In pear jier lyn begon ûndersyksynstânsjes en tsjinstferlieners foar ynformaasjefeiligens te rapportearjen oantal DDoS oanfallen. Mar yn it 1e kwartaal fan 2019 rapporteare deselde ûndersikers har skitterend oant -84%. En doe gie alles fan krêft ta krêft. Sels de pandemy droech net by oan 'e sfear fan frede - krekt oarsom, cyberkriminelen en spammers beskôgen dit in poerbêst sinjaal om oan te fallen, en it folume fan DDoS naam ta .
Wy leauwe dat de tiid foar ienfâldige, maklik te ûntdekken DDoS-oanfallen (en ienfâldige ark dy't se kinne foarkomme) foarby is. Cyberkriminelen binne better wurden yn it ferbergjen fan dizze oanfallen en it útfieren fan se mei tanimmende ferfining. De tsjustere yndustry is ferpleatst fan brute krêft nei oanfallen op applikaasjenivo. Se krijt serieuze opdrachten om saaklike prosessen te ferneatigjen, ynklusyf frij offline.
Ynbraak yn werklikheid
Yn 2017 resultearre in searje DDoS-oanfallen dy't rjochte op Sweedske ferfierstsjinsten in langere . Yn 2019, de nasjonale spoaroperator fan Denemarken Ferkeapsystemen giene del. As gefolch, kaartsjes masines en automatyske poarten wurke net op 'e stasjons, en mear as 15 tûzen passazjiers koenen net ferlitte. Ek yn 2019 feroarsake in krêftige cyberoanfal in stroomûnderbrekking yn .
De gefolgen fan DDoS-oanfallen wurde no net allinich ûnderfûn troch online brûkers, mar ek troch minsken, lykas se sizze, IRL (yn it echte libben). Wylst oanfallers histoarysk allinich online tsjinsten hawwe rjochte, is har doel no faak om alle saaklike operaasjes te fersteuren. Wy skatte dat hjoed mear as 60% fan oanfallen sa'n doel hawwe - foar afpersing of ûnearlike konkurrinsje. Transaksjes en logistyk binne benammen kwetsber.
Tûker en djoerder
DDoS bliuwt wurde beskôge as ien fan 'e meast foarkommende en rapst groeiende soarten cyberkriminaliteit. Neffens saakkundigen sil har oantal fan 2020 ôf allinnich mar tanimme. Dit is ferbûn mei ferskate redenen - mei in noch gruttere oergong fan bedriuw online fanwegen de pandemy, en mei de ûntwikkeling fan 'e skaadyndustry fan cyberkriminaliteit, en sels mei .
DDoS-oanfallen waarden op ien kear "populêr" fanwegen har maklike ynset en lege kosten: mar in pear jier lyn koene se wurde lansearre foar $ 50 per dei. Tsjintwurdich binne sawol oanfalsdoelen as metoaden feroare, wêrtroch't har kompleksiteit en, as gefolch, kosten ferhege. Nee, prizen fan $ 5 per oere binne noch yn 'e priislisten (ja, cyberkriminelen hawwe priislisten en tarifskema's), mar foar in webside mei beskerming freegje se al fan $ 400 per dei, en de kosten fan "yndividuele" oarders foar grutte bedriuwen berikt inkele tûzenen dollars.
D'r binne op it stuit twa haadtypen fan DDoS-oanfallen. It earste doel is om in online boarne foar in bepaalde perioade net beskikber te meitsjen. Oanfallers charge foar harren by de oanfal sels. Yn dit gefal jout de DDoS-operator gjin spesifike útkomst, en de kliïnt betellet eins foarôf om de oanfal te starten. Sokke metoaden binne frij goedkeap.
