DDoS がオフラインになる

数年前、研究機関や情報セキュリティ サービス プロバイダーが次のような報告を始めました。 低下 DDoS 攻撃の数。 しかし、1 年の第 2019 四半期までに、同じ研究者が驚くべき成果を報告しました。 身長 на 84%. А дальше все пошло по нарастающей. Даже пандемия не поспособствовала атмосфере мира — напротив, киберпреступники и спамеры посчитали это прекрасным сигналом к атаке, и объем DDoS вырос 二度.

私たちは、単純で簡単に検出できる DDoS 攻撃 (およびそれを防止できる単純なツール) の時代は終わったと考えています。 サイバー犯罪者は、これらの攻撃を隠蔽し、実行することがますます巧妙になってきています。 闇の業界は、総当たり攻撃からアプリケーション レベルの攻撃に移行しています。 彼女は、完全にオフラインのプロセスを含むビジネス プロセスを破壊するという重大な命令を受けています。

現実への侵入

2017 年、スウェーデンの交通サービスを標的とした一連の DDoS 攻撃により、攻撃が長期化しました。 電車の遅延。 2019年、デンマーク国有鉄道運営会社は、 ダンスクStatsbaner 販売システムがダウンしてしまいました。 その結果、駅の券売機や自動改札機が作動せず、15万2019千人以上の乗客が駅から出ることができなくなった。 XNUMX年にも強力なサイバー攻撃により停電が発生しました。 ベネズエラ.

DDoS 攻撃の影響は、オンライン ユーザーだけでなく、IRL (実生活) と呼ばれる人々も経験するようになりました。 攻撃者はこれまでオンライン サービスのみをターゲットにしてきましたが、現在ではあらゆるビジネス運営を妨害することが攻撃の目的となっていることがよくあります。 現在、攻撃の 60% 以上が、恐喝や不正競争などの目的を持っていると推定されています。 取引と物流は特に脆弱です。

よりスマートに、より高価に

DDoS は、最も一般的かつ急速に成長している種類のサイバー犯罪の 2020 つと考えられ続けています。 専門家によると、XNUMX年からその数は増える一方だという。 これにはさまざまな理由が関係しています。パンデミックによるビジネスのオンラインへの移行がさらに進んでいること、サイバー犯罪という影の産業の発展、さらには 5Gの普及.

DDoS 攻撃は、導入が簡単でコストが低いため、一時的に「人気」になりました。ほんの数年前には、50 日あたり 5 ドルで攻撃を開始できました。 現在、攻撃のターゲットと手法は両方とも変化しており、攻撃は複雑になり、その結果、コストが増加しています。 いいえ、料金表には 400 時間あたり XNUMX ドルからの料金がまだ記載されています (はい、サイバー犯罪者は料金表と料金表を持っています)。ただし、保護機能のある Web サイトの場合、彼らはすでに XNUMX 日あたり XNUMX ドルからの料金を要求しており、大企業の「個人」注文のコストは数千ドルに達します。

現在、DDoS 攻撃には主に XNUMX つのタイプがあります。 最初の目標は、オンライン リソースを一定期間利用できないようにすることです。 攻撃者は攻撃自体中に料金を請求します。 この場合、DDoS オペレーターは特定の結果を気にせず、クライアントは実際に攻撃を開始するために前払いを支払います。 このような方法は非常に安価です。

30 番目のタイプは、特定の結果が達成された場合にのみ報酬が支払われる攻撃です。 そっちのほうが面白いよ。 攻撃者は目的を達成するために最も効果的な方法を選択する必要があるため、実装がはるかに難しく、そのためコストも大幅に高くなります。 Variti では、サイバー犯罪者と完全なチェス ゲームを行うこともあります。サイバー犯罪者は即座に戦術やツールを変更し、複数のレベルで複数の脆弱性に同時に侵入しようとします。 これらは明らかにチーム攻撃であり、ハッカーは防御側の行動にどのように反応し、対抗するかを完全に熟知しています。 それらに対処することは困難であるだけでなく、企業にとって非常にコストがかかります。 たとえば、当社の顧客の XNUMX つである大手オンライン小売業者は、DDoS 攻撃と戦うことを任務とする XNUMX 人からなるチームをほぼ XNUMX 年間維持していました。

Variti によると、純粋に退屈、荒らし、または特定の企業への不満から実行される単純な DDoS 攻撃は、現在、すべての DDoS 攻撃の 10% 未満を占めています (もちろん、保護されていないリソースには異なる統計がある可能性があります。当社の顧客データを確認しています)。 。 それ以外はすべてプロのチームの仕事です。 ただし、すべての「悪い」ボットの XNUMX 分の XNUMX は、最新の市場ソリューションを使用して検出するのが難しい複雑なボットです。 これらは実際のユーザーやブラウザの動作を模倣し、「良い」リクエストと「悪い」リクエストの区別を困難にするパターンを導入します。 これにより、攻撃が目立たなくなり、より効果的になります。

