Beberapa tahun yang lalu, lembaga penelitian dan penyedia layanan keamanan informasi mulai melaporkan jumlah serangan DDoS. Namun pada kuartal pertama tahun 1, peneliti yang sama melaporkan hal yang menakjubkan sebesar 84%. Dan kemudian segalanya berubah dari kekuatan ke kekuatan. Bahkan pandemi ini tidak memberikan kontribusi terhadap suasana damai - sebaliknya, penjahat dunia maya dan pengirim spam menganggap ini sebagai sinyal yang sangat baik untuk menyerang, dan volume DDoS pun meningkat. .
Kami percaya bahwa waktu untuk serangan DDoS yang sederhana dan mudah dideteksi (dan alat sederhana yang dapat mencegahnya) telah berakhir. Penjahat dunia maya menjadi lebih baik dalam menyembunyikan serangan-serangan ini dan melaksanakannya dengan semakin canggih. Industri gelap telah beralih dari serangan brute force ke serangan tingkat aplikasi. Dia menerima perintah serius untuk menghancurkan proses bisnis, termasuk proses offline.
Mendobrak kenyataan
Pada tahun 2017, serangkaian serangan DDoS yang menargetkan layanan transportasi Swedia berlangsung berkepanjangan . Pada tahun 2019, operator kereta api nasional Denmark Sistem penjualan turun. Akibatnya, mesin tiket dan gerbang otomatis tidak berfungsi di stasiun, dan lebih dari 15 ribu penumpang tidak dapat berangkat. Juga pada tahun 2019, serangan dunia maya yang dahsyat menyebabkan pemadaman listrik .
Konsekuensi dari serangan DDoS kini dialami tidak hanya oleh pengguna online, namun juga oleh orang-orang, seperti yang mereka katakan, IRL (dalam kehidupan nyata). Meskipun sebelumnya penyerang hanya menargetkan layanan online, tujuan mereka kini sering kali adalah mengganggu operasi bisnis apa pun. Kami memperkirakan bahwa saat ini lebih dari 60% serangan mempunyai tujuan seperti itu - untuk pemerasan atau persaingan tidak sehat. Transaksi dan logistik sangat rentan.
Lebih pintar dan lebih mahal
DDoS terus dianggap sebagai salah satu jenis kejahatan dunia maya yang paling umum dan paling cepat berkembang. Menurut para ahli, mulai tahun 2020 jumlah mereka akan terus bertambah. Hal ini disebabkan oleh berbagai alasan - dengan transisi bisnis online yang semakin besar akibat pandemi ini, dan dengan berkembangnya industri bayangan kejahatan dunia maya, dan bahkan dengan .
Serangan DDoS pernah menjadi “populer” karena kemudahan penerapannya dan biaya rendah: hanya beberapa tahun yang lalu serangan ini dapat diluncurkan dengan biaya $50 per hari. Saat ini, target dan metode serangan telah berubah, sehingga meningkatkan kompleksitas dan, akibatnya, biaya. Tidak, harga mulai dari $5 per jam masih ada dalam daftar harga (ya, penjahat dunia maya memiliki daftar harga dan jadwal tarif), namun untuk situs web dengan perlindungan mereka sudah meminta mulai dari $400 per hari, dan biaya pesanan “individu” untuk perusahaan besar mencapai beberapa ribu dolar.
Saat ini ada dua jenis utama serangan DDoS. Tujuan pertama adalah membuat sumber daya online tidak tersedia untuk jangka waktu tertentu. Penyerang mengenakan biaya untuk mereka selama serangan itu sendiri. Dalam kasus ini, operator DDoS tidak peduli dengan hasil spesifik apa pun, dan klien sebenarnya membayar di muka untuk melancarkan serangan. Cara seperti ini cukup murah.
