Մի քանի տարի առաջ հետազոտական գործակալությունները և տեղեկատվական անվտանգության ծառայություններ մատուցողները սկսեցին զեկուցել DDoS հարձակումների քանակը. Բայց 1 թվականի 2019-ին եռամսյակում նույն հետազոտողները հայտնել են իրենց ցնցող մասին 84%-ով։ Եվ հետո ամեն ինչ ուժից ուժ ստացավ: Նույնիսկ համաճարակը չնպաստեց խաղաղության մթնոլորտին, ընդհակառակը, կիբերհանցագործներն ու սպամերները սա համարեցին հարձակման հիանալի ազդանշան, և DDoS-ի ծավալն ավելացավ։ .
Մենք հավատում ենք, որ պարզ, հեշտությամբ հայտնաբերվող DDoS հարձակումների (և դրանք կանխող պարզ գործիքների) ժամանակն անցել է: Կիբերհանցագործներն ավելի լավ են դարձել այս հարձակումները թաքցնելու և դրանք իրականացնելու ավելի կատարելագործվածությամբ: Մութ արդյունաբերությունը բիրտ ուժից անցել է կիրառական մակարդակի հարձակումների: Նա լուրջ պատվերներ է ստանում՝ ոչնչացնելու բիզնես գործընթացները, այդ թվում՝ բավականին օֆլայն։
Ներխուժում իրականություն
2017 թվականին շվեդական տրանսպորտային ծառայություններին ուղղված մի շարք DDoS հարձակումներ հանգեցրին երկարատև գործողությունների . Դանիայի ազգային երկաթուղային օպերատորը 2019թ Վաճառքի համակարգերը իջել են. Արդյունքում կայարաններում չեն աշխատել տոմսերի մեքենաներն ու ավտոմատ դարպասները, ավելի քան 15 հազար ուղեւոր չի կարողացել հեռանալ։ Նաև 2019-ին հզոր կիբերհարձակման պատճառ դարձավ էլեկտրաէներգիայի անջատումը .
DDoS հարձակումների հետևանքները այժմ զգում են ոչ միայն առցանց օգտատերերը, այլև մարդիկ, ինչպես ասում են, IRL (իրական կյանքում): Մինչ հարձակվողները պատմականորեն թիրախավորել են միայն առցանց ծառայությունները, այժմ նրանց նպատակն է հաճախ խափանել բիզնեսի ցանկացած գործողություն: Մեր գնահատմամբ՝ այսօր հարձակումների ավելի քան 60%-ն ունի նման նպատակ՝ շորթման կամ անբարեխիղճ մրցակցության համար։ Հատկապես խոցելի են գործարքները և լոգիստիկան:
Ավելի խելացի և թանկ
DDoS-ը շարունակում է համարվել կիբերհանցագործությունների ամենատարածված և ամենաարագ աճող տեսակներից մեկը: Ըստ փորձագետների՝ 2020 թվականից նրանց թիվը միայն կավելանա։ Սա կապված է տարբեր պատճառներով՝ համաճարակի պատճառով առցանց բիզնեսի ավելի մեծ անցման, և կիբերհանցագործությունների ստվերային արդյունաբերության զարգացման և նույնիսկ .
