Fyrir nokkrum árum fóru rannsóknarstofur og upplýsingaöryggisþjónustuaðilar að tilkynna fjölda DDoS árása. En á 1. ársfjórðungi 2019 greindu sömu vísindamenn frá töfrandi sinni um 84%. Og svo fór allt af krafti. Jafnvel heimsfaraldurinn stuðlaði ekki að andrúmslofti friðar - þvert á móti töldu netglæpamenn og ruslpóstsmiðlar þetta frábært merki um árás og magn DDoS jókst .
Við trúum því að tími einfaldra DDoS árása sem auðvelt er að greina (og einföld tól sem geta komið í veg fyrir þær) sé liðinn. Netglæpamenn hafa orðið betri í að fela þessar árásir og framkvæma þær af aukinni fágun. Myrkri iðnaðurinn hefur færst frá hrottalegu afli yfir í árásir á forritastigi. Hún fær alvarlegar skipanir um að eyðileggja viðskiptaferla, þar á meðal frekar ótengda.
Að brjótast inn í raunveruleikann
Árið 2017 leiddi röð DDoS árása sem beinast að sænskri flutningaþjónustu til lengri tíma . Árið 2019, ríkisjárnbrautarstjóri Danmerkur Sölukerfi fóru niður. Vegna þessa virkuðu miðavélar og sjálfvirk hlið ekki á stöðvunum og rúmlega 15 þúsund farþegar komust ekki út. Einnig árið 2019 olli öflug netárás rafmagnsleysi í .
Afleiðingar DDoS árása verða nú ekki aðeins fyrir notendum á netinu heldur einnig af fólki, eins og sagt er, IRL (í raunveruleikanum). Þó að árásarmenn hafi í gegnum tíðina aðeins beint þjónustu á netinu, er markmið þeirra nú oft að trufla hvers kyns viðskiptarekstur. Við áætlum að í dag hafi meira en 60% árása slíkan tilgang - til fjárkúgunar eða ósanngjarnrar samkeppni. Viðskipti og flutningar eru sérstaklega viðkvæm.
Snjallari og dýrari
DDoS er áfram talin ein algengasta og ört vaxandi tegund netglæpa. Samkvæmt sérfræðingum mun fjöldi þeirra aðeins aukast frá 2020. Þetta tengist ýmsum ástæðum - við enn meiri umskipti í viðskiptum á netinu vegna heimsfaraldursins og við þróun skuggaiðnaðar netglæpa, og jafnvel með .
DDoS árásir urðu „vinsælar“ á sínum tíma vegna auðveldrar uppsetningar og lágs kostnaðar: fyrir aðeins nokkrum árum var hægt að koma þeim af stað fyrir $ 50 á dag. Í dag hafa bæði árásarmarkmið og aðferðir breyst, aukið flækjustig þeirra og þar af leiðandi kostnaður. Nei, verð frá $5 á klukkustund eru enn í verðlistunum (já, netglæpamenn eru með verðskrár og gjaldskrár), en fyrir vefsíðu með vernd krefjast þeir nú þegar frá $400 á dag og kostnað við „einstakar“ pantanir fyrir stór fyrirtæki nær nokkrum þúsundum dollara.
Sem stendur eru tvær megingerðir af DDoS árásum. Fyrsta markmiðið er að gera auðlind á netinu ófáanlegur í ákveðinn tíma. Árásarmenn rukka fyrir þá meðan á árásinni stendur. Í þessu tilviki er DDoS rekstraraðilanum sama um neina sérstaka niðurstöðu og viðskiptavinurinn greiðir í raun fyrirfram til að hefja árásina. Slíkar aðferðir eru frekar ódýrar.
