Paar aastat tagasi hakkasid raporteerima teadusagentuurid ja infoturbeteenuste pakkujad DDoS rünnakute arv. Kuid 1. aasta esimeseks kvartaliks teatasid samad teadlased oma uimastusest 84% võrra. Ja siis läks kõik järjest jõuliselt. Isegi pandeemia ei soodustanud rahu õhkkonda – vastupidi, küberkurjategijad ja rämpspostitajad pidasid seda suurepäraseks signaaliks rünnata ning DDoS-i maht suurenes .
Usume, et lihtsate, kergesti tuvastatavate DDoS-rünnakute (ja lihtsate tööriistade, mis võivad neid ära hoida) aeg on möödas. Küberkurjategijad on suutnud neid rünnakuid paremini varjata ja järjest keerukamalt läbi viia. Tumetööstus on liikunud toore jõu juurest rakendustasandi rünnakutele. Ta saab tõsiseid korraldusi äriprotsesside hävitamiseks, sealhulgas üsna võrguühenduseta.
Reaalsusesse murdmine
2017. aastal põhjustas Rootsi transporditeenustele suunatud DDoS-rünnakute seeria pikaajalist . 2019. aastal Taani riiklik raudtee-ettevõtja Müügisüsteemid läksid alla. Seetõttu ei töötanud jaamades piletiautomaadid ja automaatväravad ning enam kui 15 tuhat reisijat ei saanud lahkuda. Ka 2019. aastal põhjustas võimas küberrünnak elektrikatkestuse .
DDoS-i rünnakute tagajärgi kogevad nüüd mitte ainult võrgukasutajad, vaid ka inimesed, nagu öeldakse, IRL (päriselus). Kuigi ründajad on ajalooliselt sihikule võtnud ainult võrguteenuseid, on nende eesmärk praegu sageli äritegevuse häirimine. Meie hinnangul on täna enam kui 60% rünnakutest sellise eesmärgiga – väljapressimine või kõlvatu konkurents. Eriti haavatavad on tehingud ja logistika.
Targem ja kallim
DDoS-i peetakse jätkuvalt üheks kõige levinumaks ja kiiremini kasvavaks küberkuritegevuse tüübiks. Ekspertide hinnangul alates 2020. aastast nende arv ainult kasvab. See on seotud erinevate põhjustega – pandeemiast tingitud äritegevuse veelgi suurema üleminekuga veebis ning küberkuritegevuse varitööstuse arenguga ja isegi .
DDoS-i rünnakud muutusid omal ajal populaarseks nende hõlpsa juurutamise ja madala hinna tõttu: vaid paar aastat tagasi sai neid käivitada 50 dollari eest päevas. Tänaseks on muutunud nii ründe sihtmärgid kui ka meetodid, mis on suurendanud nende keerukust ja sellest tulenevalt ka kulusid. Ei, hinnad alates 5 dollarist tunnis on endiselt hinnakirjades (jah, küberkurjategijatel on hinnakirjad ja tariifigraafikud), kuid kaitstud veebisaidi eest nõuavad nad juba 400 dollarit päevas ja suurettevõtete "individuaalsete" tellimuste maksumust. ulatub mitme tuhande dollarini.
Praegu on DDoS-i rünnakuid kahte peamist tüüpi. Esimene eesmärk on muuta võrguressurss teatud aja jooksul kättesaamatuks. Ründajad võtavad nende eest tasu rünnaku enda ajal. Sel juhul ei hooli DDoS-i operaator ühestki konkreetsest tulemusest ja klient maksab rünnaku käivitamise eest tegelikult ette. Sellised meetodid on üsna odavad.
