Pari vuotta sitten tutkimuslaitokset ja tietoturvapalvelujen tuottajat alkoivat raportoida DDoS-hyökkäysten määrä. Mutta vuoden 1 ensimmäiseen neljännekseen mennessä samat tutkijat raportoivat hämmästyttävästä 84 prosentilla. Ja sitten kaikki meni vahvuudesta vahvuuteen. Edes pandemia ei edistänyt rauhan ilmapiiriä - päinvastoin, kyberrikolliset ja roskapostittajat pitivät tätä erinomaisena signaalina hyökätä, ja DDoS:n määrä kasvoi. .
Uskomme, että yksinkertaisten, helposti havaittavien DDoS-hyökkäysten (ja yksinkertaisten työkalujen, jotka voivat estää ne) aika on ohi. Kyberrikolliset ovat oppineet piilottamaan nämä hyökkäykset ja toteuttamaan niitä yhä hienostuneemmin. Pimeä teollisuus on siirtynyt raakavoimasta sovellustason hyökkäyksiin. Hän saa vakavia käskyjä tuhota liiketoimintaprosessit, mukaan lukien melko offline-prosessit.
Murtautuminen todellisuuteen
Vuonna 2017 ruotsalaisiin liikennepalveluihin kohdistuneet DDoS-hyökkäykset johtivat pitkittymään . Vuonna 2019 Tanskan kansallinen rautatieyhtiö Myyntijärjestelmät romahtivat. Tämän seurauksena lippuautomaatit ja automaattiportit eivät toimineet asemilla, ja yli 15 tuhatta matkustajaa ei voinut lähteä. Myös vuonna 2019 voimakas kyberhyökkäys aiheutti sähkökatkoksen .
DDoS-hyökkäysten seuraukset ovat nyt kokeneet paitsi online-käyttäjät, myös ihmiset, kuten he sanovat, IRL (todellisessa elämässä). Vaikka hyökkääjät ovat historiallisesti kohdistaneet kohteena vain verkkopalveluihin, heidän tavoitteenaan on nykyään usein häiritä liiketoimintaa. Arvioimme, että nykyään yli 60 prosentilla hyökkäyksistä on tällainen tarkoitus - kiristys tai epäreilu kilpailu. Liiketoimet ja logistiikka ovat erityisen haavoittuvia.
Älykkäämpi ja kalliimpi
DDoS:ää pidetään edelleen yhtenä yleisimmistä ja nopeimmin kasvavista tietoverkkorikollisuuden tyypeistä. Asiantuntijoiden mukaan vuodesta 2020 alkaen niiden määrä vain kasvaa. Tämä liittyy useisiin syihin – pandemian aiheuttamaan verkkoliiketoiminnan entistä suurempaan siirtymiseen ja kyberrikollisuuden varjoteollisuuden kehittymiseen ja jopa .
DDoS-hyökkäyksistä tuli kerralla "suosittuja" niiden helppokäyttöisyyden ja alhaisten kustannusten vuoksi: vain pari vuotta sitten ne voitiin käynnistää 50 dollarilla päivässä. Nykyään sekä hyökkäyskohteet että -menetelmät ovat muuttuneet, mikä lisää niiden monimutkaisuutta ja sen seurauksena kustannuksia. Ei, hinnat alkaen 5 dollaria per tunti ovat edelleen hinnastoissa (kyberrikollisilla on hinnastot ja tariffiaikataulut), mutta suojatulla verkkosivustolla he vaativat jo 400 dollaria päivässä ja suurille yrityksille "yksittäisten" tilausten kustannuksia. saavuttaa useita tuhansia dollareita.
Tällä hetkellä DDoS-hyökkäyksiä on kahta päätyyppiä. Ensimmäinen tavoite on tehdä verkkoresurssista poissa käytöstä tietyksi ajaksi. Hyökkääjät veloittavat heistä itse hyökkäyksen aikana. Tässä tapauksessa DDoS-operaattori ei välitä mistään tietystä tuloksesta, ja asiakas itse asiassa maksaa etukäteen hyökkäyksen käynnistämisestä. Tällaiset menetelmät ovat melko halpoja.
