چند سال پیش، آژانس های تحقیقاتی و ارائه دهندگان خدمات امنیت اطلاعات شروع به گزارش کردند تعداد حملات DDoS اما در سه ماهه اول سال 1، همان محققان خیره کننده خود را گزارش کردند 84 درصد و سپس همه چیز از قدرت به قدرت رسید. حتی بیماری همه گیر کمکی به فضای صلح نکرد - برعکس، مجرمان سایبری و ارسال کنندگان هرزنامه این را سیگنالی عالی برای حمله می دانستند و حجم DDoS افزایش یافت. .
ما معتقدیم که زمان حملات DDoS ساده و به راحتی قابل شناسایی (و ابزارهای ساده ای که می توانند از آنها جلوگیری کنند) به پایان رسیده است. مجرمان سایبری در پنهان کردن این حملات و اجرای آنها با پیچیدگی روزافزون بهتر شده اند. صنعت تاریک از brute force به حملات در سطح برنامه منتقل شده است. او دستورات جدی برای از بین بردن فرآیندهای تجاری، از جمله موارد کاملا آفلاین، دریافت می کند.
شکستن به واقعیت
در سال 2017، یک سری از حملات DDoS که خدمات حمل و نقل سوئد را هدف قرار دادند، منجر به طولانیمدت شد . در سال 2019، اپراتور ملی راه آهن دانمارک سیستم های فروش پایین آمد. در نتیجه دستگاههای بلیتفروشی و گیتهای اتوماتیک در ایستگاهها کار نکردند و بیش از 15 هزار مسافر قادر به خروج نشدند. همچنین در سال 2019، یک حمله سایبری قدرتمند باعث قطع برق در داخل شد .
عواقب حملات DDoS اکنون نه تنها توسط کاربران آنلاین، بلکه توسط مردم، همانطور که می گویند، IRL (در زندگی واقعی) نیز تجربه می کنند. در حالی که مهاجمان در طول تاریخ فقط خدمات آنلاین را هدف قرار دادهاند، هدف آنها در حال حاضر اغلب ایجاد اختلال در هر گونه عملیات تجاری است. ما تخمین می زنیم که امروزه بیش از 60 درصد از حملات چنین هدفی دارند - برای اخاذی یا رقابت ناعادلانه. معاملات و لجستیک به ویژه آسیب پذیر هستند.
هوشمندتر و گران تر
DDoS همچنان یکی از رایج ترین و سریع ترین انواع جرایم سایبری در نظر گرفته می شود. به گفته کارشناسان، از سال 2020 تعداد آنها فقط افزایش خواهد یافت. این به دلایل مختلفی مرتبط است - با انتقال حتی بیشتر تجارت آنلاین به دلیل همه گیری، و با توسعه صنعت سایه جرایم سایبری، و حتی با .
حملات DDoS به دلیل سهولت در استقرار و هزینه کم در یک زمان «محبوب» شدند: همین چند سال پیش میتوانستند با 50 دلار در روز راهاندازی شوند. امروزه هم اهداف و هم روشهای حمله تغییر کرده و پیچیدگی و در نتیجه هزینه آنها را افزایش داده است. خیر، قیمتهای 5 دلار در ساعت هنوز در لیست قیمتها هستند (بله، مجرمان سایبری فهرست قیمتها و جدولهای تعرفهای دارند)، اما برای یک وبسایت با محافظت از قبل از 400 دلار در روز و هزینه سفارشهای «انفرادی» برای شرکتهای بزرگ درخواست میکنند. به چند هزار دلار می رسد.
در حال حاضر دو نوع اصلی از حملات DDoS وجود دارد. اولین هدف این است که یک منبع آنلاین برای مدت زمان مشخصی در دسترس نباشد. مهاجمان در طول خود حمله برای آنها هزینه می گیرند. در این حالت، اپراتور DDoS به هیچ نتیجه خاصی اهمیت نمیدهد و کلاینت در واقع برای راهاندازی حمله، هزینه پرداخت میکند. چنین روش هایی کاملاً ارزان هستند.
