Prije nekoliko godina, istraživačke agencije i pružatelji usluga informacijske sigurnosti počeli su izvještavati broj DDoS napada. No do 1. tromjesečja 2019. isti su istraživači izvijestili o njihovom zapanjujućem za 84 posto. A onda je sve išlo naopako. Čak ni pandemija nije pridonijela atmosferi mira - naprotiv, kibernetički kriminalci i spameri ovo su smatrali izvrsnim signalom za napad, a količina DDoS-a se povećala .
Vjerujemo da je vrijeme jednostavnih, lako detektiranih DDoS napada (i jednostavnih alata koji ih mogu spriječiti) prošlo. Kibernetički kriminalci postali su bolji u skrivanju ovih napada i izvođenju ih sa sve većom sofisticiranošću. Mračna industrija prešla je s grube sile na napade na razini aplikacije. Dobiva ozbiljne naloge za uništavanje poslovnih procesa, uključujući i one sasvim izvan mreže.
Prodor u stvarnost
U 2017. niz DDoS napada usmjerenih na švedske transportne usluge rezultirao je produljenim . U 2019. nacionalni željeznički operater Danske Sustavi prodaje su pali. Zbog toga automati za prodaju karata i automatska vrata nisu radili na kolodvorima, a više od 15 tisuća putnika nije moglo izaći. Također 2019. godine snažan kibernetički napad izazvao je nestanak struje u .
Posljedice DDoS napada sada doživljavaju ne samo korisnici na mreži, već i ljudi, kako kažu, IRL (u stvarnom životu). Dok su napadači povijesno ciljali samo online usluge, sada im je cilj često poremetiti bilo koje poslovne operacije. Procjenjujemo da danas više od 60% napada ima takvu svrhu – iznudu ili nelojalnu konkurenciju. Posebno su ranjive transakcije i logistika.
Pametniji i skuplji
DDoS se i dalje smatra jednom od najčešćih i najbrže rastućih vrsta kibernetičkog kriminala. Prema stručnjacima, od 2020. njihov će se broj samo povećavati. To je povezano s raznim razlozima – s još većom tranzicijom poslovanja online zbog pandemije, i s razvojem industrije u sjeni kibernetičkog kriminala, pa čak i s .
DDoS napadi su svojedobno postali "popularni" zbog svoje jednostavnosti implementacije i niske cijene: prije samo nekoliko godina mogli su se pokrenuti za 50 dolara dnevno. Danas su se i ciljevi i metode napada promijenile, povećavajući njihovu složenost i, kao rezultat toga, troškove. Ne, cijene od 5 dolara po satu još uvijek su u cjenicima (da, kibernetički kriminalci imaju cjenike i tarife), ali za web stranicu sa zaštitom već traže od 400 dolara po danu, a troškovi "individualnih" narudžbi za velike tvrtke doseže nekoliko tisuća dolara.
Trenutno postoje dvije glavne vrste DDoS napada. Prvi cilj je učiniti mrežni resurs nedostupnim određeno vrijeme. Napadači ih naplaćuju tijekom samog napada. U ovom slučaju DDoS operatera nije briga ni za kakav konkretan ishod, a klijent zapravo plaća unaprijed za pokretanje napada. Takve metode su prilično jeftine.
Drugi tip su napadi koji se plaćaju tek kada se postigne određeni rezultat. S njima je zanimljivije. Puno ih je teže implementirati, a time i znatno skuplje, budući da napadači moraju odabrati najučinkovitije metode za postizanje svojih ciljeva. U Varitiju ponekad igramo cijele šahovske partije s kibernetičkim kriminalcima, gdje oni trenutno mijenjaju taktike i alate i pokušavaju provaliti u više ranjivosti na više razina odjednom. Riječ je očito o timskim napadima u kojima hakeri savršeno dobro znaju kako reagirati i suprotstaviti se akcijama braniča. Suočavanje s njima nije samo teško, već je i vrlo skupo za tvrtke. Primjerice, jedan od naših klijenata, veliki online trgovac, gotovo je tri godine držao tim od 30 ljudi čiji je zadatak bio suzbijanje DDoS napada.
Prema Varitiju, jednostavni DDoS napadi koji se izvode isključivo iz dosade, trolanja ili nezadovoljstva određenom tvrtkom trenutno čine manje od 10% svih DDoS napada (naravno, nezaštićeni resursi mogu imati različite statistike, gledamo podatke o našim klijentima) . Sve ostalo je rad stručnih timova. Međutim, tri četvrtine svih “loših” botova su složeni botovi koje je teško detektirati u većini modernih tržišnih rješenja. Oponašaju ponašanje stvarnih korisnika ili preglednika i uvode obrasce koji otežavaju razlikovanje "dobrih" od "loših" zahtjeva. To čini napade manje primjetljivima i stoga učinkovitijima.
