Néhány éve kutatási ügynökségek és információbiztonsági szolgáltatók kezdtek jelenteni DDoS támadások száma. De 1 első negyedévében ugyanezek a kutatók lenyűgöző teljesítményükről számoltak be 84%-kal. Aztán minden erőről-erőre haladt. Még a világjárvány sem járult hozzá a béke légköréhez – éppen ellenkezőleg, a kiberbűnözők és spammerek ezt kiváló jelnek tartották a támadásra, és a DDoS mennyisége megnőtt. .
Hiszünk abban, hogy az egyszerű, könnyen észlelhető DDoS-támadások (és az azokat megakadályozó egyszerű eszközök) ideje lejárt. A kiberbűnözők egyre jobban elrejtik ezeket a támadásokat, és egyre kifinomultabban hajtják végre azokat. A sötét iparág a nyers erőtől az alkalmazásszintű támadások felé mozdult el. Komoly parancsokat kap az üzleti folyamatok megsemmisítésére, beleértve az offline folyamatokat is.
Betörés a valóságba
2017-ben a svéd közlekedési szolgáltatásokat megcélzó DDoS-támadások sorozata elhúzódott . 2019-ben Dánia nemzeti vasúti szolgáltatója Az értékesítési rendszerek tönkrementek. Emiatt nem működtek a jegykiadó automaták és az automata kapuk az állomásokon, több mint 15 ezer utas nem tudott távozni. Szintén 2019-ben egy erőteljes kibertámadás áramszünetet okozott .
A DDoS támadások következményeit ma már nemcsak az online felhasználók tapasztalják, hanem az emberek, ahogy mondani szokták, az IRL-ek is (a való életben). Míg a támadók korábban csak az online szolgáltatásokat vették célba, céljuk ma már gyakran az üzleti tevékenység megzavarása. Becsléseink szerint ma a támadások több mint 60%-ának van ilyen célja – zsarolás vagy tisztességtelen verseny. A tranzakciók és a logisztika különösen sérülékeny.
Okosabb és drágább
A DDoS továbbra is a számítógépes bűnözés egyik leggyakoribb és leggyorsabban növekvő típusa. Szakértők szerint 2020-tól számuk csak növekedni fog. Ez több okból is összefügg – a világjárvány miatti online üzletág még nagyobb átállásával, valamint a kiberbűnözés árnyékiparának fejlődésével, sőt .
A DDoS támadások egy időben „népszerűvé” váltak az egyszerű telepítésük és az alacsony költségük miatt: alig pár éve napi 50 dollárért lehetett elindítani őket. Napjainkra mind a támadási célpontok, mind a módszerek megváltoztak, ami összetettebbé, és ennek következtében a költségekké is nőtt. Nem, az óránkénti 5 dollártól kezdődő árak még mindig szerepelnek az árlistákban (igen, a kiberbűnözőknek van árlistája és tarifatáblázata), de egy védett webhelyért már napi 400 dollárt kérnek, és a nagyvállalatok „egyedi” megrendelésének költségeit. eléri a több ezer dollárt.
A DDoS-támadásoknak jelenleg két fő típusa létezik. Az első cél egy online forrás elérhetetlenné tétele egy bizonyos ideig. A támadók a támadás során díjat fizetnek értük. Ebben az esetben a DDoS operátor nem törődik semmilyen konkrét eredménnyel, és az ügyfél ténylegesen előre fizet a támadás elindításához. Az ilyen módszerek meglehetősen olcsók.
A második típus a támadások, amelyeket csak akkor fizetnek ki, ha egy bizonyos eredményt elér. Velük érdekesebb. Sokkal nehezebben kivitelezhetőek, ezért lényegesen drágábbak, mivel a támadóknak a leghatékonyabb módszereket kell kiválasztaniuk céljaik eléréséhez. A Varitinál időnként egész sakkjátszmákat játszunk kiberbűnözőkkel, ahol azonnal taktikát és eszközt váltanak, és egyszerre több szinten próbálnak behatolni több sebezhetőségbe. Ezek egyértelműen csapattámadások, amelyek során a hackerek tökéletesen tudják, hogyan kell reagálni és ellensúlyozni a védők cselekedeteit. Ezek kezelése nemcsak nehéz, de nagyon költséges is a cégek számára. Például egyik ügyfelünk, egy nagy online kiskereskedő közel három évig tartott fenn egy 30 fős csapatot, akiknek a feladata a DDoS támadások elleni küzdelem volt.