Teine tüüp on rünnakud, mille eest makstakse ainult teatud tulemuse saavutamisel. Nendega on huvitavam. Neid on palju keerulisem rakendada ja seetõttu oluliselt kulukamad, kuna ründajad peavad valima oma eesmärkide saavutamiseks kõige tõhusamad meetodid. Varitis mängime vahel küberkurjategijatega terveid malemänge, kus nad muudavad koheselt taktikat ja tööriistu ning üritavad korraga mitmel tasandil mitmesse haavatavust sisse murda. Tegemist on selgelt meeskondlike rünnakutega, mille puhul häkkerid teavad suurepäraselt, kuidas reageerida ja kaitsjate tegevusele vastu astuda. Nendega tegelemine pole mitte ainult keeruline, vaid ka väga kulukas ettevõtetele. Näiteks üks meie kliente, suur veebimüüja, pidas ligi kolm aastat üleval 30-liikmelist meeskonda, kelle ülesandeks oli võidelda DDoS-i rünnakutega.
Variti sõnul moodustavad lihtsad DDoS-rünnakud, mis on tehtud puhtalt igavusest, trollimisest või rahulolematusest konkreetse ettevõttega, praegu alla 10% kõigist DDoS-i rünnakutest (loomulikult võib kaitsmata ressurssidel olla erinev statistika, vaatame oma klientide andmeid ) . Kõik muu on professionaalsete meeskondade töö. Kolm neljandikku kõigist "halbadest" robotitest on aga keerulised robotid, mida on enamiku kaasaegsete turulahenduste abil raske tuvastada. Need jäljendavad tegelike kasutajate või brauserite käitumist ja tutvustavad mustreid, mis raskendavad "heade" ja "halbade" taotluste eristamist. See muudab rünnakud vähem märgatavaks ja seega tõhusamaks.
Andmed GlobalDotsist
Uued DDoS-i sihtmärgid
Aruanne GlobalDotsi analüütikud ütlesid, et nüüd toodavad robotid 50% kogu veebiliiklusest ja 17,5% neist on pahatahtlikud robotid.
Botid oskavad erinevatel viisidel ettevõtete elu rikkuda: lisaks sellele, et nad ajavad veebilehti kokku, tegelevad nad nüüd ka reklaamikulude suurendamisega, reklaamidel klikkimise, hindade analüüsimisega, et neid kopika võrra väiksemaks teha ja meelitada ära ostjaid ja varastada sisu erinevatel halbadel eesmärkidel (näiteks hiljuti varastatud sisuga saitide kohta, mis sunnivad kasutajaid lahendama teiste inimeste captchasid). Botid moonutavad tugevalt erinevat äristatistikat ning sellest tulenevalt tehakse otsuseid valede andmete põhjal. DDoS-rünnak on sageli suitsukate veelgi tõsisematele kuritegudele, nagu häkkimine ja andmevargus. Ja nüüd näeme, et on lisatud täiesti uus küberohtude klass - see on ettevõtte teatud äriprotsesside töö katkemine, sageli võrguühenduseta (kuna meie ajal ei saa miski olla täiesti võrguühenduseta). Eriti sageli näeme, et logistikaprotsessid ja suhtlus klientidega katkevad.
"Ei tarnitud"
Logistika äriprotsessid on enamiku ettevõtete jaoks võtmetähtsusega, mistõttu neid rünnatakse sageli. Siin on võimalikud rünnakustsenaariumid.
Ei ole saadaval
Kui töötate veebikaubanduses, siis olete tõenäoliselt võltsitud tellimuste probleemiga juba tuttav. Rünnatud robotid koormavad logistikaressursse üle ja muudavad kaubad teistele ostjatele kättesaamatuks. Selleks esitavad nad tohutul hulgal võltsitud tellimusi, mis on võrdne laos olevate toodete maksimaalse arvuga. Nende kaupade eest ei maksta ja need tagastatakse mõne aja pärast saidile. Kuid tegu on juba tehtud: neile märgiti “otsas” ja osa ostjaid on juba konkurentide juurde läinud. See taktika on hästi tuntud lennupiletite müügisektoris, kus robotid mõnikord "müüvad" kõik piletid välja peaaegu kohe, kui need saadaval on. Näiteks üks meie kliente, suur lennufirma, kannatas sellise Hiina konkurentide korraldatud rünnaku all. Vaid kahe tunniga tellisid nende robotid 100% piletitest teatud sihtkohtadesse.