Podaci iz GlobalDots
Novi DDoS ciljevi
Prijavi analitičara iz GlobalDotsa kaže da botovi sada generiraju 50% ukupnog web prometa, a 17,5% njih su zlonamjerni botovi.
Botovi znaju uništavati život tvrtkama na različite načine: osim što “ruše” web stranice, sada se bave i povećanjem troškova oglašavanja, klikanjem na reklame, raščlanjivanjem cijena kako bi ih zaradili koju lipu manje i odvući kupce i ukrasti sadržaj u razne loše svrhe (primjerice, nedavno smo o stranicama s ukradenim sadržajem koje tjeraju korisnike da rješavaju tuđe captcha). Botovi uvelike iskrivljuju razne poslovne statistike, pa se zbog toga odluke donose na temelju netočnih podataka. DDoS napad često je dimna zavjesa za još teže zločine poput hakiranja i krađe podataka. A sada vidimo da je dodana cijela nova klasa cyber prijetnji - to je poremećaj rada određenih poslovnih procesa tvrtke, često offline (jer u naše vrijeme ništa ne može biti potpuno "offline"). Osobito često vidimo da se poremete logistički procesi i komunikacija s kupcima.
"Nije dostavljeno"
Logistički poslovni procesi ključni su za većinu tvrtki pa su često napadnuti. Evo mogućih scenarija napada.
Nema na zalihama
Ako se bavite online trgovinom, onda ste vjerojatno već upoznati s problemom lažnih narudžbi. Kada su napadnuti, botovi preopterećuju logističke resurse i čine robu nedostupnom drugim kupcima. Da bi to učinili, postavljaju ogroman broj lažnih narudžbi, jednak maksimalnom broju proizvoda na zalihama. Ta se roba tada ne plaća i nakon nekog vremena se vraća na stranicu. Ali posao je već učinjen: označeni su kao "nema na skladištu", a neki su kupci već otišli konkurentima. Ova je taktika dobro poznata u industriji prodaje zrakoplovnih karata, gdje botovi ponekad trenutno "rasprodaju" sve karte gotovo čim postanu dostupne. Primjerice, jedan od naših klijenata, veliki zrakoplovni prijevoznik, pretrpio je takav napad koji su organizirali kineski konkurenti. U samo dva sata njihovi botovi naručili su 100% karata za određene destinacije.
Bote za tenisice
Sljedeći popularan scenarij: botovi odmah kupuju cijelu liniju proizvoda, a njihovi vlasnici ih kasnije prodaju po prenapuhanoj cijeni (u prosjeku 200% marže). Takvi botovi se nazivaju sneakers botovi, jer je ovaj problem dobro poznat u industriji modnih tenisica, posebice limitiranih kolekcija. Botovi su kupili nove retke koji su se upravo pojavili u gotovo nekoliko minuta, dok su blokirali resurs tako da stvarni korisnici nisu mogli doći do njega. Ovo je rijedak slučaj kada se o botovima pisalo u modernim sjajnim časopisima. Iako općenito preprodavači ulaznica za cool događaje poput nogometnih utakmica koriste isti scenarij.
Drugi scenariji
Ali to nije sve. Postoji još složenija verzija napada na logistiku, koja prijeti ozbiljnim gubicima. To je moguće ako servis ima opciju “Plaćanje po primitku robe”. Botovi ostavljaju lažne narudžbe za takvu robu, navodeći lažne ili čak stvarne adrese ljudi koji ništa ne sumnjaju. A tvrtke imaju ogromne troškove za dostavu, skladištenje i pronalaženje detalja. U ovom trenutku roba nije dostupna drugim kupcima, a također zauzima prostor u skladištu.
Što drugo? Botovi ostavljaju goleme lažne loše recenzije o proizvodima, ometaju funkciju "povrata uplate", blokiraju transakcije, kradu podatke o kupcima, šalju neželjene poruke pravim kupcima - postoji mnogo opcija. Dobar primjer je nedavni napad na DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hakeri , da “testiraju sustave zaštite od DDoS-a”, no na kraju su srušili poslovni portal tvrtke i sve API-je. Zbog toga je došlo do velikih prekida u isporuci robe kupcima.
Nazovi sutra
Prošle je godine Federalna komisija za trgovinu (FTC) izvijestila o udvostručenom broju pritužbi tvrtki i korisnika na neželjenu poštu i lažne pozive telefonskih robota. Prema nekim procjenama iznose svi pozivi.