GlobalDots からのデータ

新しい DDoS ターゲット

レポート 不正なボットのレポート GlobalDots のアナリストによると、現在ではボットがすべての Web トラフィックの 50% を生成しており、そのうち 17,5% が悪意のあるボットであるとのことです。

ボットは、さまざまな方法で企業の生活を台無しにする方法を知っています。Web サイトを「クラッシュ」させるという事実に加えて、ボットは現在、広告費を増やしたり、広告をクリックしたり、価格を解析して XNUMX ペニーでも安くすることにも従事しています。購入者をおびき寄せ、さまざまな悪い目的でコンテンツを盗みます（たとえば、最近では писали ユーザーに他人のキャプチャの解決を強制する、盗まれたコンテンツを含むサイトについて）。 ボットはさまざまなビジネス統計を大幅に歪め、その結果、誤ったデータに基づいて意思決定が行われます。 DDoS 攻撃は、ハッキングやデータ盗難などのさらに重大な犯罪の煙幕となることがよくあります。 そして今、まったく新しい種類のサイバー脅威が追加されていることがわかります。これは、多くの場合オフラインで行われる、企業の特定のビジネスプロセスの作業の中断です（現代では完全に「オフライン」になるものは存在しないため）。 特に物流プロセスや顧客とのコミュニケーションがうまくいかないことがよく見られます。

「配達されませんでした」

物流ビジネス プロセスはほとんどの企業にとって重要であるため、頻繁に攻撃されます。 考えられる攻撃シナリオは次のとおりです。

利用不可

オンライン商取引に従事している場合は、おそらくすでに偽の注文の問題に精通しているでしょう。 ボットが攻撃されると、物流リソースに過負荷がかかり、他の購入者が商品を入手できなくなります。 これを行うために、彼らは在庫製品の最大数に等しい膨大な数の偽の注文を出します。 これらの商品は代金が支払われず、しばらくしてからサイトに返却されます。 しかし、その行為はすでに行われており、それらは「在庫切れ」としてマークされており、一部の購入者はすでに競合他社に行っています。 この戦術は航空券発行業界ではよく知られており、ボットがすべてのチケットを入手可能になるとすぐに即座に「売り切る」ことがあります。 たとえば、当社のクライアントの 100 つである大手航空会社は、中国の競合他社によって組織されたこのような攻撃の被害に遭いました。 わずか XNUMX 時間で、ボットは特定の目的地へのチケットの XNUMX% を注文しました。

スニーカーボット

次に一般的なシナリオは、ボットが製品の全ラインを瞬時に購入し、所有者が後でそれらをつり上げた価格 (平均 200% の値上げ) で販売するというものです。 この問題はファッション スニーカー業界、特に限定コレクションではよく知られているため、このようなボットはスニーカー ボットと呼ばれます。 ボットは、実際のユーザーがそこを通過できないようにリソースをブロックしながら、ほぼ数分で現れたばかりの新しい回線を買収しました。 これは、流行の光沢のある雑誌でボットについて書かれた珍しいケースです。 ただし、一般に、サッカーの試合などのクールなイベントのチケットの再販業者も同じシナリオを使用します。

その他のシナリオ

しかし、それだけではありません。 物流に対する攻撃にはさらに複雑なバージョンがあり、深刻な損失が発生する恐れがあります。 これは、サービスに「商品受け取り時の支払い」オプションがある場合に行うことができます。 ボットはそのような商品の偽の注文を残し、何も疑っていない人々の偽の住所、または実際の住所を示します。 そして企業は、配送、保管、詳細の調査に多大なコストがかかります。 現時点では、商品は他の顧客が入手できず、倉庫内のスペースも占有します。

ほかに何か？ ボットは、製品について大量の偽の悪いレビューを残し、「支払いの返品」機能を妨害し、取引をブロックし、顧客データを盗み、実際の顧客にスパムを送信するなど、選択肢はたくさんあります。 良い例は、DHL、Hermes、AldiTalk、Freenet、Snipes.com に対する最近の攻撃です。 ハッカー ふりをした、「DDoS 防御システムをテストしている」と主張しましたが、最終的には会社のビジネス クライアント ポータルとすべての API を停止しました。 その結果、顧客への商品の配送に大規模な中断が発生しました。

明日電話してください

昨年、連邦取引委員会（FTC）は、スパムや詐欺的な電話ボット通話に関する企業やユーザーからの苦情が倍増したと報告しました。 いくつかの推定によると、それらは次のようになります。 ほぼ50％ すべての通話。