Tossud, robotid
Järgmine populaarne stsenaarium: robotid ostavad koheselt terve rea tooteid ja nende omanikud müüvad need hiljem kõrgendatud hinnaga (keskmiselt 200% juurdehindlus). Selliseid roboteid nimetatakse tossubottideks, kuna see probleem on hästi tuntud tossutööstuses, eriti piiratud kollektsioonides. Botid ostsid peaaegu minutitega üles uued äsja ilmunud read, blokeerides samal ajal ressursi, et päriskasutajad sealt läbi ei pääseks. See on harv juhtum, kui robotitest kirjutati moes läikivates ajakirjades. Kuigi üldiselt kasutavad lahedate ürituste, näiteks jalgpallivõistluste, piletite edasimüüjad sama stsenaariumi.
Muud stsenaariumid
Kuid see pole veel kõik. Logistika rünnakutest on veelgi keerulisem versioon, mis ähvardab tõsiste kahjudega. Seda saab teha juhul, kui teenusel on valik “Makse kauba kättesaamisel”. Botid jätavad selliste kaupade jaoks võltsitud tellimusi, näidates pahaaimamatute inimeste võltsitud või isegi tõelisi aadresse. Ja ettevõtetel tekivad tohutud kulud kohaletoimetamiseks, ladustamiseks ja üksikasjade väljaselgitamiseks. Sel ajal ei ole kaup teistele klientidele kättesaadav ning need võtavad ruumi ka laos.
Mida veel? Botid jätavad toodete kohta tohutult võlts-halbu kommentaare, ummistavad makse tagastamise funktsiooni, blokeerivad tehinguid, varastavad kliendiandmeid, saadavad tõelistele klientidele rämpsposti – võimalusi on palju. Hea näide on hiljutine rünnak DHL-i, Hermesi, AldiTalki, Freeneti, Snipes.com-i vastu. Häkkerid , et nad "testivad DDoS-i kaitsesüsteeme", kuid lõpuks panid nad maha ettevõtte ärikliendiportaali ja kõik API-d. Seetõttu tekkisid suured katkestused kaupade tarnimisel klientidele.
Helista homme
Eelmisel aastal teatas Föderaalne Kaubanduskomisjon (FTC) ettevõtete ja kasutajate kaebuste arvu kahekordistumisest rämpsposti ja petturlike telefonirotikõnede kohta. Mõnede hinnangute kohaselt ulatuvad need kõik kõned.
Nagu DDoS-i puhul, ulatuvad ka TDoS-i eesmärgid – massilised robotirünnakud telefonide vastu – alates "pettustest" kuni hoolimatute konkurentsini. Botid võivad kontaktkeskusi üle koormata ja takistada tegelikest klientidest ilmajäämist. See meetod on efektiivne mitte ainult "reaalajas" operaatoritega kõnekeskustes, vaid ka seal, kus kasutatakse AVR-süsteeme. Samuti võivad robotid massiliselt rünnata teisi klientidega suhtlemise kanaleid (vestlus, e-kirjad), häirida CRM-süsteemide tööd ja isegi mingil määral negatiivselt mõjutada personalijuhtimist, sest operaatorid on kriisiga toimetulemisel ülekoormatud. Rünnakuid saab sünkroonida ka traditsioonilise DDoS-rünnakuga ohvri võrguressurssidele.
Hiljuti häiris sarnane rünnak päästeteenistuse tööd USA-s - hädasti abivajavad tavalised inimesed lihtsalt ei saanud läbi. Umbes samal ajal tabas sama saatus Dublini loomaaeda, kus vähemalt 5000 inimest said rämpsposti SMS-sõnumeid, mis julgustasid neid kiiresti loomaaia telefoninumbril helistama ja fiktiivset inimest küsima.
