Duela pare bat urte, ikerketa agentziak eta informazio segurtasun zerbitzu hornitzaileak salatzen hasi ziren DDoS eraso kopurua. Baina 1ko 2019. hiruhilekoan, ikertzaile berdinek euren harrigarritasuna jakinarazi zuten %84. Eta gero dena indarrez joan zen. Pandemiak ere ez zuen bake giroan lagundu - aitzitik, ziberkriminalek eta spammer-ek eraso egiteko seinale bikaina zela uste zuten eta DDoS-en bolumena handitu zen. .
Uste dugu DDoS eraso sinple eta erraz antzematen (eta horiek saihestu ditzaketen tresna sinpleen) garaia amaitu dela. Ziberkriminalek hobetu egin dute eraso hauek ezkutatzen eta gero eta sofistikazio handiagoarekin egiten. Industria iluna indar gordinatik aplikazio mailako erasoetara igaro da. Negozio-prozesuak suntsitzeko agindu larriak jasotzen ditu, lineaz kanpokoak barne.
Errealitatean apurtzea
2017an, Suediako garraio-zerbitzuei zuzendutako DDoS eraso sorta batek luze iraun zuen . 2019an, Danimarkako trenbide-operadore nazionala Salmenta sistemak behera egin zuten. Ondorioz, txartel-makinek eta ate automatikoek ez zuten funtzionatzen geltokietan, eta 15 mila bidaiari baino gehiago ezin izan ziren irten. 2019an ere, ziber-eraso indartsu batek elektrizitatea eten zuen .
DDoS erasoen ondorioak sareko erabiltzaileek ez ezik, jendeak ere jasaten dituzte, esan bezala, IRL (bizitza errealean). Erasotzaileek historikoki lineako zerbitzuak soilik jo izan dituzten arren, gaur egun haien helburua negozio-eragiketa oro etetea da. Uste dugu gaur egun erasoen % 60k baino gehiagok helburu hori dutela βestortsioa edo lehia desleialaβ. Transakzioak eta logistika bereziki zaurgarriak dira.
Adimentsuagoa eta garestiagoa
DDoS ziberdelituen ohikoena eta hazten ari den motarik azkarrenetako bat izaten jarraitzen du. Adituen arabera, 2020tik aurrera haien kopurua handitu baino ez da egingo. Horrek hainbat arrazoirekin lotzen du: sareko negozioen trantsizio are handiagoarekin pandemia dela eta, eta ziberkrimenaren itzaleko industriaren garapenarekin, eta are gehiago. .
DDoS erasoak "ospetsu" bihurtu ziren garai batean, hedatzeko erraztasunagatik eta kostu baxuagatik: duela urte pare bat egunean 50 dolarren truke abian zitezkeen. Gaur egun, eraso-helburuak zein metodoak aldatu egin dira, haien konplexutasuna eta, ondorioz, kostua areagotuz. Ez, orduko 5 $-tik aurrerako prezioak prezio-zerrendetan daude oraindik (bai, ziber-kriminalek prezio-zerrendak eta tarifa-ordutegiak dituzte), baina babesa duen webgune baterako dagoeneko 400 $-tik eskatzen dute eguneko, eta eskaera "banakoen" kostua enpresa handientzat. hainbat mila dolarra iristen da.
Gaur egun, bi DDoS eraso mota nagusi daude. Lehen helburua sareko baliabide bat denbora-tarte jakin batean erabilgarri ez egotea da. Erasotzaileek kobratzen diete erasoan bertan. Kasu honetan, DDoS operadoreari ez dio inolako emaitza zehatzik axola, eta bezeroak benetan ordaintzen du erasoa abiarazteko. Horrelako metodoak nahiko merkeak dira.