It twadde type is oanfallen dy't allinich betelle wurde as in bepaald resultaat wurdt berikt. It is nijsgjirriger mei harren. Se binne folle dreger om te realisearjen en dêrom signifikant djoerder, om't oanfallers de meast effektive metoaden moatte kieze om har doelen te berikken. By Variti spylje wy soms hiele skaakspultsjes mei cyberkriminelen, wêrby't se taktyk en ark fuortendaliks feroarje en besykje te brekken yn meardere kwetsberens op meardere nivo's tagelyk. Dit binne dúdlik teamoanfallen wêryn't de hackers perfekt witte hoe't se reagearje en de aksjes fan 'e ferdigeners tsjingean. Omgean mei harren is net allinnich lestich, mar ek hiel kostber foar bedriuwen. Bygelyks, ien fan ús kliïnten, in grutte online retailer, ûnderhâlde in team fan 30 minsken foar hast trije jier, waans taak wie it bestriden fan DDoS oanfallen.
Neffens Variti binne ienfâldige DDoS-oanfallen puur útfierd út ferfeling, trolling of ûntefredenens mei in bepaald bedriuw op it stuit minder dan 10% fan alle DDoS-oanfallen (fansels kinne ûnbeskerme boarnen ferskate statistiken hawwe, wy sjogge nei ús klantgegevens ) . Al it oare is it wurk fan profesjonele teams. Trijekwart fan alle "minne" bots binne lykwols komplekse bots dy't lestich te ûntdekken binne mei de measte moderne merkoplossingen. Se imitearje it gedrach fan echte brûkers of browsers en yntrodusearje patroanen dy't it dreech meitsje om te ûnderskieden tusken "goede" en "minne" oanfragen. Dit makket oanfallen minder merkber en dus effektiver.
Gegevens fan GlobalDots
Nije DDoS-doelen
Melde fan analysten fan GlobalDots seit dat bots no 50% fan alle webferkear generearje, en 17,5% fan har binne kweade bots.
Bots witte it libben fan bedriuwen op ferskate manieren te ferneatigjen: neist it feit dat se websiden "crash" binne se no ek dwaande mei it ferheegjen fan advertinsjekosten, klikken op advertinsjes, parsearjen fan prizen om se in penny minder te meitsjen en lokke keapers fuort, en stelle ynhâld foar ferskate minne doelen (bygelyks wy koartlyn oer siden mei stellen ynhâld dy't brûkers twinge om de captchas fan oare minsken op te lossen). Bots fersteure ferskate bedriuwstatistiken sterk, en as gefolch wurde besluten makke op basis fan ferkearde gegevens. In DDoS-oanfal is faaks in reekskerm foar noch serieuze misdieden lykas hacking en gegevensstellerij. En no sjogge wy dat der in hiele nije klasse fan cyberbedrigingen is tafoege - dit is in fersteuring fan it wurk fan bepaalde saaklike prosessen fan it bedriuw, faak offline (omdat yn ús tiid neat folslein "offline" kin wêze). Benammen faak sjogge wy dat logistike prosessen en kommunikaasje mei klanten ferbrekke.
"Net oanlevere"
Logistike saaklike prosessen binne kaai foar de measte bedriuwen, dus se wurde faak oanfallen. Hjir binne de mooglike oanfalssenario's.
Net beskikber
As jo wurkje yn online hannel, dan binne jo wierskynlik al bekend mei it probleem fan falske oarders. As oanfallen wurde, oerladen bots logistike boarnen en meitsje guod net beskikber foar oare keapers. Om dit te dwaan, pleatse se in grut oantal falske oarders, gelyk oan it maksimum oantal produkten op foarried. Dit guod wurdt dan net betelle en wurde nei ferrin fan tiid werombrocht nei de side. Mar de akte is al dien: se waarden markearre as "net op foarried", en guon keapers binne al nei konkurrinten gien. Dizze taktyk is bekend yn 'e ticketing-yndustry foar loftfeartmaatskippijen, wêr't bots soms alle kaartsjes fuortendaliks "ferkeapje" hast sa gau as se beskikber binne. Bygelyks, ien fan ús kliïnten, in grutte loftfeartmaatskippij, hie lêst fan sa'n oanfal organisearre troch Sineeske konkurrinten. Yn mar twa oeren bestelden har bots 100% fan kaartsjes nei bepaalde bestimmingen.