Önnur tegundin eru árásir sem eru aðeins greiddar þegar ákveðinni árangur er náð. Það er áhugaverðara hjá þeim. Þau eru mun erfiðari í framkvæmd og því umtalsvert dýrari, þar sem árásarmenn verða að velja árangursríkustu aðferðirnar til að ná markmiðum sínum. Hjá Variti teflum við stundum heilar skákir með netglæpamönnum, þar sem þeir breyta samstundis um taktík og verkfæri og reyna að brjótast inn í marga veikleika á mörgum stigum í einu. Þetta eru greinilega liðsárásir þar sem tölvuþrjótarnir vita fullkomlega hvernig þeir eiga að bregðast við og vinna gegn aðgerðum varnarmanna. Að takast á við þá er ekki bara erfitt heldur einnig mjög kostnaðarsamt fyrir fyrirtæki. Til dæmis hélt einn af viðskiptavinum okkar, stór söluaðili á netinu, 30 manna teymi í næstum þrjú ár, sem hafði það hlutverk að berjast gegn DDoS árásum.
Samkvæmt Variti eru einfaldar DDoS árásir eingöngu gerðar af leiðindum, trollingum eða óánægju með tiltekið fyrirtæki sem stendur undir 10% af öllum DDoS árásum (auðvitað geta óvarðar auðlindir haft mismunandi tölfræði, við skoðum gögn viðskiptavina okkar) . Allt annað er verk fagteyma. Hins vegar eru þrír fjórðu allra „slæma“ vélmenni flóknir vélmenni sem erfitt er að greina með því að nota flestar nútíma markaðslausnir. Þeir líkja eftir hegðun raunverulegra notenda eða vafra og kynna mynstur sem gera það erfitt að greina á milli „góðra“ og „slæma“ beiðna. Þetta gerir árásir minna áberandi og því skilvirkari.
Gögn frá GlobalDots
Ný DDoS markmið
Skýrsla frá sérfræðingum frá GlobalDots segir að vélmenni myndu nú 50% allrar vefumferðar og 17,5% þeirra eru illgjarn vélmenni.
Vélmenni vita hvernig á að eyðileggja líf fyrirtækja á mismunandi vegu: auk þess að þeir „hrynja“ vefsíður, taka þeir nú einnig þátt í að auka auglýsingakostnað, smella á auglýsingar, flokka verð til að gera þær eyri minna og lokka í burtu kaupendur og stela efni í ýmsum slæmum tilgangi (til dæmis nýlega um síður með stolið efni sem neyða notendur til að leysa captchas annarra). Vélmenni skekkir mjög ýmsa viðskiptatölfræði og þar af leiðandi eru ákvarðanir teknar byggðar á röngum gögnum. DDoS árás er oft reykskjár fyrir enn alvarlegri glæpi eins og reiðhestur og gagnaþjófnað. Og nú sjáum við að alveg nýr flokkur netógna hefur bæst við - þetta er truflun á vinnu ákveðinna viðskiptaferla fyrirtækisins, oft án nettengingar (þar sem á okkar tímum getur ekkert verið algjörlega "offline"). Sérstaklega oft sjáum við að flutningsferlar og samskipti við viðskiptavini bila.
„Ekki afhent“
Viðskiptaferlar flutninga eru lykilatriði fyrir flest fyrirtæki og því er oft ráðist á þau. Hér eru mögulegar atburðarásir.
Ekki í boði
Ef þú vinnur í netverslun, þá ertu líklega þegar kunnugur vandamálinu við falsa pantanir. Þegar ráðist er á þá ofhlaða vélmenni flutningsauðlindir og gera vörur óaðgengilegar öðrum kaupendum. Til að gera þetta leggja þeir inn gríðarlegan fjölda af fölsuðum pöntunum, jafnt og hámarksfjölda vara á lager. Þessar vörur eru síðan ekki greiddar og eftir nokkurn tíma er þeim skilað á síðuna. En verkið hefur þegar verið gert: þeir voru merktir sem „uppselt“ og sumir kaupendur hafa þegar farið til keppinauta. Þessi aðferð er vel þekkt í flugmiðaiðnaðinum, þar sem vélmenni „selja stundum upp“ alla miða samstundis næstum um leið og þeir verða tiltækir. Til dæmis varð einn af viðskiptavinum okkar, stórt flugfélag, fyrir slíkri árás skipulögð af kínverskum keppinautum. Á aðeins tveimur klukkustundum pöntuðu vélmenni þeirra 100% af miðum til ákveðinna áfangastaða.
