανεπιθύμητα μηνύματα σε πραγματικούς πελάτες - υπάρχουν πολλές επιλογές. Ένα καλό παράδειγμα είναι η πρόσφατη επίθεση στις DHL, Hermes, AldiTalk, Freenet, Snipes.com. Χάκερ , ότι «δοκιμάζουν συστήματα προστασίας DDoS», αλλά στο τέλος κατέβασαν την πύλη επιχειρηματικών πελατών της εταιρείας και όλα τα API. Ως αποτέλεσμα, υπήρξαν μεγάλες διακοπές στην παράδοση των εμπορευμάτων στους πελάτες.
Καλέστε αύριο
Πέρυσι, η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) ανέφερε διπλασιασμό των καταγγελιών από επιχειρήσεις και χρήστες για ανεπιθύμητα μηνύματα και δόλιες τηλεφωνικές κλήσεις bot. Σύμφωνα με ορισμένες εκτιμήσεις, ανέρχονται σε όλες οι κλήσεις.
Όπως και με το DDoS, οι στόχοι του TDoS—μαζικές επιθέσεις bot σε τηλέφωνα— ποικίλλουν από «φάρσες» έως αδίστακτο ανταγωνισμό. Τα ρομπότ μπορούν να υπερφορτώσουν τα κέντρα επικοινωνίας και να αποτρέψουν την απώλεια πραγματικών πελατών. Αυτή η μέθοδος είναι αποτελεσματική όχι μόνο για τηλεφωνικά κέντρα με «ζωντανούς» χειριστές, αλλά και όπου χρησιμοποιούνται συστήματα AVR. Τα bots μπορούν επίσης να επιτεθούν μαζικά σε άλλα κανάλια επικοινωνίας με πελάτες (chat, email), να διαταράξουν τη λειτουργία των συστημάτων CRM και ακόμη, σε κάποιο βαθμό, να επηρεάσουν αρνητικά τη διαχείριση του προσωπικού, επειδή οι χειριστές είναι υπερφορτωμένοι προσπαθώντας να αντιμετωπίσουν την κρίση. Οι επιθέσεις μπορούν επίσης να συγχρονιστούν με μια παραδοσιακή επίθεση DDoS στους διαδικτυακούς πόρους του θύματος.
Πρόσφατα, παρόμοια επίθεση διέκοψε το έργο της υπηρεσίας διάσωσης στις ΗΠΑ - οι απλοί άνθρωποι που είχαν άμεση ανάγκη βοήθειας απλά δεν μπορούσαν να περάσουν. Περίπου την ίδια περίοδο, ο Ζωολογικός Κήπος του Δουβλίνου είχε την ίδια μοίρα, με τουλάχιστον 5000 άτομα να λαμβάνουν spam μηνύματα SMS που τους ενθαρρύνουν να καλέσουν επειγόντως τον αριθμό τηλεφώνου του ζωολογικού κήπου και να ζητήσουν ένα πλασματικό άτομο.
Δεν θα υπάρχει Wi-Fi
Οι εγκληματίες του κυβερνοχώρου μπορούν επίσης εύκολα να μπλοκάρουν ένα ολόκληρο εταιρικό δίκτυο. Ο αποκλεισμός IP χρησιμοποιείται συχνά για την καταπολέμηση επιθέσεων DDoS. Αλλά αυτή δεν είναι μόνο αναποτελεσματική, αλλά και πολύ επικίνδυνη πρακτική. Η διεύθυνση IP είναι εύκολο να βρεθεί (για παράδειγμα, μέσω της παρακολούθησης πόρων) και να αντικατασταθεί εύκολα (ή να πλαστογραφηθεί). Είχαμε πελάτες πριν έρθουν στη Βαρίτη, όπου ο αποκλεισμός μιας συγκεκριμένης IP απλώς απενεργοποίησε το Wi-Fi στα δικά τους γραφεία. Υπήρξε μια περίπτωση που ένας πελάτης "γλίστρησε" με την απαιτούμενη IP και απέκλεισε την πρόσβαση στον πόρο του σε χρήστες από μια ολόκληρη περιοχή και δεν το παρατήρησε αυτό για μεγάλο χρονικό διάστημα, γιατί διαφορετικά ολόκληρος ο πόρος λειτουργούσε τέλεια.