Toinen tyyppi ovat hyökkäykset, joista maksetaan vain, kun tietty tulos saavutetaan. Niiden kanssa on mielenkiintoisempaa. Ne ovat paljon vaikeampia toteuttaa ja siksi huomattavasti kalliimpia, koska hyökkääjien on valittava tehokkaimmat menetelmät tavoitteidensa saavuttamiseksi. Me Varitilla pelaamme joskus kokonaisia shakkipelejä kyberrikollisten kanssa, jolloin he muuttavat välittömästi taktiikkaa ja työkaluja ja yrittävät murtautua useisiin haavoittuvuuksiin usealla tasolla kerralla. Nämä ovat selkeästi joukkuehyökkäyksiä, joissa hakkerit tietävät erittäin hyvin, kuinka reagoida ja vastustaa puolustajien toimintaa. Niiden käsitteleminen ei ole vain vaikeaa, vaan myös erittäin kallista yrityksille. Esimerkiksi yksi asiakkaistamme, suuri verkkokauppa, ylläpiti lähes kolmen vuoden ajan 30 hengen tiimiä, jonka tehtävänä oli torjua DDoS-hyökkäyksiä.
Varitin mukaan yksinkertaiset DDoS-hyökkäykset, jotka suoritetaan puhtaasti tylsyydestä, trollauksesta tai tyytymättömyydestä tiettyyn yritykseen, muodostavat tällä hetkellä alle 10 % kaikista DDoS-hyökkäyksistä (tietysti suojaamattomilla resursseilla voi olla erilaisia tilastoja, katsomme asiakastietojamme ) . Kaikki muu on ammattilaistiimien työtä. Kolme neljäsosaa kaikista "pahoista" roboteista on kuitenkin monimutkaisia botteja, joita on vaikea havaita nykyaikaisilla markkinaratkaisuilla. Ne jäljittelevät oikeiden käyttäjien tai selaimien käyttäytymistä ja tuovat esiin malleja, jotka vaikeuttavat "hyvien" ja "huonojen" pyyntöjen erottamista toisistaan. Tämä tekee hyökkäyksistä vähemmän havaittavissa ja siten tehokkaampia.
Data GlobalDotsilta
Uudet DDoS-kohteet
Ilmoita GlobalDotsin analyytikot kertovat, että botit tuottavat nyt 50 % kaikesta verkkoliikenteestä ja 17,5 % niistä on haitallisia botteja.
Botit osaavat pilata yritysten elämän monin eri tavoin: sen lisäksi, että he "kaatavat" verkkosivustoja, he ovat nyt mukana myös mainoskulujen lisäämisessä, mainosten napsauttamisessa, hintojen jäsentämisessä saadakseen niistä pennin vähemmän ja houkutella ostajia pois ja varastaa sisältöä erilaisiin huonoihin tarkoituksiin (esimerkiksi äskettäin sivustoista, joilla on varastettua sisältöä, joka pakottaa käyttäjät ratkaisemaan muiden ihmisten captchat). Botit vääristävät suuresti erilaisia yritystilastoja, minkä seurauksena päätökset tehdään virheellisten tietojen perusteella. DDoS-hyökkäys on usein savuverho vieläkin vakavammille rikoksille, kuten hakkerointiin ja tietovarkauksiin. Ja nyt näemme, että täysin uusi kyberuhkien luokka on lisätty - tämä on häiriö yrityksen tiettyjen liiketoimintaprosessien työskentelyssä, usein offline-tilassa (koska meidän aikanamme mikään ei voi olla täysin "offline"). Erityisen usein näemme logistiikkaprosessien ja yhteydenpidon asiakkaiden kanssa katkeavan.
"Ei toimitettu"
Logistiikan liiketoimintaprosessit ovat avainasemassa useimmille yrityksille, joten niitä vastaan hyökätään usein. Tässä ovat mahdolliset hyökkäysskenaariot.
Ei saatavilla
Jos työskentelet verkkokaupassa, olet todennäköisesti jo perehtynyt väärennettyjen tilausten ongelmaan. Hyökkäyksissään botit ylikuormittavat logistiikkaresursseja ja tekevät tavaroista poissa muiden ostajien saatavilla. Tätä varten he tekevät valtavan määrän väärennettyjä tilauksia, jotka vastaavat varastossa olevien tuotteiden enimmäismäärää. Näistä tuotteista ei sitten makseta ja ne palautetaan jonkin ajan kuluttua sivustolle. Mutta teko on jo tehty: ne merkittiin "loppuun", ja jotkut ostajat ovat jo menneet kilpailijoiden luo. Tämä taktiikka tunnetaan hyvin lentolipputeollisuudessa, jossa robotit joskus "myyvät loppuun" kaikki liput melkein heti kun ne tulevat saataville. Esimerkiksi yksi asiakkaistamme, suuri lentoyhtiö, kärsi tällaisesta kiinalaisten kilpailijoiden järjestämästä hyökkäyksestä. Vain kahdessa tunnissa heidän robottinsa tilasivat 100 % lipuista tiettyihin kohteisiin.