Strigaskór vélmenni
Næsta vinsæla atburðarás: vélmenni kaupa samstundis heila vörulínu og eigendur þeirra selja þær síðar á uppsprengdu verði (að meðaltali 200% álagning). Slíkir vélmenni eru kallaðir strigaskórbottar, vegna þess að þetta vandamál er vel þekkt í tískustrigaskóaiðnaðinum, sérstaklega takmörkuðum söfnum. Bottar keyptu upp nýjar línur sem voru nýbúnar að birtast á næstum mínútum, en lokuðu auðlindinni svo að raunverulegir notendur gætu ekki komist þar í gegn. Þetta er sjaldgæft tilfelli þegar skrifað var um vélmenni í tísku glanstímaritum. Þó almennt noti söluaðilar miða á flotta viðburði eins og fótboltaleiki sömu atburðarás.
Aðrar aðstæður
En það er ekki allt. Það er enn flóknari útgáfa af árásum á flutninga, sem ógnar alvarlegu tapi. Þetta er hægt að gera ef þjónustan hefur valkostinn „Greiða við móttöku vöru“. Vélmenni skilja eftir fölsuð pantanir fyrir slíkar vörur, sem gefa til kynna fölsuð eða jafnvel raunveruleg heimilisföng grunlausra fólks. Og fyrirtæki bera mikinn kostnað fyrir afhendingu, geymslu og að finna út upplýsingar. Á þessum tíma eru vörur ekki tiltækar öðrum viðskiptavinum og þær taka einnig pláss í vöruhúsinu.
Hvað annað? Vélmenni skilja eftir gríðarlega falsaða slæma dóma um vörur, stöðva „greiðsluskila“ aðgerðina, loka fyrir viðskipti, stela gögnum viðskiptavina, rusla raunverulegum viðskiptavinum - það eru margir möguleikar. Gott dæmi er nýleg árás á DHL, Hermes, AldiTalk, Freenet, Snipes.com. Tölvuþrjótar , að þeir séu að „prófa DDoS verndarkerfi,“ en á endanum settu þeir niður viðskiptaviðskiptavinagátt fyrirtækisins og öll API. Í kjölfarið urðu miklar truflanir á afhendingu vöru til viðskiptavina.
Hringdu á morgun
Á síðasta ári tilkynnti Federal Trade Commission (FTC) um tvöföldun á kvörtunum frá fyrirtækjum og notendum vegna ruslpósts og sviksamlegra símtölum. Samkvæmt sumum áætlunum nema þær kr öll símtöl.
Eins og með DDoS, eru markmið TDoS – gríðarlegar árásir vélmenna á síma – allt frá „gabbi“ til óprúttna samkeppni. Bottar geta ofhlaðið tengiliðamiðstöðvar og komið í veg fyrir að raunverulegir viðskiptavinir sé saknað. Þessi aðferð er áhrifarík ekki aðeins fyrir símaver með „lifandi“ rekstraraðila, heldur einnig þar sem AVR kerfi eru notuð. Vélmenni geta líka ráðist gegn öðrum samskiptaleiðum við viðskiptavini (spjall, tölvupóstur), truflað rekstur CRM kerfa og jafnvel, að einhverju leyti, haft neikvæð áhrif á starfsmannastjórnun, vegna þess að rekstraraðilar eru ofhlaðinir við að reyna að takast á við kreppuna. Einnig er hægt að samstilla árásirnar við hefðbundna DDoS árás á auðlindir fórnarlambsins á netinu.
Nýlega truflaði sambærileg árás starf björgunarsveitarinnar í USA - venjulegt fólk sem vantaði hjálp komst einfaldlega ekki í gegn. Um svipað leyti hlaut dýragarðurinn í Dublin sömu örlög, þar sem að minnsta kosti 5000 manns fengu ruslpóst SMS-skilaboð þar sem þeir voru hvattir til að hringja tafarlaust í símanúmer dýragarðsins og biðja um uppdiktaðan mann.