Τι νέο υπάρχει
Οι νέες απειλές απαιτούν νέες λύσεις ασφάλειας. Ωστόσο, αυτή η νέα θέση της αγοράς μόλις αρχίζει να αναδύεται. Υπάρχουν πολλές λύσεις για την αποτελεσματική απόκρουση απλών επιθέσεων bot, αλλά με πολύπλοκες δεν είναι τόσο απλό. Πολλές λύσεις εξακολουθούν να εφαρμόζουν τεχνικές αποκλεισμού IP. Άλλοι χρειάζονται χρόνο για να συλλέξουν τα αρχικά δεδομένα για να ξεκινήσουν και αυτά τα 10-15 λεπτά μπορεί να γίνουν ευπάθεια. Υπάρχουν λύσεις που βασίζονται στη μηχανική εκμάθηση που σας επιτρέπουν να αναγνωρίσετε ένα bot από τη συμπεριφορά του. Και την ίδια στιγμή, ομάδες από την «άλλη» πλευρά καυχώνται ότι έχουν ήδη bots που μπορούν να μιμηθούν πραγματικά μοτίβα, που δεν διακρίνονται από τα ανθρώπινα. Δεν είναι ακόμη σαφές ποιος θα κερδίσει.
Τι να κάνετε εάν πρέπει να αντιμετωπίσετε επαγγελματικές ομάδες bot και σύνθετες επιθέσεις πολλαπλών σταδίων σε πολλά επίπεδα ταυτόχρονα;
Η εμπειρία μας δείχνει ότι πρέπει να εστιάσετε στο φιλτράρισμα παράνομων αιτημάτων χωρίς να αποκλείσετε διευθύνσεις IP. Οι σύνθετες επιθέσεις DDoS απαιτούν φιλτράρισμα σε πολλά επίπεδα ταυτόχρονα, συμπεριλαμβανομένου του επιπέδου μεταφοράς, του επιπέδου εφαρμογής και των διεπαφών API. Χάρη σε αυτό, είναι δυνατό να αποκρούσετε ακόμη και επιθέσεις χαμηλής συχνότητας που είναι συνήθως αόρατες και ως εκ τούτου συχνά χάνονται. Τέλος, πρέπει να επιτρέπεται σε όλους τους πραγματικούς χρήστες, ακόμη και όταν η επίθεση είναι ενεργή.
Δεύτερον, οι εταιρείες χρειάζονται τη δυνατότητα να δημιουργήσουν τα δικά τους συστήματα προστασίας πολλαπλών σταδίων, τα οποία, εκτός από εργαλεία για την πρόληψη επιθέσεων DDoS, θα διαθέτουν ενσωματωμένα συστήματα κατά της απάτης, της κλοπής δεδομένων, της προστασίας περιεχομένου κ.λπ.
Τρίτον, πρέπει να εργάζονται σε πραγματικό χρόνο από το πρώτο κιόλας αίτημα - η δυνατότητα άμεσης απόκρισης σε συμβάντα ασφαλείας αυξάνει σημαντικά τις πιθανότητες αποτροπής μιας επίθεσης ή μείωσης της καταστροφικής της δύναμης.
Εγγύς μέλλον: διαχείριση φήμης και συλλογή μεγάλων δεδομένων με χρήση ρομπότ
Η ιστορία του DDoS έχει εξελιχθεί από απλή σε σύνθετη. Αρχικά, ο στόχος των επιτιθέμενων ήταν να σταματήσουν τη λειτουργία του ιστότοπου. Τώρα βρίσκουν πιο αποτελεσματικό να στοχεύουν βασικές επιχειρηματικές διαδικασίες.
Η πολυπλοκότητα των επιθέσεων θα συνεχίσει να αυξάνεται, είναι αναπόφευκτο. Επιπλέον, αυτό που κάνουν τώρα τα κακά ρομπότ - κλοπή και παραποίηση δεδομένων, εκβιασμός, ανεπιθύμητη αλληλογραφία - τα bot θα συλλέγουν δεδομένα από έναν μεγάλο αριθμό πηγών (Big Data) και θα δημιουργούν «ισχυρούς» ψεύτικους λογαριασμούς για διαχείριση επιρροής, φήμη ή μαζικό phishing.
Επί του παρόντος, μόνο οι μεγάλες εταιρείες έχουν την οικονομική δυνατότητα να επενδύσουν σε DDoS και προστασία bot, αλλά ακόμη και αυτές δεν μπορούν πάντα να παρακολουθούν πλήρως και να φιλτράρουν την κίνηση που δημιουργείται από bot. Το μόνο θετικό με το γεγονός ότι οι επιθέσεις bot γίνονται πιο περίπλοκες είναι ότι διεγείρει την αγορά να δημιουργήσει πιο έξυπνες και πιο προηγμένες λύσεις ασφάλειας.
Τι πιστεύετε - πώς θα αναπτυχθεί η βιομηχανία προστασίας ρομπότ και ποιες λύσεις χρειάζονται αυτή τη στιγμή στην αγορά;
Πηγή: www.habr.com