Tipe kedua adalah serangan yang dibayar hanya ketika hasil tertentu tercapai. Lebih menarik dengan mereka. Cara ini jauh lebih sulit untuk diterapkan dan oleh karena itu jauh lebih mahal, karena penyerang harus memilih metode yang paling efektif untuk mencapai tujuan mereka. Di Variti, terkadang kami memainkan seluruh permainan catur dengan penjahat dunia maya, di mana mereka langsung mengubah taktik dan alat serta mencoba membobol beberapa kerentanan di berbagai tingkatan sekaligus. Ini jelas merupakan serangan tim di mana para peretas tahu betul bagaimana bereaksi dan melawan tindakan para pembela HAM. Mengatasinya tidak hanya sulit, tetapi juga sangat mahal bagi perusahaan. Misalnya, salah satu klien kami, pengecer online besar, memiliki tim yang terdiri dari 30 orang selama hampir tiga tahun, yang tugasnya memerangi serangan DDoS.
Menurut Variti, serangan DDoS sederhana yang dilakukan murni karena kebosanan, trolling, atau ketidakpuasan terhadap perusahaan tertentu saat ini menyumbang kurang dari 10% dari seluruh serangan DDoS (tentu saja, sumber daya yang tidak dilindungi mungkin memiliki statistik berbeda, kami melihat data pelanggan kami). . Segala sesuatu yang lain adalah hasil kerja tim profesional. Namun, tiga perempat dari seluruh bot “buruk” adalah bot kompleks yang sulit dideteksi menggunakan sebagian besar solusi pasar modern. Mereka meniru perilaku pengguna atau browser sebenarnya dan memperkenalkan pola yang menyulitkan untuk membedakan antara permintaan “baik” dan “buruk”. Hal ini membuat serangan kurang terlihat sehingga lebih efektif.
Data dari GlobalDots
Target DDoS baru
Laporan dari analis dari GlobalDots mengatakan bahwa bot sekarang menghasilkan 50% dari seluruh lalu lintas web, dan 17,5% di antaranya adalah bot jahat.
Bot tahu cara menghancurkan kehidupan perusahaan dengan berbagai cara: selain fakta bahwa mereka “menghancurkan” situs web, mereka sekarang juga terlibat dalam peningkatan biaya iklan, mengklik iklan, menguraikan harga untuk mengurangi biaya satu sen dan memikat pembeli, dan mencuri konten untuk berbagai tujuan buruk (misalnya, baru-baru ini kami tentang situs dengan konten curian yang memaksa pengguna memecahkan captcha orang lain). Bot sangat mendistorsi berbagai statistik bisnis, dan akibatnya, keputusan dibuat berdasarkan data yang salah. Serangan DDoS sering kali menjadi kedok untuk kejahatan yang lebih serius seperti peretasan dan pencurian data. Dan sekarang kita melihat bahwa jenis ancaman dunia maya yang benar-benar baru telah ditambahkan - ini adalah gangguan terhadap proses bisnis tertentu suatu perusahaan, seringkali offline (karena saat ini tidak ada yang bisa sepenuhnya “offline”). Seringkali kita melihat proses logistik dan komunikasi dengan pelanggan terputus.
"Tidak terkirim"
Proses bisnis logistik adalah kunci bagi sebagian besar perusahaan, sehingga sering kali diserang. Berikut adalah skenario serangan yang mungkin terjadi.
Stok habis
Jika Anda bekerja di bidang perdagangan online, Anda mungkin sudah familiar dengan masalah pesanan palsu. Saat diserang, bot membebani sumber daya logistik dan membuat barang tidak tersedia bagi pembeli lain. Untuk melakukan ini, mereka melakukan pesanan palsu dalam jumlah besar, sama dengan jumlah maksimum produk yang ada dalam stok. Barang-barang ini kemudian tidak dibayar dan setelah beberapa waktu dikembalikan ke lokasi. Namun akta tersebut telah dilakukan: mereka ditandai sebagai “stok habis”, dan beberapa pembeli sudah beralih ke pesaing. Taktik ini terkenal di industri tiket pesawat, di mana bot terkadang langsung “menjual” semua tiket segera setelah tersedia. Misalnya, salah satu klien kami, sebuah maskapai penerbangan besar, menderita akibat serangan yang dilakukan oleh pesaing Tiongkok. Hanya dalam dua jam, bot mereka memesan 100% tiket ke tujuan tertentu.