DDoS հարձակումները ժամանակին «հանրաճանաչ» դարձան դրանց տեղակայման հեշտության և ցածր գնի պատճառով. ընդամենը մի քանի տարի առաջ դրանք կարող էին գործարկվել օրական 50 դոլարով: Այսօր փոխվել են և՛ հարձակման թիրախները, և՛ մեթոդները՝ մեծացնելով դրանց բարդությունը և արդյունքում՝ ծախսերը։ Ոչ, ժամի 5 դոլարից սկսած գները դեռևս գնացուցակներում են (այո, կիբերհանցագործներն ունեն գնացուցակներ և սակագնային գրաֆիկներ), բայց պաշտպանված կայքի համար նրանք արդեն պահանջում են օրական 400 դոլար, իսկ խոշոր ընկերությունների համար «անհատական» պատվերների արժեքը։ հասնում է մի քանի հազար դոլարի։
Ներկայումս DDoS հարձակումների երկու հիմնական տեսակ կա. Առաջին նպատակը առցանց ռեսուրսը որոշակի ժամանակահատվածում անհասանելի դարձնելն է: Հարձակվողները նրանց համար գանձում են հենց հարձակման ժամանակ: Այս դեպքում, DDoS օպերատորը չի մտածում որևէ կոնկրետ արդյունքի մասին, և հաճախորդը իրականում վճարում է նախապես հարձակումը սկսելու համար: Նման մեթոդները բավականին էժան են։
Երկրորդ տեսակը հարձակումներն են, որոնք վճարվում են միայն որոշակի արդյունքի հասնելու դեպքում: Նրանց մոտ ավելի հետաքրքիր է։ Դրանք շատ ավելի դժվար է իրականացնել և, հետևաբար, զգալիորեն ավելի թանկ են, քանի որ հարձակվողները պետք է ընտրեն ամենաարդյունավետ մեթոդները իրենց նպատակներին հասնելու համար: Variti-ում մենք երբեմն խաղում ենք ամբողջ շախմատային խաղեր կիբերհանցագործների հետ, որտեղ նրանք ակնթարթորեն փոխում են մարտավարությունն ու գործիքները և փորձում են միանգամից մի քանի մակարդակով կոտրել բազմաթիվ խոցելի տեղեր: Սրանք ակնհայտորեն թիմային հարձակումներ են, որոնցում հաքերները հիանալի գիտեն, թե ինչպես արձագանքել և հակադարձել պաշտպանների գործողություններին: Դրանց հետ գործ ունենալը ոչ միայն բարդ է, այլեւ շատ ծախսատար ընկերությունների համար: Օրինակ, մեր հաճախորդներից մեկը՝ խոշոր առցանց մանրածախ վաճառողը, գրեթե երեք տարի պահպանել է 30 հոգուց բաղկացած թիմ, որի խնդիրն էր պայքարել DDoS հարձակումների դեմ:
Ըստ Variti-ի, պարզ DDoS հարձակումները, որոնք իրականացվել են զուտ ձանձրույթից, տրոլինգից կամ որոշակի ընկերությունից դժգոհությունից ելնելով, ներկայումս կազմում են բոլոր DDoS հարձակումների 10%-ից պակասը (իհարկե, անպաշտպան ռեսուրսները կարող են տարբեր վիճակագրություն ունենալ, մենք նայում ենք մեր հաճախորդների տվյալները): . Մնացած ամեն ինչ պրոֆեսիոնալ թիմերի աշխատանք է։ Այնուամենայնիվ, բոլոր «վատ» բոտերի երեք քառորդը բարդ բոտեր են, որոնք դժվար է հայտնաբերել շուկայական ժամանակակից լուծումների միջոցով: Նրանք ընդօրինակում են իրական օգտատերերի կամ բրաուզերների վարքագիծը և ներկայացնում օրինաչափություններ, որոնք դժվարացնում են տարբերակել «լավ» և «վատ» հարցումները: Սա դարձնում է հարձակումները ավելի քիչ նկատելի և, հետևաբար, ավելի արդյունավետ:
Տվյալներ GlobalDots-ից
Նոր DDoS թիրախներ
Զեկուցել GlobalDots-ի վերլուծաբաններն ասում են, որ բոտերն այժմ ստեղծում են ամբողջ վեբ տրաֆիկի 50%-ը, իսկ դրանց 17,5%-ը վնասակար բոտեր են:
Բոտերը գիտեն, թե ինչպես կործանել ընկերությունների կյանքը տարբեր ձևերով. բացի նրանից, որ նրանք «քայքայում են» կայքերը, նրանք այժմ զբաղվում են նաև գովազդի ծախսերի ավելացմամբ, գովազդի վրա սեղմելով, գների վերլուծությամբ՝ դրանք մի կոպեկ պակասեցնելու համար և գայթակղել գնորդներին և գողանալ բովանդակություն տարբեր վատ նպատակներով (օրինակ, մենք վերջերս գողացված բովանդակությամբ կայքերի մասին, որոնք օգտատերերին ստիպում են լուծել այլ մարդկանց captcha-ները): Բոտերը մեծապես խեղաթյուրում են տարբեր բիզնես վիճակագրություններ, և արդյունքում որոշումներ են կայացվում սխալ տվյալների հիման վրա։ DDoS հարձակումը հաճախ ծխածածկույթ է նույնիսկ ավելի լուրջ հանցագործությունների համար, ինչպիսիք են հաքերները և տվյալների գողությունը: Եվ հիմա մենք տեսնում ենք, որ ավելացվել է կիբեր սպառնալիքների մի ամբողջ նոր դաս. սա ընկերության որոշակի բիզնես գործընթացների աշխատանքի խաթարում է, հաճախ անցանց (քանի որ մեր ժամանակներում ոչինչ չի կարող ամբողջովին «անցանց» լինել): Հատկապես հաճախ մենք տեսնում ենք, որ լոգիստիկ գործընթացները և հաճախորդների հետ շփումները խաթարվում են:
«Չի առաքվել»
Լոգիստիկ բիզնես գործընթացները առանցքային են ընկերությունների մեծ մասի համար, ուստի դրանք հաճախ ենթարկվում են հարձակման: Ահա հարձակման հնարավոր սցենարները.