Það verður ekkert Wi-Fi
Netglæpamenn geta líka auðveldlega lokað fyrir heilt fyrirtækjanet. IP-blokkun er oft notuð til að berjast gegn DDoS árásum. En þetta er ekki aðeins árangurslaus, heldur einnig mjög hættuleg æfing. Auðvelt er að finna IP-tölu (til dæmis með vöktun auðlinda) og auðvelt að skipta um (eða sposka). Við höfum haft viðskiptavini áður en við komum til Variti þar sem lokun á tiltekinni IP slökkti einfaldlega á Wi-Fi á eigin skrifstofum. Það var tilfelli þegar viðskiptavinur var „sleppt“ með tilskilinn IP, og hann lokaði aðgangi að auðlind sinni fyrir notendur frá heilu svæði og tók ekki eftir þessu í langan tíma, því annars virkaði allt auðlindin fullkomlega.
Hvað er nýtt
Nýjar ógnir krefjast nýrra öryggislausna. Hins vegar er þessi nýi markaður rétt að byrja að koma fram. Það eru margar lausnir til að hrekja á áhrifaríkan hátt frá einföldum botnaárásum, en með flóknum er það ekki svo einfalt. Margar lausnir æfa enn IP-blokkunartækni. Aðrir þurfa tíma til að safna fyrstu gögnum til að byrja, og þessar 10-15 mínútur geta orðið varnarleysi. Það eru til lausnir byggðar á vélanámi sem gera þér kleift að bera kennsl á vélmenni með hegðun hans. Og á sama tíma státa lið frá „hinum“ hliðinni því að þau séu nú þegar með vélmenni sem geta líkt eftir raunverulegum mynstrum, óaðgreinanlegt frá mönnum. Ekki er enn ljóst hver sigrar.
Hvað á að gera ef þú þarft að takast á við fagleg lánateymi og flóknar, fjölþrepa árásir á nokkrum stigum í einu?
Reynsla okkar sýnir að þú þarft að einbeita þér að því að sía ólögmætar beiðnir án þess að loka á IP-tölur. Flóknar DDoS árásir krefjast síunar á nokkrum stigum í einu, þar á meðal flutningsstig, forritastig og API viðmót. Þökk sé þessu er hægt að hrinda jafnvel lágtíðniárásum sem eru venjulega ósýnilegar og því oft sleppt. Að lokum verður að hleypa öllum raunverulegum notendum í gegn, jafnvel á meðan árásin er virk.
Í öðru lagi þurfa fyrirtæki getu til að búa til sín eigin fjölþrepa verndarkerfi sem, auk verkfæra til að koma í veg fyrir DDoS árásir, verða með innbyggð kerfi gegn svikum, gagnastuldi, efnisvörn og svo framvegis.
Í þriðja lagi verða þeir að vinna í rauntíma frá fyrstu beiðni - hæfileikinn til að bregðast samstundis við öryggisatvikum eykur verulega líkurnar á að koma í veg fyrir árás eða draga úr eyðileggingarmátt hennar.
Nánari framtíð: orðsporsstjórnun og stór gagnasöfnun með því að nota vélmenni
Saga DDoS hefur þróast úr einföldum í flókna. Í fyrstu var markmið árásarmannanna að koma í veg fyrir að vefurinn virki. Þeim finnst nú skilvirkara að miða við kjarnaviðskiptaferli.
Fágun árása mun halda áfram að aukast, það er óhjákvæmilegt. Auk þess sem slæmir vélmenni eru að gera núna - gagnaþjófnaður og fölsun, fjárkúgun, ruslpóstur - vélmenni munu safna gögnum frá miklum fjölda heimilda (Big Data) og búa til „sterka“ falsa reikninga fyrir áhrifastjórnun, orðspor eða fjöldavefveiðar.
Eins og er, hafa aðeins stór fyrirtæki efni á að fjárfesta í DDoS og botnvörn, en jafnvel þau geta ekki alltaf fylgst með og síað umferð sem myndast af bots. Það eina jákvæða við þá staðreynd að botaárásir eru að verða flóknari er að það örvar markaðinn til að búa til snjallari og fullkomnari öryggislausnir.
Hvað finnst þér - hvernig mun botaverndunariðnaðurinn þróast og hvaða lausnir er þörf á markaðnum núna?
Heimild: www.habr.com