Sneakers bots
It folgjende populêre senario: bots keapje fuortendaliks in heule line fan produkten, en har eigners ferkeapje se letter tsjin in opblaasde priis (gemiddeld in 200% markup). Sokke bots wurde sneakersbots neamd, om't dit probleem goed bekend is yn 'e moade sneaker-yndustry, benammen beheinde kolleksjes. Bots kochten nije rigels op dy't krekt yn hast minuten ferskynden, wylst se de boarne blokkearje, sadat echte brûkers dêr net troch koene. Dit is in seldsum gefal doe't bots waarden skreaun yn modieuze glossy tydskriften. Hoewol, yn 't algemien, brûke resellers fan kaartsjes foar koele eveneminten lykas fuotbalwedstriden itselde senario.
Oare senario's
Mar dat is net alles. D'r is in noch kompleksere ferzje fan oanfallen op logistyk, dy't serieuze ferliezen driget. Dit kin dien wurde as de tsjinst de opsje "Betelling by ûntfangst fan guod" hat. Bots litte falske oarders foar soksoarte guod litte, wat falske of sels echte adressen oanjaan fan net-fermoedende minsken. En bedriuwen meitsje enoarme kosten foar levering, opslach en it finen fan details. Op dit stuit binne guod net beskikber foar oare klanten, en se nimme ek romte yn it pakhús.
Wat oars? Bots litte massale falske minne resinsjes oer produkten, blokkearje de funksje "betelling werom", blokkearje transaksjes, stelle klantgegevens, spam echte klanten - d'r binne in protte opsjes. In goed foarbyld is de resinte oanfal op DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackers , dat se "DDoS-beskermingssystemen testen", mar op it lêst sette se it bedriuwskliïntportaal fan it bedriuw en alle API's del. Dêrtroch wiene der grutte ûnderbrekkings yn de levering fan guod oan klanten.
Belje moarn
Ferline jier rapportearre de Federal Trade Commission (FTC) in ferdûbeling yn klachten fan bedriuwen en brûkers oer spam en frauduleuze tillefoanbot-oproppen. Neffens guon rûzings binne se op alle oproppen.
Lykas by DDoS, fariearje de doelen fan TDoS - massive botoanfallen op tillefoans - fan "hoaxes" oant gewetenloze konkurrinsje. Bots kinne kontaktsintra oerladen en foarkomme dat echte klanten mist wurde. Dizze metoade is effektyf net allinich foar opropsintra mei "live" operators, mar ek wêr't AVR-systemen wurde brûkt. Bots kinne ek massaal oanfalle oare kanalen fan kommunikaasje mei klanten (petear, e-mails), fersteure de wurking fan CRM systemen en sels, yn guon mjitte, negatyf beynfloedzje personiel behear, omdat operators wurde oerladen besykje te gaan met de krisis. De oanfallen kinne ek syngronisearre wurde mei in tradisjonele DDoS-oanfal op de online boarnen fan it slachtoffer.
Koartlyn fersteurde in soartgelikense oanfal it wurk fan de rêdingstsjinst yn 'e FS - gewoane minsken dy't help nedich wiene, koene gewoan net trochkomme. Om deselde tiid lei Dublin Zoo itselde lot, mei't op syn minst 5000 minsken spam SMS-tekstberjochten krigen dy't har oanmoedigje om driuwend it tillefoannûmer fan 'e bistetún te skiljen en om in fiktyf persoan te freegjen.