Հասանելի չէ
Եթե դուք աշխատում եք առցանց առևտրով, ապա հավանաբար արդեն ծանոթ եք կեղծ պատվերների խնդրին: Հարձակման դեպքում բոտերը ծանրաբեռնում են լոգիստիկ ռեսուրսները և ապրանքները դարձնում անհասանելի այլ գնորդների համար: Դա անելու համար նրանք տեղադրում են հսկայական քանակությամբ կեղծ պատվերներ, որոնք հավասար են պահեստում առկա ապրանքների առավելագույն քանակին: Այդ ապրանքներն այնուհետև չեն վճարվում և որոշ ժամանակ անց վերադարձվում են կայք: Բայց գործն արդեն արված է. դրանք նշվել են որպես «առանց պահեստում», իսկ որոշ գնորդներ արդեն գնացել են մրցակիցների մոտ։ Այս մարտավարությունը լավ հայտնի է ավիատոմսերի արտադրության ոլորտում, որտեղ բոտերը երբեմն ակնթարթորեն «վաճառում են» բոլոր տոմսերը գրեթե հենց որ դրանք հասանելի են դառնում: Օրինակ, մեր հաճախորդներից մեկը՝ խոշոր ավիաընկերությունը, տուժել է չինացի մրցակիցների կողմից կազմակերպված նման հարձակումից։ Ընդամենը երկու ժամում նրանց բոտերը պատվիրեցին տոմսերի 100%-ը դեպի որոշակի ուղղություններ:
Սպորտային կոշիկների բոտեր
Հաջորդ հայտնի սցենարը. բոտերն անմիջապես գնում են ապրանքների մի ամբողջ շարք, և նրանց սեփականատերերը դրանք ավելի ուշ վաճառում են ուռճացված գնով (միջինում 200% մակնշում): Նման բոտերը կոչվում են սպորտային կոշիկներ, քանի որ այս խնդիրը լավ հայտնի է սպորտային կոշիկների նորաձևության ոլորտում, հատկապես սահմանափակ հավաքածուներում: Բոտերը գնել են նոր գծեր, որոնք նոր էին հայտնվել գրեթե րոպեների ընթացքում՝ միաժամանակ արգելափակելով ռեսուրսը, որպեսզի իրական օգտատերերը չկարողանան այնտեղ անցնել: Սա հազվագյուտ դեպք է, երբ բոտերի մասին գրվել է մոդայիկ փայլուն ամսագրերում։ Չնայած, ընդհանուր առմամբ, տոմսերի վերավաճառողները, ինչպիսիք են ֆուտբոլային հանդիպումները, օգտագործում են նույն սցենարը:
Այլ սցենարներ
Բայց սա դեռ ամենը չէ: Լոգիստիկայի վրա հարձակումների էլ ավելի բարդ տարբերակ կա, որը լուրջ կորուստներ է սպառնում։ Դա կարելի է անել, եթե ծառայությունն ունի «Վճարում ապրանքների ստացման ժամանակ» տարբերակը: Բոտերը կեղծ պատվերներ են թողնում նման ապրանքների համար՝ նշելով անհասկանալի մարդկանց կեղծ կամ նույնիսկ իրական հասցեները: Իսկ ընկերությունները հսկայական ծախսեր են կրում առաքման, պահպանման և մանրամասները պարզելու համար: Այս պահին ապրանքները հասանելի չեն այլ հաճախորդների համար, և դրանք նույնպես տեղ են զբաղեցնում պահեստում։
Էլ ինչ? Բոտերը թողնում են զանգվածային կեղծ վատ ակնարկներ ապրանքների վերաբերյալ, խցանում են «վճարման վերադարձի» գործառույթը, արգելափակում են գործարքները, գողանում հաճախորդների տվյալները, սպամում իրական հաճախորդներին. կան բազմաթիվ տարբերակներ: Լավ օրինակ է վերջին հարձակումը DHL-ի, Hermes-ի, AldiTalk-ի, Freenet-ի, Snipes.com-ի վրա: Հաքերներ , որ նրանք «փորձարկում են DDoS պաշտպանության համակարգերը», բայց ի վերջո նրանք դրեցին ընկերության բիզնես հաճախորդների պորտալը և բոլոր API-ները: Արդյունքում ապրանքների առաքում հաճախորդներին մեծ ընդհատումներ են եղել։
Զանգահարեք վաղը
Անցյալ տարի Առևտրի դաշնային հանձնաժողովը (FTC) զեկուցեց բիզնեսների և օգտատերերի բողոքների կրկնապատկման մասին սպամի և խարդախ հեռախոսային բոտային զանգերի վերաբերյալ: Որոշ գնահատականներով դրանք կազմում են բոլոր զանգերը.