WiFi-ühendust ei tule
Küberkurjategijad võivad hõlpsasti blokeerida ka terve ettevõtte võrgu. IP-blokeerimist kasutatakse sageli DDoS-i rünnakute vastu võitlemiseks. Kuid see pole mitte ainult ebaefektiivne, vaid ka väga ohtlik praktika. IP-aadressi on lihtne leida (näiteks ressursside jälgimise abil) ja seda on lihtne asendada (või võltsida). Meil on enne Variti tulekut olnud kliente, kus konkreetse IP blokeerimine lülitas nende kontorites lihtsalt WiFi välja. Oli juhtum, kui kliendil "libises" nõutav IP ja ta blokeeris juurdepääsu oma ressursile kogu piirkonna kasutajatele ega märganud seda pikka aega, sest muidu toimis kogu ressurss ideaalselt.
Mis on uus?
Uued ohud nõuavad uusi turvalahendusi. See uus turunišš aga alles hakkab tekkima. Lihtsate robotirünnakute tõhusaks tõrjumiseks on palju lahendusi, kuid keerukate rünnakutega pole see nii lihtne. Paljud lahendused kasutavad endiselt IP blokeerimise tehnikaid. Teised vajavad alustamiseks algandmete kogumiseks aega ja need 10–15 minutit võivad muutuda haavatavaks. On olemas masinõppel põhinevaid lahendusi, mis võimaldavad roboti käitumise järgi tuvastada. Ja samal ajal kiidelvad "teise" poole meeskonnad, et neil on juba robotid, mis suudavad jäljendada tõelisi mustreid, mida ei saa eristada inimeste omadest. Kes võidab, pole veel selge.
Mida teha, kui peate tegelema professionaalsete robotimeeskondade ja keerukate mitmeetapiliste rünnakutega mitmel tasandil korraga?
Meie kogemus näitab, et peate keskenduma ebaseaduslike taotluste filtreerimisele ilma IP-aadresse blokeerimata. Keerulised DDoS-i rünnakud nõuavad filtreerimist korraga mitmel tasemel, sealhulgas transporditase, rakenduse tase ja API liidesed. Tänu sellele on võimalik tõrjuda isegi madala sagedusega rünnakuid, mis on tavaliselt nähtamatud ja seetõttu sageli vahele jäävad. Lõpuks tuleb kõik tegelikud kasutajad läbi lasta, isegi kui rünnak on aktiivne.
Teiseks vajavad ettevõtted võimalust luua oma mitmeastmelised kaitsesüsteemid, mis lisaks DDoS-i rünnete ennetamise vahenditele saavad olema sisseehitatud süsteemid pettuste, andmevarguste, sisukaitse jms vastu.
Kolmandaks peavad need töötama reaalajas alates esimesest päringust – võimalus turvaintsidentidele koheselt reageerida suurendab oluliselt võimalusi ründe ära hoida või selle hävitavat jõudu vähendada.
Lähitulevik: mainehaldus ja suurandmete kogumine robotite abil
DDoS-i ajalugu on arenenud lihtsast keeruliseks. Algul oli ründajate eesmärk saidi töötamine peatada. Nende arvates on nüüd tõhusam sihtida põhilisi äriprotsesse.
Rünnakute keerukus kasvab jätkuvalt, see on vältimatu. Lisaks sellele, mida halvad robotid praegu teevad – andmete vargus ja võltsimine, väljapressimine, rämpspost –, koguvad robotid andmeid paljudest allikatest (Big Data) ja loovad „jõulisi” võltskontosid mõjuhalduse, maine või massilise andmepüügi jaoks.
Praegu saavad DDoS-i ja robotikaitsesse investeerida vaid suured ettevõtted, kuid isegi nemad ei suuda alati robotite tekitatud liiklust täielikult jälgida ja filtreerida. Ainus positiivne asi selles, et robotirünnakud muutuvad keerukamaks, on see, et see stimuleerib turgu looma nutikamaid ja täiustatud turvalahendusi.
Mida arvate teie – kuidas areneb bot-kaitsetööstus ja milliseid lahendusi on turul praegu vaja?
Allikas: www.habr.com