Bigarren mota emaitza jakin bat lortzen denean bakarrik ordaintzen diren erasoak dira. Haiekin interesgarriagoa da. Ezartzeko askoz zailagoak dira eta, beraz, nabarmen garestiagoak dira, erasotzaileek euren helburuak lortzeko metodo eraginkorrenak aukeratu behar baitituzte. Variti-n, batzuetan, xake-partida osoak jokatzen ditugu ziberkriminalekin, non berehala aldatzen dituzten taktikak eta tresnak eta hainbat ahultasunetan sartzen saiatzen diren aldi berean. Argi eta garbi taldeen erasoak dira, non hackerrek ederki dakite nola erreakzionatu eta atzelarien ekintzei aurre egiten. Horiei aurre egitea zaila ez ezik, oso garestia da enpresentzat. Esaterako, gure bezeroetako batek, lineako denda handi batek, ia hiru urtez 30 laguneko taldea mantendu zuen, eta DDoS erasoei aurre egitea zen bere zeregina.
Variti-ren arabera, enpresa jakin batekin asperduragatik, trollingagatik edo atsekabeagatik egindako DDoS eraso sinpleak gaur egun DDoS eraso guztien % 10 baino gutxiago dira (noski, babestu gabeko baliabideek estatistika desberdinak izan ditzakete, gure bezeroen datuak aztertzen ditugu) . Gainerako guztia talde profesionalen lana da. Hala ere, bot "txar" guztien hiru laurdenak bot konplexuak dira, merkatuko irtenbide modernoenak erabiliz antzematen zailak direnak. Benetako erabiltzaileen edo nabigatzaileen portaera imitatzen dute eta eskaera βonakβ eta βtxarrakβ bereiztea zailtzen duten ereduak sartzen dituzte. Horrek erasoak gutxiago nabaritzen ditu eta, beraz, eraginkorragoak dira.
GlobalDots-en datuak
DDoS helburu berriak
txosten GlobalDots-eko analistek dio gaur egun bot-ek web trafiko guztiaren % 50 sortzen dutela, eta horietatik % 17,5 bot gaiztoak direla.
Bot-ek enpresen bizitza modu ezberdinetan hondatzen dakite: webguneak "hondatzea" izateaz gain, orain publizitate-kostuak areagotzen, iragarkietan klik egiten, prezioak aztertzen ari dira, zentimo bat gutxiago lortzeko eta erosleak erakarri eta edukia lapurtu hainbat helburu txarrekin (adibidez, duela gutxi erabiltzaileak besteen captchak konpontzera behartzen dituzten lapurtutako edukia duten guneei buruz). Bot-ek asko desitxuratzen dituzte hainbat negozio-estatistika, eta, ondorioz, erabakiak datu okerretan oinarrituta hartzen dira. DDoS erasoa sarritan delitu larriagoetarako ke-pantaila da, hala nola hacking eta datuen lapurreta. Eta orain ikusten dugu ziber-mehatxuen klase berri bat gehitu dela - hau konpainiaren zenbait negozio-prozesuren lana etetea da, askotan lineaz kanpo (gure garaian ezer ezin baita guztiz "lineaz kanpo") izan. Batez ere, logistika-prozesuak eta bezeroekiko komunikazioak apurtzen direla ikusten dugu.
"Ez entregatu"
Logistikako negozio-prozesuak funtsezkoak dira enpresa gehienentzat, eta, beraz, sarritan erasotzen dira. Hona hemen eraso-eszenatoki posibleak.
Ez dago eskuragarri
Lineako merkataritzan lan egiten baduzu, ziurrenik dagoeneko ezagutzen duzu eskaera faltsuen arazoa. Eraso egiten dutenean, bot-ek baliabide logistikoak gainkargatzen dituzte eta salgaiak beste erosleentzat erabilgarri ez daude. Horretarako, eskaera faltsu ugari jartzen dituzte, stockean dauden produktuen kopuru handienaren berdina. Ondasun hauek ez dira ordaintzen eta denbora pixka bat igaro ondoren gunera itzultzen dira. Baina eskritura dagoeneko egina dago: "stock out" gisa markatu zuten, eta erosle batzuk lehiakideengana joan dira dagoeneko. Taktika hau ezaguna da hegazkin-txartelen industrian, non bot-ek batzuetan berehala "saltzen" dituzten txartel guztiak ia eskuragarri dauden bezain laster. Adibidez, gure bezeroetako batek, hegazkin konpainia handi batek, lehiakide txinatarrak antolatutako eraso hori jasan zuen. Bi ordutan, beren bot-ek helmuga jakin batzuetarako sarreren % 100 eskatu zuten.