DDoS と同様、TDoS (携帯電話に対する大規模なボット攻撃) の目的は、「デマ」から悪質な競争まで多岐にわたります。 ボットはコンタクト センターに過負荷をかけ、実際の顧客を逃すことを防ぐ可能性があります。 この方法は、オペレーターが「常駐」しているコールセンターだけでなく、AVR システムが使用されている場合にも有効です。 また、ボットは、顧客との他のコミュニケーション チャネル (チャット、電子メール) を大規模に攻撃し、CRM システムの運用を混乱させ、オペレーターが危機に対処するために過負荷になっているため、人事管理にある程度悪影響を与える可能性もあります。 この攻撃は、被害者のオンライン リソースに対する従来の DDoS 攻撃と同期させることもできます。

最近、同様の攻撃により救助活動が中断されました。 911 アメリカでは、緊急に助けを必要としている一般の人たちは、ただ助けを求めることができませんでした。 同じ頃、ダブリン動物園も同じ運命に陥り、少なくとも 5000 人が動物園の電話番号に緊急に電話して架空の人物を尋ねるよう促すスパム SMS テキスト メッセージを受信しました。

Wi-Fiがなくなる

サイバー犯罪者は、企業ネットワーク全体を簡単にブロックすることもできます。 IP ブロッキングは、DDoS 攻撃に対抗するためによく使用されます。 しかし、これは効果がないだけでなく、非常に危険な行為でもあります。 IP アドレスは (リソース監視などにより) 簡単に見つけられ、簡単に置き換え (またはなりすまし) できます。 Variti に来る前に、特定の IP をブロックするとオフィス内の Wi-Fi がオフになるだけだというクライアントがいました。 クライアントが必要な IP を「すり抜け」、リージョン全体からのユーザーのリソースへのアクセスをブロックし、それ以外の場合はリソース全体が完全に機能していたため、長い間これに気付かなかったというケースがありました。

何が新しいの？

新たな脅威には、新たなセキュリティ ソリューションが必要です。 ただし、この新しいニッチ市場はまだ出現し始めたばかりです。 単純なボット攻撃を効果的に撃退するためのソリューションは数多くありますが、複雑なボット攻撃の場合はそれほど単純ではありません。 多くのソリューションでは依然として IP ブロック技術が実践されています。 開始するために初期データを収集する時間が必要な場合もあり、その 10 ～ 15 分が脆弱性になる可能性があります。 機械学習に基づいたソリューションがあり、ボットの動作によってボットを識別できます。 そして同時に、「反対側」のチームは、人間のパターンと見分けがつかない、実際のパターンを模倣できるボットをすでに持っていると自慢します。 誰が勝つかはまだ明らかではない。

プロのボット チームや複数のレベルの複雑な多段階攻撃に一度に対処しなければならない場合はどうすればよいでしょうか?

私たちの経験によれば、IP アドレスをブロックせずに、不正なリクエストをフィルタリングすることに重点を置く必要があります。 複雑な DDoS 攻撃では、トランスポート レベル、アプリケーション レベル、API インターフェイスなど、複数のレベルで一度にフィルタリングする必要があります。 これにより、普段は目に見えず見逃しがちな低周波攻撃も撃退することが可能です。 最後に、攻撃がアクティブである間でも、すべての実際のユーザーの通過を許可する必要があります。

第 XNUMX に、企業は独自の多段階保護システムを構築する能力が必要です。このシステムには、DDoS 攻撃を防止するツールに加えて、詐欺、データ盗難、コンテンツ保護などに対するシステムが組み込まれています。

第三に、最初のリクエストからリアルタイムで機能する必要があります。セキュリティ インシデントに即座に対応できるため、攻撃を防止したり、その破壊力を軽減したりできる可能性が大幅に高まります。

近未来: ボットを使用した評判管理とビッグデータ収集
DDoS の歴史は、単純なものから複雑なものへと進化してきました。 当初、攻撃者の目的はサイトの動作を停止させることでした。 現在では、中核となるビジネス プロセスをターゲットにする方が効率的であることがわかりました。

攻撃の高度化は今後も進むことは避けられません。 さらに、現在悪質なボットが行っていること (データの盗難や改ざん、恐喝、スパム) に加えて、ボットは多数のソース (ビッグデータ) からデータを収集し、影響力管理、評判、または大規模なフィッシングのために「強力な」偽アカウントを作成します。

現在、DDoS とボット保護に投資する余裕があるのは大企業だけですが、その企業であっても、ボットによって生成されるトラフィックを常に完全に監視およびフィルタリングできるわけではありません。 ボット攻撃がより複雑になっていることの唯一の利点は、市場がよりスマートで高度なセキュリティ ソリューションを作成するよう刺激されていることです。

ボット保護業界はどのように発展し、現在市場でどのようなソリューションが必要とされているのか、どう思いますか?

出所： habr.com