Variti szerint a pusztán unalomból, trollkodásból vagy egy adott céggel való elégedetlenségből végrehajtott egyszerű DDoS támadások jelenleg az összes DDoS támadás kevesebb mint 10%-át teszik ki (persze a védtelen erőforrások eltérő statisztikájúak lehetnek, nézzük ügyfeleink adatait ) . Minden más profi csapatok munkája. A „rossz” robotok háromnegyede azonban összetett botok, amelyeket a legtöbb modern piaci megoldással nehéz felismerni. Valódi felhasználók vagy böngészők viselkedését utánozzák, és olyan mintákat vezetnek be, amelyek megnehezítik a „jó” és a „rossz” kérések megkülönböztetését. Ezáltal a támadások kevésbé észrevehetők, és ezáltal hatékonyabbak.
Adatok a GlobalDotstól
Új DDoS célok
Jelentés A GlobalDots elemzői azt mondják, hogy ma már a webes forgalom 50%-át botok generálják, és ezek 17,5%-a rosszindulatú botok.
A botok különböző módokon tudják tönkretenni a cégek életét: amellett, hogy „lefagynak” a weboldalakon, ma már a hirdetési költségek növelésével, a hirdetésekre kattintással, az árak elemzésével is foglalkoznak, hogy egy fillérrel kevesebb legyen, elcsábítani a vásárlókat, és különféle rossz célokra ellopni a tartalmat (például nemrég olyan lopott tartalommal rendelkező webhelyekről, amelyek arra kényszerítik a felhasználókat, hogy oldják meg mások captcháit). A botok nagymértékben eltorzítják a különböző üzleti statisztikákat, és ennek eredményeként a döntések hibás adatok alapján születnek. A DDoS-támadások gyakran még súlyosabb bűncselekmények, például hackelés és adatlopás ellen is elrejtenek. És most azt látjuk, hogy a számítógépes fenyegetések egy teljesen új osztálya került hozzáadásra - ez a vállalat bizonyos üzleti folyamatai munkájának megszakadása, gyakran offline (mivel korunkban semmi sem lehet teljesen „offline”). Különösen gyakran tapasztaljuk, hogy a logisztikai folyamatok és az ügyfelekkel való kommunikáció megszakad.
"Nem kézbesített"
A logisztikai üzleti folyamatok kulcsfontosságúak a legtöbb vállalat számára, ezért gyakran támadják őket. Íme a lehetséges támadási forgatókönyvek.
Nem elérhető
Ha online kereskedelemben dolgozik, akkor valószínűleg már ismeri a hamis rendelések problémáját. Amikor megtámadják, a botok túlterhelik a logisztikai erőforrásokat, és elérhetetlenné teszik az árukat a többi vásárló számára. Ehhez hatalmas számú hamis rendelést adnak le, ami megegyezik a raktáron lévő termékek maximális számával. Ezeket az árukat ezután nem fizetik ki, és egy idő után visszakerülnek az oldalra. De az okirat már megtörtént: „elfogyott” jelzéssel látták el őket, és néhány vásárló már a versenytársakhoz ment. Ez a taktika jól ismert a repülőjegy-iparban, ahol a robotok néha azonnal „eladnak” minden jegyet, szinte azonnal, amint elérhetővé válnak. Például egy ügyfelünk, egy nagy légitársaság szenvedett el egy ilyen, kínai versenytársak által szervezett támadást. Mindössze két óra alatt a robotjaik megrendelték a jegyek 100%-át bizonyos úti célokra.