Kao i kod DDoS-a, ciljevi TDoS-a - masovni napadi robota na telefone - kreću se od "prijevara" do beskrupuloznog natjecanja. Botovi mogu preopteretiti kontakt centre i spriječiti propuštanje stvarnih kupaca. Ova metoda je učinkovita ne samo za pozivne centre s "živim" operaterima, već i tamo gdje se koriste AVR sustavi. Botovi također mogu masovno napadati druge kanale komunikacije s korisnicima (chat, e-pošta), poremetiti rad CRM sustava i čak donekle negativno utjecati na upravljanje osobljem, jer su operateri preopterećeni pokušavajući se nositi s krizom. Napadi se također mogu sinkronizirati s tradicionalnim DDoS napadom na mrežne resurse žrtve.
Nedavno je sličan napad omeo rad spasilačke službe u SAD-u - obični ljudi kojima je hitno trebala pomoć jednostavno nisu mogli proći. Otprilike u isto vrijeme Dublinski zoološki vrt doživio je istu sudbinu, jer je najmanje 5000 ljudi primilo neželjene SMS poruke koje su ih poticale da hitno nazovu telefonski broj zoološkog vrta i zatraže fiktivnu osobu.
Neće biti Wi-Fi-ja
Cyberkriminalci također mogu lako blokirati cijelu korporativnu mrežu. IP blokiranje se često koristi za borbu protiv DDoS napada. Ali to nije samo neučinkovita, već i vrlo opasna praksa. IP adresu je lako pronaći (na primjer, putem nadzora resursa) i lako je zamijeniti (ili lažirati). Imali smo klijente prije dolaska u Variti kod kojih je blokiranje određene IP adrese jednostavno isključilo Wi-Fi u njihovim uredima. Zabilježen je slučaj kada je klijentu “podbačen” traženi IP, pa je blokirao pristup svom resursu korisnicima iz cijele regije, a to dugo nije primijetio, jer je inače cijeli resurs savršeno funkcionirao.
Što ima novog?
Nove prijetnje zahtijevaju nova sigurnosna rješenja. Međutim, ova nova tržišna niša tek se počinje pojavljivati. Postoje mnoga rješenja za učinkovito odbijanje jednostavnih napada robota, ali sa složenima to nije tako jednostavno. Mnoga rješenja još uvijek koriste tehnike blokiranja IP-a. Drugi trebaju vremena za prikupljanje početnih podataka za početak, a tih 10-15 minuta može postati ranjivost. Postoje rješenja temeljena na strojnom učenju koja vam omogućuju prepoznavanje bota prema njegovom ponašanju. A istovremeno se timovi s “one” strane hvale kako već imaju botove koji mogu oponašati prave obrasce, nerazlučive od ljudskih. Još nije jasno tko će pobijediti.
Što učiniti ako se morate nositi s profesionalnim bot timovima i složenim napadima u više faza na nekoliko razina odjednom?
Naše iskustvo pokazuje da se morate usredotočiti na filtriranje nelegitimnih zahtjeva bez blokiranja IP adresa. Složeni DDoS napadi zahtijevaju filtriranje na nekoliko razina odjednom, uključujući razinu prijenosa, razinu aplikacije i API sučelja. Zahvaljujući tome, moguće je odbiti čak i napade niske frekvencije koji su obično nevidljivi i stoga često promašeni. Konačno, svim stvarnim korisnicima mora biti dopušten prolaz, čak i dok je napad aktivan.
Drugo, tvrtkama je potrebna mogućnost stvaranja vlastitih višestupanjskih sustava zaštite, koji će osim alata za sprječavanje DDoS napada imati ugrađene sustave protiv prijevara, krađe podataka, zaštite sadržaja i sl.
Treće, moraju raditi u stvarnom vremenu od prvog zahtjeva - sposobnost trenutnog odgovora na sigurnosne incidente uvelike povećava šanse za sprječavanje napada ili smanjenje njegove razorne moći.
Bliska budućnost: upravljanje reputacijom i prikupljanje velikih podataka pomoću botova
Povijest DDoS-a evoluirala je od jednostavnog do složenog. Isprva je cilj napadača bio spriječiti rad stranice. Sada smatraju da je učinkovitije ciljati na temeljne poslovne procese.
Sofisticiranost napada nastavit će rasti, to je neizbježno. Plus ono što sada rade loši botovi - krađa i falsificiranje podataka, iznuda, spam - botovi će prikupljati podatke iz velikog broja izvora (Big Data) i stvarati "robusne" lažne račune za upravljanje utjecajem, reputaciju ili masovni phishing.
Trenutno samo velike tvrtke mogu priuštiti ulaganje u DDoS i zaštitu od botova, ali ni one ne mogu uvijek u potpunosti pratiti i filtrirati promet koji generiraju botovi. Jedina pozitivna stvar u činjenici da napadi botovima postaju sve složeniji jest to što to potiče tržište na stvaranje pametnijih i naprednijih sigurnosnih rješenja.
Što mislite - kako će se razvijati industrija zaštite od botova i koja rješenja su trenutno potrebna na tržištu?
Izvor: www.habr.com