نوع دوم حملاتی هستند که تنها زمانی پرداخت می شوند که نتیجه خاصی حاصل شود. با آنها جالب تر است. پیاده سازی آنها بسیار دشوارتر است و بنابراین به طور قابل توجهی گران تر است، زیرا مهاجمان باید مؤثرترین روش ها را برای دستیابی به اهداف خود انتخاب کنند. در Variti، ما گاهی اوقات کل بازیهای شطرنج را با مجرمان سایبری انجام میدهیم، جایی که آنها فوراً تاکتیکها و ابزارها را تغییر میدهند و سعی میکنند به چندین آسیبپذیری در سطوح مختلف در یک زمان نفوذ کنند. اینها به وضوح حملات تیمی هستند که در آن هکرها به خوبی می دانند که چگونه باید واکنش نشان دهند و با اقدامات مدافعان مقابله کنند. مقابله با آنها نه تنها دشوار است، بلکه برای شرکت ها بسیار پرهزینه است. به عنوان مثال، یکی از مشتریان ما، یک خرده فروش آنلاین بزرگ، تیمی متشکل از 30 نفر را برای تقریباً سه سال نگهداری کرد که وظیفه آنها مبارزه با حملات DDoS بود.
به گفته Variti، حملات DDoS ساده که صرفاً از روی بی حوصلگی، ترولینگ یا نارضایتی از یک شرکت خاص انجام می شوند، در حال حاضر کمتر از 10٪ از کل حملات DDoS را تشکیل می دهند (البته، منابع محافظت نشده ممکن است آمار متفاوتی داشته باشند، ما به داده های مشتری خود نگاه می کنیم). . بقیه چیزها کار تیم های حرفه ای است. با این حال، سه چهارم رباتهای «بد»، رباتهای پیچیدهای هستند که شناسایی آنها با استفاده از اکثر راهحلهای مدرن بازار دشوار است. آنها رفتار کاربران یا مرورگرهای واقعی را تقلید می کنند و الگوهایی را معرفی می کنند که تشخیص درخواست های "خوب" و "بد" را دشوار می کند. این باعث می شود حملات کمتر قابل توجه و در نتیجه موثرتر باشند.
داده های GlobalDots
اهداف جدید DDoS
گزارش تحلیلگران GlobalDots میگویند که رباتها اکنون 50 درصد از کل ترافیک وب را تولید میکنند و 17,5 درصد آنها رباتهای مخرب هستند.
رباتها میدانند که چگونه زندگی شرکتها را به روشهای مختلف خراب کنند: علاوه بر این که وبسایتها را «خراش» میکنند، اکنون درگیر افزایش هزینههای تبلیغات، کلیک کردن بر روی تبلیغات، تجزیه قیمتها هستند تا آنها را یک پنی کمتر کنند. خریداران را فریب دهید و محتوا را برای اهداف بد مختلف بدزدید (مثلاً اخیراً در مورد سایت هایی با محتوای دزدیده شده که کاربران را مجبور به حل کپچاهای دیگران می کند). ربات ها آمارهای مختلف کسب و کار را به شدت تحریف می کنند و در نتیجه تصمیمات بر اساس داده های نادرست گرفته می شود. حمله DDoS اغلب یک پرده دود برای جنایات جدی تر مانند هک و سرقت اطلاعات است. و اکنون می بینیم که یک کلاس کاملاً جدید از تهدیدات سایبری اضافه شده است - این یک اختلال در کار فرآیندهای تجاری خاص شرکت است که اغلب آفلاین است (زیرا در زمان ما هیچ چیز نمی تواند کاملاً "آفلاین" باشد). به خصوص اغلب می بینیم که فرآیندهای لجستیک و ارتباطات با مشتریان خراب می شود.
"تحویل نشد"
فرآیندهای تجاری لجستیک برای اکثر شرکت ها کلیدی هستند، بنابراین اغلب مورد حمله قرار می گیرند. در اینجا سناریوهای حمله احتمالی وجود دارد.
در دسترس نیست
اگر در تجارت آنلاین کار می کنید، احتمالاً از قبل با مشکل سفارشات جعلی آشنا هستید. هنگامی که ربات ها مورد حمله قرار می گیرند، منابع لجستیکی را بارگذاری می کنند و کالاها را در دسترس خریداران دیگر قرار نمی دهند. برای انجام این کار، تعداد زیادی سفارش جعلی برابر با حداکثر تعداد محصولات موجود در انبار انجام می دهند. سپس هزینه این کالا پرداخت نمی شود و پس از مدتی به سایت بازگردانده می شود. اما این عمل قبلاً انجام شده است: آنها به عنوان "در انبار" علامت گذاری شده بودند و برخی از خریداران قبلاً به رقبا رفته اند. این تاکتیک در صنعت فروش بلیط هواپیما به خوبی شناخته شده است، جایی که رباتها گاهی اوقات همه بلیطها را تقریباً به محض اینکه در دسترس قرار میگیرند، فوراً «فروش» میکنند. به عنوان مثال، یکی از مشتریان ما، یک شرکت هواپیمایی بزرگ، از چنین حمله ای که توسط رقبای چینی سازماندهی شده بود، متضرر شد. تنها در دو ساعت، رباتهای آنها 100 درصد بلیطها را به مقصدهای خاصی سفارش دادند.