Sneakers botok
A következő népszerű forgatókönyv: a botok azonnal megvesznek egy teljes terméksort, tulajdonosaik pedig később felfújt áron (átlagosan 200%-os felár) adják el őket. Az ilyen robotokat sneakers botoknak nevezik, mert ez a probléma jól ismert a divatos tornacipőiparban, különösen a limitált kollekciókban. A robotok szinte percek alatt felvásárolták az éppen megjelent új sorokat, miközben blokkolták az erőforrást, hogy a valódi felhasználók ne juthassanak át oda. Ez egy ritka eset, amikor a botokról divatos, fényes magazinokban írtak. Bár általában a menő eseményekre, például futballmérkőzésekre szóló jegyek viszonteladói ugyanezt a forgatókönyvet alkalmazzák.
Egyéb forgatókönyvek
De ez még nem minden. A logisztikát ért támadásoknak létezik egy még összetettebb változata is, amely komoly veszteségekkel fenyeget. Ez akkor tehető meg, ha a szolgáltatásnál van „Fizetés az áru átvételekor” opció. A botok hamis rendeléseket hagynak fel az ilyen árukra, jelezve a gyanútlan emberek hamis vagy akár valós címét. A cégeknek pedig hatalmas költségeket kell fizetniük a szállításért, tárolásért és a részletek kiderítéséért. Jelenleg az áruk nem állnak más vásárlók rendelkezésére, és a raktárban is helyet foglalnak.
Mi más? A robotok hatalmas hamis rossz véleményeket hagynak a termékekről, elakadnak a „fizetés visszaküldése” funkcióban, blokkolják a tranzakciókat, ellopják az ügyfelek adatait, spamek küldenek valódi ügyfeleket – sok lehetőség van. Jó példa erre a DHL, Hermes, AldiTalk, Freenet, Snipes.com elleni közelmúltbeli támadás. Hackerek , hogy "DDoS védelmi rendszereket tesztelnek", de végül letették a cég üzleti ügyfélportálját és az összes API-t. Emiatt jelentős fennakadások léptek fel a vevők áruszállításában.
Hívjon holnap
Tavaly a Szövetségi Kereskedelmi Bizottság (FTC) arról számolt be, hogy megduplázódott a vállalkozások és a felhasználók panaszai száma spamekkel és csalárd telefonbot-hívásokkal. Egyes becslések szerint ezek összege minden hívás.
A DDoS-hoz hasonlóan a TDoS céljai – a telefonok elleni masszív bottámadások – a „hoaxoktól” a gátlástalan versenyig terjednek. A robotok túlterhelhetik a kapcsolattartó központokat, és megakadályozhatják, hogy valódi ügyfeleket hagyjanak ki. Ez a módszer nem csak az „élő” szolgáltatókkal rendelkező call centereknél hatékony, hanem ott is, ahol AVR rendszereket használnak. A botok tömegesen támadhatják meg az ügyfelekkel folytatott kommunikáció egyéb csatornáit (chat, e-mailek), megzavarhatják a CRM-rendszerek működését, sőt bizonyos mértékig negatívan befolyásolhatják a személyzeti menedzsmentet is, mivel az üzemeltetők túlterheltek, hogy megbirkózzanak a válsággal. A támadások egy hagyományos DDoS-támadással is szinkronizálhatók az áldozat online erőforrásai ellen.
A közelmúltban egy hasonló támadás zavarta meg a mentőszolgálat munkáját az USA-ban - a nagy segítségre szoruló hétköznapi emberek egyszerűen nem tudtak átjutni. Körülbelül ugyanebben az időben a dublini állatkert is ugyanerre a sorsra jutott: legalább 5000 ember kapott spam SMS-eket, amelyek arra buzdították őket, hogy sürgősen hívják fel az állatkert telefonszámát, és kérjenek egy fiktív személyt.