Ինչպես DDoS-ի դեպքում, TDoS-ի նպատակները՝ զանգվածային բոտերի հարձակումները հեռախոսների վրա, տատանվում են «խաբեություններից» մինչև անբարեխիղճ մրցակցություն: Բոտերը կարող են ծանրաբեռնել կոնտակտային կենտրոնները և կանխել իրական հաճախորդների բաց թողնելը: Այս մեթոդը արդյունավետ է ոչ միայն «կենդանի» օպերատորներով զանգերի կենտրոնների համար, այլև այնտեղ, որտեղ օգտագործվում են AVR համակարգեր: Բոտերը կարող են նաև զանգվածաբար հարձակվել հաճախորդների հետ հաղորդակցության այլ ուղիների վրա (չաթ, էլ. փոստ), խաթարել CRM համակարգերի աշխատանքը և նույնիսկ որոշ չափով բացասաբար ազդել անձնակազմի կառավարման վրա, քանի որ օպերատորները գերծանրաբեռնված են՝ փորձելով հաղթահարել ճգնաժամը: Հարձակումները կարող են նաև համաժամանակացվել զոհի առցանց ռեսուրսների վրա ավանդական DDoS հարձակման հետ:
Վերջերս նմանատիպ հարձակումը խաթարել էր փրկարար ծառայության աշխատանքը ԱՄՆ-ում օգնության խիստ կարիք ունեցող սովորական մարդիկ պարզապես չէին կարողանում անցնել: Մոտավորապես նույն ժամանակ Դուբլինի կենդանաբանական այգին արժանացավ նույն ճակատագրին, երբ առնվազն 5000 մարդ ստացավ սպամ SMS տեքստային հաղորդագրություններ, որոնք խրախուսում էին նրանց շտապ զանգահարել կենդանաբանական այգու հեռախոսահամարով և խնդրել հորինված անձ:
Wi-Fi չի լինի
Կիբերհանցագործները կարող են նաև հեշտությամբ արգելափակել ամբողջ կորպորատիվ ցանցը: IP արգելափակումը հաճախ օգտագործվում է DDoS հարձակումների դեմ պայքարելու համար: Բայց սա ոչ միայն անարդյունավետ, այլեւ շատ վտանգավոր պրակտիկա է։ IP հասցեն հեշտ է գտնել (օրինակ՝ ռեսուրսների մոնիտորինգի միջոցով) և հեշտ է փոխարինել (կամ կեղծել): Մենք հաճախորդներ ենք ունեցել մինչ Variti գալը, որտեղ կոնկրետ IP-ի արգելափակումն ուղղակի անջատել է Wi-Fi-ը իրենց գրասենյակներում: Եղել է դեպք, երբ հաճախորդին «սայթաքել են» պահանջվող IP-ով, և նա արգելափակել է իր ռեսուրսի մուտքը մի ամբողջ տարածաշրջանի օգտատերերին, և դա երկար ժամանակ չի նկատել, քանի որ հակառակ դեպքում ամբողջ ռեսուրսը հիանալի է աշխատել:
Ինչ է նորը:
Նոր սպառնալիքները պահանջում են անվտանգության նոր լուծումներ։ Այնուամենայնիվ, այս նոր շուկայական տեղը նոր է սկսում առաջանալ: Կան բազմաթիվ լուծումներ պարզ բոտային հարձակումները արդյունավետորեն ետ մղելու համար, բայց բարդերի դեպքում դա այնքան էլ պարզ չէ: Շատ լուծումներ դեռևս կիրառվում են IP արգելափակման տեխնիկա: Մյուսներին ժամանակ է պետք սկզբնական տվյալները հավաքելու համար՝ սկսելու համար, և այդ 10-15 րոպեները կարող են դառնալ խոցելիություն: Գոյություն ունեն մեքենայական ուսուցման վրա հիմնված լուծումներ, որոնք թույլ են տալիս ճանաչել բոտին իր վարքագծով: Եվ միևնույն ժամանակ, «մյուս» կողմի թիմերը պարծենում են, որ իրենք արդեն ունեն բոտեր, որոնք կարող են ընդօրինակել իրական օրինաչափությունները, որոնք չեն տարբերվում մարդկայինից: Թե ով կհաղթի, դեռ պարզ չէ։