Bot sepatu kets
Skenario populer berikutnya: bot langsung membeli seluruh lini produk, dan pemiliknya kemudian menjualnya dengan harga yang melambung (rata-rata markup 200%). Bot semacam ini disebut bot sneakers, karena masalah ini sudah banyak diketahui di industri fashion sneakers, khususnya koleksi terbatas. Bot membeli jalur baru yang baru saja muncul dalam beberapa menit, sambil memblokir sumber daya sehingga pengguna sebenarnya tidak dapat melewatinya. Ini adalah kasus yang jarang terjadi ketika bot ditulis di majalah-majalah modis yang mengkilap. Padahal pada umumnya reseller tiket acara keren seperti pertandingan sepak bola menggunakan skenario yang sama.
Skenario lainnya
Tapi bukan itu saja. Ada versi serangan yang lebih kompleks terhadap logistik, yang mengancam kerugian serius. Hal ini dapat dilakukan jika layanan memiliki opsi “Pembayaran setelah penerimaan barang”. Bot meninggalkan pesanan palsu untuk barang-barang tersebut, menunjukkan alamat palsu atau bahkan asli dari orang yang tidak menaruh curiga. Dan perusahaan mengeluarkan biaya besar untuk pengiriman, penyimpanan, dan pencarian detail. Saat ini, barang tidak tersedia untuk pelanggan lain, dan barang tersebut juga memakan tempat di gudang.
Apa lagi? Bot meninggalkan ulasan buruk palsu dalam jumlah besar tentang produk, mengganggu fungsi “pengembalian pembayaran”, memblokir transaksi, mencuri data pelanggan, mengirim spam ke pelanggan asli - ada banyak pilihan. Contoh yang baik adalah serangan baru-baru ini terhadap DHL, Hermes, AldiTalk, Freenet, Snipes.com. Peretas , bahwa mereka sedang “menguji sistem perlindungan DDoS,” namun pada akhirnya mereka menghentikan portal klien bisnis perusahaan dan semua API. Akibatnya, terjadi gangguan besar dalam pengiriman barang ke pelanggan.
Telepon besok
Tahun lalu, Komisi Perdagangan Federal (FTC) melaporkan adanya peningkatan dua kali lipat keluhan dari kalangan bisnis dan pengguna mengenai spam dan panggilan bot telepon palsu. Menurut beberapa perkiraan, jumlahnya mencapai semua panggilan.
Seperti halnya DDoS, tujuan TDoS—serangan bot besar-besaran pada ponsel—mulai dari “hoaks” hingga kompetisi yang tidak bermoral. Bot dapat membebani pusat kontak dan mencegah pelanggan sebenarnya terlewatkan. Metode ini efektif tidak hanya untuk call center dengan operator “live”, tetapi juga di mana sistem AVR digunakan. Bot juga dapat menyerang saluran komunikasi lain dengan pelanggan secara besar-besaran (obrolan, email), mengganggu pengoperasian sistem CRM, dan bahkan, sampai batas tertentu, berdampak negatif pada manajemen personalia karena operator kelebihan beban dalam upaya mengatasi krisis. Serangan ini juga dapat disinkronkan dengan serangan DDoS tradisional terhadap sumber daya online korban.
Baru-baru ini, serangan serupa mengganggu pekerjaan layanan penyelamatan di AS - orang-orang biasa yang sangat membutuhkan bantuan tidak dapat melewatinya. Sekitar waktu yang sama, Kebun Binatang Dublin mengalami nasib yang sama, dengan setidaknya 5000 orang menerima pesan teks SMS spam yang mendorong mereka untuk segera menghubungi nomor telepon kebun binatang dan menanyakan orang fiktif.