Wi-Fi nem lesz
A kiberbűnözők egy teljes vállalati hálózatot is könnyedén blokkolhatnak. Az IP-blokkolást gyakran használják a DDoS támadások leküzdésére. De ez nemcsak hatástalan, hanem nagyon veszélyes gyakorlat is. Az IP-címet könnyű megtalálni (például erőforrás-figyeléssel), és könnyen cserélhető (vagy hamis). Voltak már ügyfeleink, mielőtt a Varitihoz érkeztek volna, ahol egy adott IP blokkolása egyszerűen kikapcsolta a Wi-Fi-t a saját irodájukban. Volt olyan eset, amikor egy kliensnél „elcsúsztak” a szükséges IP-vel, és egy teljes régió felhasználói számára letiltotta az erőforrásához való hozzáférést, és ezt sokáig nem vette észre, mert egyébként az egész erőforrás tökéletesen működött.
Újdonságok
Az új fenyegetések új biztonsági megoldásokat igényelnek. Ez az új piaci rés azonban csak most kezd kialakulni. Számos megoldás létezik az egyszerű bottámadások hatékony visszaverésére, de az összetettekkel ez nem olyan egyszerű. Sok megoldás még mindig alkalmazza az IP-blokkolási technikákat. Másoknak időre van szükségük a kezdeti adatok összegyűjtésére a kezdéshez, és ez a 10-15 perc sebezhetővé válhat. Vannak olyan gépi tanuláson alapuló megoldások, amelyek lehetővé teszik a bot azonosítását a viselkedése alapján. A „másik” oldalról érkező csapatok ugyanakkor azzal büszkélkednek, hogy már vannak olyan botjaik, amelyek képesek valódi, az emberitől megkülönböztethetetlen mintákat utánozni. Egyelőre nem világos, hogy ki fog nyerni.
Mi a teendő, ha professzionális botcsapatokkal és összetett, többlépcsős támadásokkal kell megküzdenie egyszerre több szinten?
Tapasztalataink azt mutatják, hogy az illegitim kérések szűrésére kell összpontosítania az IP-címek blokkolása nélkül. Az összetett DDoS-támadások egyszerre több szinten is szűrést igényelnek, beleértve a szállítási szintet, az alkalmazásszintet és az API-felületeket. Ennek köszönhetően még az alacsony frekvenciájú, általában láthatatlan támadásokat is el lehet hárítani, amelyek ezért gyakran elmaradnak. Végül minden valódi felhasználót át kell engedni, még akkor is, ha a támadás aktív.
Másodszor, a vállalatoknak szükségük van arra, hogy saját többlépcsős védelmi rendszereket hozzanak létre, amelyek a DDoS támadások megelőzésére szolgáló eszközökön túl beépített rendszerekkel rendelkeznek majd a csalás, adatlopás, tartalomvédelem stb. ellen.
Harmadszor, az első kéréstől kezdve valós időben kell működniük – a biztonsági incidensekre való azonnali reagálás képessége nagymértékben növeli a támadások megelőzésének vagy a pusztító erejének csökkentésének esélyét.
A közeljövő: hírnévkezelés és nagy adatgyűjtés botokkal
A DDoS története az egyszerűtől a bonyolultig fejlődött. Eleinte a támadók célja az volt, hogy leállítsák az oldal működését. Most már hatékonyabbnak találják az alapvető üzleti folyamatok megcélzását.
A támadások kifinomultsága tovább fog növekedni, ez elkerülhetetlen. Plusz amit a rossz botok csinálnak most – adatlopás és hamisítás, zsarolás, spam –, a botok számos forrásból gyűjtenek adatokat (Big Data), és „erős” hamis fiókokat hoznak létre befolyáskezelés, hírnév vagy tömeges adathalászat céljából.
Jelenleg csak a nagyvállalatok engedhetik meg maguknak, hogy DDoS-ba és botvédelembe fektessenek be, de még ők sem tudják mindig maradéktalanul felügyelni és szűrni a botok által generált forgalmat. A bottámadások egyre összetettebbé válásának egyetlen pozitívuma az, hogy ösztönzi a piacot intelligensebb és fejlettebb biztonsági megoldások létrehozására.
Mit gondol – hogyan fog fejlődni a botvédelmi ipar, és milyen megoldásokra van szükség jelenleg a piacon?
Forrás: will.com