ربات های کفش کتانی
سناریوی محبوب بعدی: رباتها فوراً یک خط کامل از محصولات را خریداری میکنند و صاحبان آنها بعداً آنها را با قیمتی متورم میفروشند (به طور متوسط 200٪ نشانه گذاری). به این رباتها رباتهای کتانی میگویند، زیرا این مشکل در صنعت کفشهای ورزشی مد، بهویژه مجموعههای محدود شناخته شده است. ربات ها خطوط جدیدی را خریداری کردند که تقریباً در عرض چند دقیقه ظاهر شده بودند، در حالی که منبع را مسدود کردند تا کاربران واقعی نتوانند از آنجا عبور کنند. این یک مورد نادر است که در مورد ربات ها در مجلات براق مد روز نوشته شده است. اگرچه، به طور کلی، فروشندگان بلیط برای رویدادهای جالب مانند مسابقات فوتبال از همین سناریو استفاده می کنند.
سناریوهای دیگر
اما این همه ماجرا نیست. حتی نسخه پیچیده تری از حملات به لجستیک وجود دارد که خسارات جدی را تهدید می کند. این می تواند در صورتی انجام شود که سرویس گزینه "پرداخت پس از دریافت کالا" را داشته باشد. رباتها سفارشهای جعلی را برای چنین کالاهایی ارسال میکنند که نشاندهنده آدرسهای جعلی یا حتی واقعی افراد ناآگاه است. و شرکت ها هزینه های زیادی را برای تحویل، ذخیره سازی و یافتن جزئیات متحمل می شوند. در این زمان کالا در دسترس سایر مشتریان نیست و فضای انبار را نیز اشغال می کند.
چه چیز دیگری؟ رباتها بررسیهای بد جعلی گستردهای درباره محصولات میگذارند، عملکرد «بازگشت پرداخت» را مسدود میکنند، تراکنشها را مسدود میکنند، دادههای مشتری را سرقت میکنند، مشتریان واقعی را هرزنامه میفرستند - گزینههای زیادی وجود دارد. یک مثال خوب حمله اخیر به DHL، Hermes، AldiTalk، Freenet، Snipes.com است. هکرها ، که آنها در حال "آزمایش سیستم های حفاظتی DDoS" هستند، اما در نهایت پورتال مشتری تجاری شرکت و همه API ها را حذف کردند. در نتیجه وقفه های عمده ای در تحویل کالا به مشتریان ایجاد شد.
فردا زنگ بزن
سال گذشته، کمیسیون تجارت فدرال (FTC) گزارش داد که شکایات مشاغل و کاربران در مورد تماسهای ربات تلفنی تقلبی و اسپم دو برابر شده است. بر اساس برخی برآوردها، آنها به همه تماس ها.
مانند DDoS، اهداف TDoS - حملات گسترده ربات ها به تلفن ها - از "تقلب" تا رقابت ناجوانمردانه متغیر است. ربات ها می توانند مراکز تماس را بیش از حد بارگذاری کنند و از گم شدن مشتریان واقعی جلوگیری کنند. این روش نه تنها برای مراکز تماس با اپراتورهای "زنده"، بلکه در جاهایی که از سیستم های AVR استفاده می شود نیز موثر است. رباتها همچنین میتوانند به طور گسترده به کانالهای ارتباطی دیگر با مشتریان (چت، ایمیلها) حمله کنند، عملکرد سیستمهای CRM را مختل کنند و حتی تا حدی بر مدیریت پرسنل تأثیر منفی بگذارند، زیرا اپراتورها در تلاش برای مقابله با بحران بیش از حد هستند. این حملات همچنین می تواند با یک حمله DDoS سنتی به منابع آنلاین قربانی همگام شود.
اخیراً حمله ای مشابه کار خدمات امداد و نجات را مختل کرده است در ایالات متحده آمریکا - مردم عادی که نیاز مبرم به کمک داشتند به سادگی نتوانستند از آن عبور کنند. تقریباً در همان زمان، باغ وحش دوبلین نیز به همین سرنوشت دچار شد، به طوری که حداقل 5000 نفر پیامک های پیامکی هرزنامه دریافت کردند که آنها را ترغیب می کرد تا فوراً با شماره تلفن باغ وحش تماس بگیرند و از یک فرد ساختگی درخواست کنند.