Sneakers bots
Hurrengo agertoki ezaguna: bot-ek berehala erosten dute produktu-lerro osoa, eta haien jabeek gero prezio puztuan saltzen dituzte (batez beste % 200eko marka). Horrelako bot-ak sneakers bot deitzen dira, arazo hau oso ezaguna delako moda-sneaker-en industrian, bereziki bilduma mugatuetan. Bot-ek ia minututan agertu berri ziren lerro berriak erosi zituzten, baliabidea blokeatzen zuten bitartean, benetako erabiltzaileek hortik igaro ez zezaten. Kasu arraroa da modako aldizkari distiratsuetan bot-ak buruz idazten zirenean. Nahiz eta, oro har, futbol partidak bezalako ekitaldi freskoetarako sarrerak saltzen dituztenek eszenatoki bera erabiltzen dute.
Beste eszenatoki batzuk
Baina hori ez da guztia. Logistikaren aurkako erasoen bertsio are konplexuagoa dago, galera larriak mehatxatzen dituena. Hori egin daiteke zerbitzuak "Salgaiak jasotzean ordaintzea" aukera badu. Bot-ek horrelako ondasunetarako eskaera faltsuak uzten dituzte, susmagarritasunik gabeko pertsonen helbide faltsuak edo benetakoak adieraziz. Eta enpresek kostu handiak izaten dituzte entregatzeko, biltegiratzeko eta xehetasunak ezagutzeko. Une honetan, salgaiak ez daude beste bezero batzuen eskura, eta biltegian ere lekua hartzen dute.
Zer gehiago? Bot-ek produktuei buruzko iritzi txar faltsu ugariak uzten dituzte, "ordainketa itzultzeko" funtzioa blokeatzen dute, transakzioak blokeatzen dituzte, bezeroen datuak lapurtzen dituzte, benetako bezeroei spam egiten diete - aukera asko daude. Adibide ona DHL, Hermes, AldiTalk, Freenet, Snipes.com-en azken erasoa da. Hackerrak , "DDoS babes sistemak probatzen" ari direla, baina azkenean konpainiaren negozio bezeroen ataria eta API guztiak jarri dituzte. Ondorioz, eten handiak izan ziren bezeroei salgaiak bidaltzean.
Deitu bihar
Iaz, Merkataritza Batzorde Federalak (FTC) enpresen eta erabiltzaileen kexak bikoiztu egin zirela jakinarazi zuen spam eta iruzurrezko telefono-bot deien inguruan. Zenbait kalkuluen arabera, balio dute dei guztiak.
DDoS-arekin gertatzen den bezala, TDoS-en helburuak -bot-en eraso masiboak telefonoetan- "iruzurretatik" eta eskrupulurik gabeko lehiara doa. Bot-ek kontaktu-zentroak gainkarga ditzakete eta benetako bezeroak gal ez daitezen saihestu. Metodo hau eraginkorra da "zuzeneko" operadoreak dituzten dei zentroetarako ez ezik, AVR sistemak erabiltzen diren lekuetan ere. Bot-ek bezeroekiko beste komunikazio-kanal batzuk ere eraso ditzake (txata, posta elektronikoa), CRM sistemen funtzionamendua oztopatu eta, neurri batean, langileen kudeaketan eragin negatiboa ere izan dezakete, operadoreak krisiari aurre egin nahian gainkargatuta daudelako. Erasoak biktimaren lineako baliabideen aurkako DDoS eraso tradizional batekin ere sinkroniza daitezke.
Duela gutxi, antzeko eraso batek eten zuen erreskate zerbitzuaren lana AEBetan - laguntza premia larrian zegoen jende arruntak ezin izan zuen gainditu. Aldi berean, Dublingo zooak patu bera izan zuen, gutxienez 5000 lagunek spam SMS mezuak jaso baitzituzten zooko telefono-zenbakira urgentziaz deitzera eta fikziozko pertsona bat eskatzera animatuz.