Tidak akan ada Wi-Fi
Penjahat dunia maya juga dapat dengan mudah memblokir seluruh jaringan perusahaan. Pemblokiran IP sering digunakan untuk melawan serangan DDoS. Namun ini bukan hanya praktik yang tidak efektif, tetapi juga sangat berbahaya. Alamat IP mudah ditemukan (misalnya melalui pemantauan sumber daya) dan mudah diganti (atau dipalsukan). Kami memiliki klien sebelum datang ke Variti yang memblokir IP tertentu hanya mematikan Wi-Fi di kantor mereka sendiri. Ada kasus ketika klien "tergelincir" dengan IP yang diperlukan, dan dia memblokir akses ke sumber dayanya untuk pengguna dari seluruh wilayah, dan tidak menyadarinya untuk waktu yang lama, karena jika tidak, seluruh sumber daya berfungsi dengan sempurna.
Apa yang baru?
Ancaman baru memerlukan solusi keamanan baru. Namun ceruk pasar baru ini baru mulai muncul. Ada banyak solusi untuk menangkis serangan bot sederhana secara efektif, namun dengan serangan bot yang rumit, hal ini tidak sesederhana itu. Banyak solusi yang masih mempraktikkan teknik pemblokiran IP. Pihak lain memerlukan waktu untuk mengumpulkan data awal untuk memulai, dan waktu 10-15 menit tersebut dapat menjadi kerentanan. Ada solusi berdasarkan pembelajaran mesin yang memungkinkan Anda mengidentifikasi bot berdasarkan perilakunya. Dan pada saat yang sama, tim dari pihak “lain” membanggakan bahwa mereka telah memiliki bot yang dapat meniru pola nyata, tidak dapat dibedakan dari pola manusia. Belum jelas siapa yang akan menang.
Apa yang harus dilakukan jika Anda harus berhadapan dengan tim bot profesional dan serangan multi-tahap yang kompleks di beberapa level sekaligus?
Pengalaman kami menunjukkan bahwa Anda perlu fokus memfilter permintaan tidak sah tanpa memblokir alamat IP. Serangan DDoS yang kompleks memerlukan pemfilteran pada beberapa level sekaligus, termasuk level transport, level aplikasi, dan antarmuka API. Berkat ini, bahkan serangan berfrekuensi rendah pun dapat dihalau yang biasanya tidak terlihat sehingga sering terlewatkan. Terakhir, semua pengguna sebenarnya harus diizinkan masuk, meskipun serangan sedang aktif.
Kedua, perusahaan memerlukan kemampuan untuk membuat sistem perlindungan multi-tahap mereka sendiri, yang selain alat untuk mencegah serangan DDoS, juga akan memiliki sistem bawaan untuk melawan penipuan, pencurian data, perlindungan konten, dan sebagainya.
Ketiga, mereka harus bekerja secara real time sejak permintaan pertama - kemampuan untuk merespons insiden keamanan secara instan sangat meningkatkan kemungkinan mencegah serangan atau mengurangi kekuatan destruktifnya.
Dalam waktu dekat: manajemen reputasi dan pengumpulan data besar menggunakan bot
Sejarah DDoS telah berkembang dari yang sederhana hingga yang kompleks. Pada awalnya, tujuan penyerang adalah menghentikan kerja situs tersebut. Mereka kini merasa lebih efisien untuk menargetkan proses bisnis inti.
Kecanggihan serangan akan terus meningkat, hal ini tidak bisa dihindari. Ditambah apa yang dilakukan bot jahat sekarang - pencurian dan pemalsuan data, pemerasan, spam - bot akan mengumpulkan data dari sejumlah besar sumber (Big Data) dan membuat akun palsu yang “kuat” untuk manajemen pengaruh, reputasi, atau phishing massal.
Saat ini, hanya perusahaan besar yang mampu berinvestasi dalam perlindungan DDoS dan bot, namun mereka tidak selalu dapat sepenuhnya memantau dan memfilter lalu lintas yang dihasilkan oleh bot. Satu-satunya hal positif tentang fakta bahwa serangan bot menjadi lebih kompleks adalah hal ini merangsang pasar untuk menciptakan solusi keamanan yang lebih cerdas dan canggih.
Bagaimana menurut Anda - bagaimana industri perlindungan bot akan berkembang dan solusi apa yang dibutuhkan di pasar saat ini?
Sumber: www.habr.com