Wi-Fi وجود نخواهد داشت
مجرمان سایبری همچنین می توانند به راحتی کل شبکه شرکتی را مسدود کنند. مسدود کردن IP اغلب برای مبارزه با حملات DDoS استفاده می شود. اما این عمل نه تنها بی اثر، بلکه بسیار خطرناک است. آدرس IP به راحتی یافت می شود (مثلاً از طریق نظارت بر منابع) و جایگزینی (یا جعل) آسان است. ما قبل از آمدن به Variti مشتریانی داشتیم که مسدود کردن یک IP خاص به سادگی Wi-Fi را در دفاتر خود خاموش می کرد. موردی وجود داشت که یک مشتری با IP مورد نیاز "لغزش" داشت و او دسترسی به منبع خود را برای کاربران کل منطقه مسدود کرد و برای مدت طولانی متوجه این موضوع نشد زیرا در غیر این صورت کل منبع به خوبی کار می کرد.
تازه چه خبر؟
تهدیدهای جدید نیازمند راه حل های امنیتی جدید هستند. با این حال، این بازار جدید تازه در حال ظهور است. راهحلهای زیادی برای دفع موثر حملات رباتهای ساده وجود دارد، اما با موارد پیچیده، این کار چندان ساده نیست. بسیاری از راه حل ها هنوز تکنیک های مسدود کردن IP را انجام می دهند. دیگران برای شروع به جمع آوری داده های اولیه به زمان نیاز دارند و این 10-15 دقیقه می تواند به یک آسیب پذیری تبدیل شود. راه حل هایی مبتنی بر یادگیری ماشینی وجود دارد که به شما امکان می دهد یک ربات را با رفتارش شناسایی کنید. و در عین حال، تیمهای طرف «دیگر» به خود میبالند که قبلاً روباتهایی دارند که میتوانند الگوهای واقعی را تقلید کنند، غیرقابل تشخیص از الگوهای انسانی. هنوز مشخص نیست چه کسی برنده خواهد شد.
اگر مجبور به مقابله با تیم های ربات حرفه ای و حملات پیچیده و چند مرحله ای در چندین سطح به طور همزمان هستید، چه باید کرد؟
تجربه ما نشان می دهد که باید روی فیلتر کردن درخواست های نامشروع بدون مسدود کردن آدرس های IP تمرکز کنید. حملات پیچیده DDoS نیاز به فیلتر در چندین سطح به طور همزمان دارند، از جمله سطح انتقال، سطح برنامه و رابط های API. به لطف این، می توان حتی حملات با فرکانس پایین را که معمولاً نامرئی هستند و بنابراین اغلب از دست می روند دفع کرد. در نهایت، همه کاربران واقعی باید اجازه ورود داشته باشند، حتی زمانی که حمله فعال است.
ثانیاً، شرکت ها به توانایی ایجاد سیستم های حفاظتی چند مرحله ای خود نیاز دارند که علاوه بر ابزارهایی برای جلوگیری از حملات DDoS، دارای سیستم های داخلی در برابر کلاهبرداری، سرقت داده ها، محافظت از محتوا و غیره باشند.
سوم، آنها باید از همان اولین درخواست در زمان واقعی کار کنند - توانایی پاسخگویی فوری به حوادث امنیتی به میزان زیادی شانس جلوگیری از حمله یا کاهش قدرت تخریب آن را افزایش می دهد.
آینده نزدیک: مدیریت شهرت و جمع آوری کلان داده با استفاده از ربات ها
تاریخچه DDoS از ساده به پیچیده تبدیل شده است. در ابتدا هدف مهاجمان جلوگیری از فعالیت سایت بود. آنها اکنون هدف قرار دادن فرآیندهای تجاری اصلی را کارآمدتر می دانند.
پیچیدگی حملات همچنان رو به افزایش است، اجتناب ناپذیر است. به علاوه آنچه که رباتهای بد در حال حاضر انجام میدهند - سرقت و جعل داده، اخاذی، هرزنامه - رباتها دادهها را از تعداد زیادی از منابع (Big Data) جمعآوری میکنند و حسابهای جعلی «محکم» برای مدیریت نفوذ، شهرت یا فیشینگ انبوه ایجاد میکنند.
در حال حاضر، تنها شرکتهای بزرگ میتوانند روی DDoS و محافظت از ربات سرمایهگذاری کنند، اما حتی آنها هم نمیتوانند ترافیک تولید شده توسط رباتها را به طور کامل نظارت و فیلتر کنند. تنها نکته مثبت در مورد پیچیده تر شدن حملات ربات این است که بازار را برای ایجاد راه حل های امنیتی هوشمندتر و پیشرفته تر تحریک می کند.
نظر شما چیست - صنعت حفاظت از ربات چگونه توسعه خواهد یافت و در حال حاضر چه راه حل هایی در بازار مورد نیاز است؟
منبع: www.habr.com