Ez da wifirik egongo
Ziberkriminalek sare korporatibo oso bat ere erraz blokeatu dezakete. IP blokeoa askotan DDoS erasoei aurre egiteko erabiltzen da. Baina hau ez da eraginkorra bakarrik, praktika oso arriskutsua ere bada. IP helbidea aurkitzea erraza da (adibidez, baliabideen monitorizazioaren bidez) eta erraz ordezkatzen (edo faltsutzea). Variti-ra etorri aurretik bezeroak izan ditugu non IP zehatz bat blokeatzeak beren bulegoetan Wi-Fi desaktibatzen baitzuen. Bezero bat behar den IPra "irrarazi" zen kasu bat, eta bere baliabiderako sarbidea blokeatu zuen eskualde osoko erabiltzaileei, eta denbora luzez ez zuen hori nabaritu, bestela baliabide osoak ezin hobeto funtzionatzen zuelako.
Zer da berria?
Mehatxu berriek segurtasun irtenbide berriak behar dituzte. Hala ere, merkatu-hobi berri hau sortzen hasi besterik ez da. Irtenbide asko daude bot-eraso sinpleak modu eraginkorrean uxatzeko, baina konplexuekin ez da hain erraza. Irtenbide askok IP blokeatzeko teknikak praktikatzen dituzte oraindik. Beste batzuek hasierako datuak biltzeko denbora behar dute hasteko, eta 10-15 minutu horiek ahultasun bilaka daitezke. Ikaskuntza automatikoan oinarritutako irtenbideak daude, bot bat bere portaeraren arabera identifikatzeko aukera ematen dutenak. Eta, aldi berean, βbesteβ aldeko taldeek jadanik eredu errealak imita ditzaketen bot-ak dituztela harrotzen dute, gizakietatik bereizi ezin direnak. Oraindik ez dago argi nork irabaziko duen.
Zer egin bot talde profesionalei eta hainbat mailatako eraso konplexuei aurre egin behar bazaie aldi berean?
Gure esperientziak erakusten du zilegi ez diren eskaerak iragazten bideratu behar duzula IP helbideak blokeatu gabe. DDoS eraso konplexuek aldi berean hainbat mailatan iragaztea eskatzen dute, garraio maila, aplikazio maila eta API interfazeak barne. Horri esker, maiztasun baxuko erasoak ere uxatzea posible da normalean ikusezinak direnak eta, beraz, sarritan galtzen direnak. Azkenik, benetako erabiltzaile guztiei baimena eman behar zaie, erasoa aktibo dagoen bitartean ere.
Bigarrenik, enpresek etapa anitzeko babes-sistema propioak sortzeko gaitasuna behar dute, eta, DDoS erasoak prebenitzeko tresnez gain, iruzurra, datu lapurreta, edukien babesa eta abarretako sistemak barneratuta izango dituzte.
Hirugarrenik, denbora errealean lan egin behar dute lehenengo eskaeratik; segurtasun-gorabeherei berehala erantzuteko gaitasunak asko areagotzen ditu erasoak saihesteko edo haren suntsipen-potentzia murrizteko aukerak.
Etorkizun hurbila: ospearen kudeaketa eta big data bilketa bot-ak erabiliz
DDoS-en historia sinpletik konplexura eboluzionatu da. Hasieran, erasotzaileen helburua gunea funtzionatzeari uztea zen. Orain eraginkorragoa iruditzen zaie oinarrizko negozio-prozesuei bideratzea.
Erasoen sofistikazioa handitzen joango da, saihestezina da. Gainera, orain bot txarrak egiten ari direna - datuen lapurreta eta faltsutzea, estortsioa, spam - bot-ek iturri ugaritako datuak bilduko dituzte (Big Data) eta kontu faltsu "sendoak" sortuko dituzte eragina kudeatzeko, ospea edo phishing masiborako.
Gaur egun, konpainia handiek bakarrik DDoS eta bot babesean inbertitzea ordaindu dezakete, baina haiek ere ezin dute beti botek sortutako trafikoa guztiz kontrolatu eta iragazi. Bot erasoak gero eta konplexuagoak izatearen gauza positibo bakarra merkatua suspertzen duela segurtasun irtenbide adimentsuagoak eta aurreratuagoak sortzeko.
Zer uste duzu: nola garatuko da bot babesaren industria eta zer irtenbide behar dira une honetan merkatuan?
Iturria: www.habr.com