D'r sil gjin Wi-Fi wêze
Cyberkriminelen kinne ek maklik in folslein bedriuwsnetwurk blokkearje. IP-blokkering wurdt faak brûkt om DDoS-oanfallen te bestriden. Mar dit is net allinnich ineffectief, mar ek hiel gefaarlik praktyk. It IP-adres is maklik te finen (bygelyks fia boarnemonitoring) en maklik te ferfangen (of spoof). Wy hawwe kliïnten hân foardat se nei Variti kamen, wêr't it blokkearjen fan in spesifike IP Wi-Fi gewoan útskeakele yn har eigen kantoaren. Der wie in gefal doe't in klant waard "glyd" mei de fereaske IP, en hy blokkearre tagong ta syn boarne foar brûkers út in hiele regio, en net merkte dit foar in lange tiid, want oars de hiele boarne fungearre perfekt.
Wat nij is
Nije bedrigingen fereaskje nije befeiligingsoplossingen. Dizze nije merkniche begjint lykwols krekt te ûntstean. D'r binne in protte oplossingen foar it effektyf ôfwizen fan ienfâldige botoanfallen, mar mei komplekse is it net sa ienfâldich. In protte oplossingen oefenje noch IP-blokkearjende techniken. Oaren hawwe tiid nedich om de earste gegevens te sammeljen om te begjinnen, en dy 10-15 minuten kinne in kwetsberens wurde. D'r binne oplossingen basearre op masine learen wêrtroch jo in bot kinne identifisearje troch syn gedrach. En tagelyk hawwe teams fan 'e "oare" kant opskeppe dat se al bots hawwe dy't echte patroanen kinne imitearje, net te ûnderskieden fan minsklike. It is noch net dúdlik wa't wint.
Wat te dwaan as jo te krijen hawwe mei profesjonele botteams en komplekse oanfallen mei meardere etappe op ferskate nivo's tagelyk?
Us ûnderfining lit sjen dat jo moatte fokusje op it filterjen fan illegitime oanfragen sûnder IP-adressen te blokkearjen. Komplekse DDoS-oanfallen fereaskje filterjen op ferskate nivo's tagelyk, ynklusyf it ferfiernivo, applikaasjenivo en API-ynterfaces. Mei tank oan dit is it mooglik om sels leechfrekwinsje oanfallen ôf te kearen dy't normaal ûnsichtber binne en dêrom faak misse. Ta beslút, alle echte brûkers moatte wurde tastien troch, sels wylst de oanfal is aktyf.
Twads hawwe bedriuwen de mooglikheid nedich om har eigen multi-stage beskermingssystemen te meitsjen, dy't, neist ark foar it foarkommen fan DDoS-oanfallen, ynboude systemen sille hawwe tsjin fraude, gegevensstellerij, ynhâldbeskerming, ensfh.
Tredde, se moatte wurkje yn echte tiid fan it alderearste fersyk - de mooglikheid om direkt te reagearjen op feiligens ynsidinten fergruttet de kânsen om in oanfal te foarkommen of syn destruktive krêft te ferminderjen.
Near takomst: reputaasjebehear en sammeljen fan grutte gegevens mei bots
De skiednis fan DDoS is evoluearre fan ienfâldich nei kompleks. Yn earste ynstânsje wie it doel fan de oanfallers om te stopjen dat de side wurket. Se fine it no effisjinter om kearnbedriuwprosessen te rjochtsjen.
De ferfining fan oanfallen sil trochgean te ferheegjen, it is net te ûntkommen. Plus wat minne bots no dogge - gegevensstellerij en ferfalsking, afpersing, spam - bots sille gegevens sammelje fan in grut oantal boarnen (Big Data) en "robúste" falske akkounts meitsje foar ynfloedbehear, reputaasje as massafiskjen.
Op it stuit kinne allinich grutte bedriuwen har betelje om te ynvestearjen yn DDoS en botbeskerming, mar sels se kinne net altyd folslein kontrolearje en filterje ferkear generearre troch bots. It ienige positive ding oer it feit dat bot-oanfallen komplekser wurde, is dat it de merk stimulearret om tûker en mear avansearre feiligensoplossingen te meitsjen.
Wat tinke jo - hoe sil de botbeskermingsektor ûntwikkelje en hokker oplossingen binne no op 'e merke nedich?
Boarne: www.habr.com