Tennarit botit
Seuraava suosittu skenaario: botit ostavat välittömästi kokonaisen tuotesarjan, ja niiden omistajat myyvät ne myöhemmin korkealla hinnalla (keskimäärin 200 %:n lisähinta). Tällaisia botteja kutsutaan lenkkaribotiksi, koska tämä ongelma tunnetaan hyvin muotilenkkariteollisuudessa, erityisesti rajoitetuissa kokoelmissa. Botit ostivat uusia rivejä, jotka olivat juuri ilmestyneet melkein minuuteissa, samalla kun estivät resurssin, jotta todelliset käyttäjät eivät päässeet sinne. Tämä on harvinainen tapaus, kun boteista kirjoitettiin muodikkaissa kiiltävissä aikakauslehdissä. Yleisesti ottaen hienoihin tapahtumiin, kuten jalkapallo-otteluihin, lippujen jälleenmyyjät käyttävät samaa skenaariota.
Muut skenaariot
Mutta siinä ei vielä kaikki. Logistiikkaan kohdistuvista hyökkäyksistä on olemassa vielä monimutkaisempi versio, joka uhkaa vakavilla tappioilla. Tämä voidaan tehdä, jos palvelussa on "Maksu tavaran vastaanoton yhteydessä" -vaihtoehto. Botit jättävät väärennettyjä tilauksia tällaisista tavaroista osoittaen väärennettyjä tai jopa todellisia aavistamattomien ihmisten osoitteita. Ja yrityksille aiheutuu valtavia kustannuksia toimituksesta, varastoinnista ja yksityiskohtien selvittämisestä. Tällä hetkellä tavarat eivät ole muiden asiakkaiden saatavilla, ja ne vievät tilaa myös varastossa.
Mitä muuta? Botit jättävät valtavia väärennettyjä huonoja arvosteluja tuotteista, häiritsevät "maksun palautus" -toimintoa, estävät tapahtumia, varastavat asiakastietoja, lähettävät roskapostia todellisille asiakkaille - vaihtoehtoja on monia. Hyvä esimerkki on viimeaikainen hyökkäys DHL:ää, Hermesiä, AldiTalkia, Freenetiä ja Snipes.comia vastaan. Hakkerit , että he "testaavat DDoS-suojausjärjestelmiä", mutta lopulta he laittoivat alas yrityksen yritysasiakasportaalin ja kaikki API:t. Tämän seurauksena tavaroiden toimittamisessa asiakkaille oli suuria katkoksia.
Soita huomenna
Viime vuonna Federal Trade Commission (FTC) ilmoitti, että yritysten ja käyttäjien valitukset roskapostista ja vilpillisistä bottipuheluista kaksinkertaistuivat. Joidenkin arvioiden mukaan niitä on kaikki puhelut.
Kuten DDoS:nkin kohdalla, TDoS:n – massiiviset bot-hyökkäykset puhelimiin – tavoitteet vaihtelevat "huijauksista" häikäilemättömään kilpailuun. Botit voivat ylikuormittaa yhteyskeskuksia ja estää todellisten asiakkaiden menettämisen. Tämä menetelmä ei ole tehokas vain puhelinkeskusten yhteydessä, jossa on "eläviä" operaattoreita, vaan myös siellä, missä käytetään AVR-järjestelmiä. Botit voivat myös hyökätä massiivisesti muihin viestintäkanaviin asiakkaiden kanssa (chat, sähköpostit), häiritä CRM-järjestelmien toimintaa ja jopa vaikuttaa jossain määrin negatiivisesti henkilöstöhallintaan, koska operaattorit ovat ylikuormitettuja yrittäessään selviytyä kriisistä. Hyökkäykset voidaan myös synkronoida perinteisen DDoS-hyökkäyksen kanssa uhrin verkkoresursseihin.
Äskettäin vastaava hyökkäys häiritsi pelastuslaitoksen työtä Yhdysvalloissa - tavalliset ihmiset, jotka tarvitsevat kipeästi apua, eivät yksinkertaisesti päässeet läpi. Samoihin aikoihin Dublinin eläintarha koki saman kohtalon, ja ainakin 5000 XNUMX ihmistä sai roskapostiviestejä, joissa heitä kehotettiin soittamaan kiireellisesti eläintarhan puhelinnumeroon ja pyytämään fiktiivistä henkilöä.