Ի՞նչ անել, եթե ստիպված լինեք գործ ունենալ պրոֆեսիոնալ բոտերի թիմերի և բարդ, բազմափուլ գրոհների հետ միանգամից մի քանի մակարդակներում:
Մեր փորձը ցույց է տալիս, որ դուք պետք է կենտրոնանաք անօրինական հարցումների զտման վրա՝ առանց IP հասցեների արգելափակման: Կոմպլեքս DDoS հարձակումները պահանջում են զտում միանգամից մի քանի մակարդակներում, ներառյալ տրանսպորտի մակարդակը, հավելվածի մակարդակը և API միջերեսները: Դրա շնորհիվ հնարավոր է ետ մղել նույնիսկ ցածր հաճախականության հարձակումները, որոնք սովորաբար անտեսանելի են և, հետևաբար, հաճախ բաց թողնված: Վերջապես, բոլոր իրական օգտատերերին պետք է թույլ տալ մուտք գործել, նույնիսկ եթե հարձակումն ակտիվ է:
Երկրորդ՝ ընկերություններին անհրաժեշտ է սեփական բազմաստիճան պաշտպանության համակարգեր ստեղծելու հնարավորություն, որոնք, բացի DDoS հարձակումները կանխելու գործիքներից, կունենան ներկառուցված համակարգեր՝ ընդդեմ խարդախության, տվյալների գողության, բովանդակության պաշտպանության և այլն:
Երրորդ, նրանք պետք է աշխատեն իրական ժամանակում առաջին իսկ խնդրանքից. անվտանգության միջադեպերին ակնթարթորեն արձագանքելու ունակությունը մեծապես մեծացնում է հարձակումը կանխելու կամ դրա կործանարար ուժը նվազեցնելու հնարավորությունները:
Մոտ ապագա. հեղինակության կառավարում և մեծ տվյալների հավաքագրում՝ բոտերի միջոցով
DDoS-ի պատմությունը պարզից վերածվել է բարդի: Սկզբում հարձակվողների նպատակն էր դադարեցնել կայքի աշխատանքը։ Նրանք այժմ ավելի արդյունավետ են գտնում հիմնական բիզնես գործընթացների թիրախավորումը:
Հարձակումների բարդությունը կշարունակի աճել, դա անխուսափելի է։ Գումարած այն, ինչ հիմա անում են վատ բոտերը՝ տվյալների գողություն և կեղծում, շորթում, սպամ, բոտերը տվյալներ կհավաքեն մեծ թվով աղբյուրներից (Big Data) և կստեղծեն «ուժեղ» կեղծ հաշիվներ ազդեցության կառավարման, հեղինակության կամ զանգվածային ֆիշինգի համար:
Ներկայումս միայն խոշոր ընկերությունները կարող են իրենց թույլ տալ ներդրումներ կատարել DDoS-ի և բոտերի պաշտպանության մեջ, բայց նույնիսկ նրանք չեն կարող միշտ ամբողջությամբ վերահսկել և զտել բոտերի կողմից ստեղծված թրաֆիկը: Միակ դրական բանը, որ բոտերի հարձակումները դառնում են ավելի բարդ, այն է, որ այն խթանում է շուկան ստեղծելու ավելի խելացի և առաջադեմ անվտանգության լուծումներ:
Ի՞նչ եք կարծում, ինչպե՞ս կզարգանա բոտերի պաշտպանության արդյունաբերությունը և ի՞նչ լուծումներ են անհրաժեշտ շուկայում հենց հիմա:
Source: www.habr.com