Wi-Fiä ei tule olemaan
Kyberrikolliset voivat myös helposti estää koko yritysverkon. IP-estoa käytetään usein DDoS-hyökkäysten torjumiseen. Mutta tämä ei ole vain tehoton, vaan myös erittäin vaarallinen käytäntö. IP-osoite on helppo löytää (esimerkiksi resurssien valvonnan avulla) ja helppo vaihtaa (tai huijata). Meillä on ollut asiakkaita ennen Varitiin tuloa, joissa tietyn IP:n estäminen yksinkertaisesti sammutti Wi-Fi:n heidän omissa toimistoissaan. Oli tapaus, jossa asiakkaalle "liukastui" vaadittu IP, ja hän esti pääsyn resurssiinsa käyttäjille koko alueelta, eikä huomannut tätä pitkään aikaan, koska muuten koko resurssi toimi täydellisesti.
Mitä uutta?
Uudet uhat vaativat uusia tietoturvaratkaisuja. Tämä uusi markkinarako on kuitenkin vasta alkamassa ilmaantua. Yksinkertaisten robottihyökkäysten torjumiseen on monia ratkaisuja, mutta monimutkaisilla se ei ole niin yksinkertaista. Monet ratkaisut käyttävät edelleen IP-estotekniikoita. Toiset tarvitsevat aikaa alkutietojen keräämiseen aloittaakseen, ja näistä 10–15 minuutista voi tulla haavoittuvuus. On olemassa koneoppimiseen perustuvia ratkaisuja, joiden avulla voit tunnistaa botin sen käyttäytymisen perusteella. Ja samaan aikaan "toisen" puolen tiimit ylpeilevät, että heillä on jo botteja, jotka voivat jäljitellä todellisia kuvioita, joita ei voi erottaa ihmisistä. Vielä ei ole selvää, kuka voittaa.
Mitä tehdä, jos joudut käsittelemään ammattimaisia robottiryhmiä ja monimutkaisia, monivaiheisia hyökkäyksiä usealla tasolla kerralla?
Kokemuksemme osoittaa, että sinun on keskityttävä laittomien pyyntöjen suodattamiseen ilman IP-osoitteiden estämistä. Monimutkaiset DDoS-hyökkäykset vaativat suodatuksen useilla tasoilla kerralla, mukaan lukien kuljetustaso, sovellustaso ja API-rajapinnat. Tämän ansiosta on mahdollista torjua myös matalataajuisia hyökkäyksiä, jotka ovat yleensä näkymättömiä ja siksi usein jäävät huomaamatta. Lopuksi kaikkien todellisten käyttäjien on päästävä läpi, vaikka hyökkäys olisi aktiivinen.
Toiseksi yritykset tarvitsevat kyvyn luoda omia monivaiheisia suojausjärjestelmiä, joissa on DDoS-hyökkäysten estämiseen tarkoitettujen työkalujen lisäksi sisäänrakennetut järjestelmät petoksia, tietovarkauksia, sisällön suojausta ja niin edelleen vastaan.
Kolmanneksi niiden on toimittava reaaliajassa heti ensimmäisestä pyynnöstä - kyky vastata välittömästi tietoturvahäiriöihin lisää huomattavasti mahdollisuuksia estää hyökkäys tai vähentää sen tuhovoimaa.
Lähitulevaisuus: maineenhallinta ja ison datan kerääminen boteilla
DDoS:n historia on kehittynyt yksinkertaisesta monimutkaiseksi. Aluksi hyökkääjien tavoitteena oli pysäyttää sivusto toimimasta. Heidän mielestään on nyt tehokkaampaa kohdistaa ydinliiketoimintaprosesseihin.
Hyökkäysten kehittyneisyys kasvaa edelleen, se on väistämätöntä. Lisäksi sitä, mitä pahat botit tekevät nyt - tietojen varkautta ja väärentämistä, kiristystä, roskapostia - robotit keräävät tietoja useista lähteistä (Big Data) ja luovat "vahvoja" väärennettyjä tilejä vaikutusvallan hallintaan, maineen tai massatietojen kalasteluun.
Tällä hetkellä vain suurilla yrityksillä on varaa investoida DDoS:ään ja bottisuojaukseen, mutta nekään eivät aina pysty täysin tarkkailemaan ja suodattamaan robottien tuottamaa liikennettä. Ainoa myönteinen asia robottihyökkäysten monimutkaistumisessa on se, että se stimuloi markkinoita luomaan älykkäämpiä ja kehittyneempiä tietoturvaratkaisuja.
Mitä mieltä olette - miten bot-suojateollisuus kehittyy ja mitä ratkaisuja markkinoilla tarvitaan juuri nyt?
Lähde: will.com