Бір-екі жыл бұрын ғылыми-зерттеу агенттіктері мен ақпараттық қауіпсіздік қызметтерін жеткізушілер есеп бере бастады DDoS шабуылдарының саны. Бірақ 1 жылдың 2019-тоқсанында сол зерттеушілер өздерінің таңғажайыптары туралы хабарлады 84%-ға. Содан кейін бәрі күш-қуатқа айналды. Тіпті пандемия бейбітшілік атмосферасына ықпал етпеді - керісінше, киберқылмыскерлер мен спамерлер мұны шабуылға тамаша сигнал деп санады және DDoS көлемі артты. .
Қарапайым, оңай анықталатын DDoS шабуылдарының (және олардың алдын алатын қарапайым құралдардың) уақыты аяқталды деп санаймыз. Киберқылмыскерлер бұл шабуылдарды жасырып, оларды күрделілікпен жүзеге асыруда жақсырақ болды. Қараңғы индустрия дөрекі күштен қолданбалы деңгейдегі шабуылдарға көшті. Ол бизнес-процестерді, соның ішінде өте офлайнды да жоюға елеулі тапсырыстар алады.
Шындыққа кіру
2017 жылы швед көлік қызметтеріне бағытталған DDoS шабуылдарының сериясы ұзаққа созылды. . 2019 жылы Данияның ұлттық теміржол операторы Сату жүйелері төмендеді. Соның салдарынан вокзалдарда билет автоматтары мен автоматты қақпалар жұмыс істемей, 15 мыңнан астам жолаушы шыға алмай қалды. Сондай-ақ 2019 жылы қуатты кибершабуыл электр қуатының үзілуіне себеп болды .
DDoS-шабуылдардың салдарын енді желідегі қолданушылар ғана емес, адамдар да бастан кешуде, олар айтқандай, IRL (нақты өмірде). Шабуылдаушылар тарихи түрде тек онлайн қызметтерді ғана мақсат тұтқанымен, олардың мақсаты көбінесе кез келген бизнес операцияларын бұзу болып табылады. Біздің бағалауымызша, бүгінгі күні шабуылдардың 60% -дан астамы осындай мақсатқа ие - бопсалау немесе жосықсыз бәсекелестік. Әсіресе транзакциялар мен логистика осал.
Ақылдырақ және қымбатырақ
DDoS киберқылмыстардың ең кең тараған және ең жылдам дамып келе жатқан түрлерінің бірі ретінде қарастырылуда. Мамандардың айтуынша, 2020 жылдан бастап олардың саны тек қана артады. Бұл әртүрлі себептермен байланысты - пандемияға байланысты бизнестің онлайн режиміне көшуімен және киберқылмыстың көлеңкелі индустриясының дамуымен және тіпті .
DDoS-шабуылдары орналастырудың қарапайымдылығына және арзан құнына байланысты бір уақытта «танымал» болды: бірнеше жыл бұрын оларды күніне 50 долларға іске қосуға болады. Бүгінгі таңда шабуылдың мақсаттары да, әдістері де өзгерді, олардың күрделілігін және нәтижесінде құнын арттырды. Жоқ, сағатына 5 доллардан басталатын бағалар әлі де прейскуранттарда (иә, киберқылмыскерлердің прейскуранттары мен тарифтік кестелері бар), бірақ қорғанысы бар веб-сайт үшін олар күніне 400 долларды және ірі компаниялар үшін «жеке» тапсырыстардың құнын талап етеді. бірнеше мың долларға жетеді.
Қазіргі уақытта DDoS шабуылдарының екі негізгі түрі бар. Бірінші мақсат - белгілі бір уақыт аралығында интернет-ресурсты қолжетімсіз ету. Шабуылшылар шабуылдың өзі кезінде олар үшін зарядталады. Бұл жағдайда DDoS операторы қандай да бір нақты нәтижеге мән бермейді және клиент шабуылды бастау үшін іс жүзінде алдын ала төлейді. Мұндай әдістер өте арзан.
Екінші түрі – белгілі бір нәтижеге жеткенде ғана төленетін шабуылдар. Олармен қызықтырақ. Оларды жүзеге асыру әлдеқайда қиын, сондықтан айтарлықтай қымбатырақ, өйткені шабуылдаушылар өз мақсаттарына жету үшін ең тиімді әдістерді таңдауы керек. Variti-де біз кейде киберқылмыскерлермен толық шахмат ойындарын ойнаймыз, онда олар бірден тактика мен құралдарды өзгертеді және бірден бірнеше деңгейде бірнеше осалдықтарды бұзуға тырысады. Бұл хакерлер қорғаушылардың әрекетіне қалай әрекет ету және қарсы тұру керектігін жақсы білетін командалық шабуылдар. Олармен күресу қиын ғана емес, сонымен қатар компаниялар үшін өте қымбат. Мысалы, біздің клиенттеріміздің бірі, ірі онлайн сатушы, DDoS шабуылдарымен күресу міндеті болған 30 адамнан тұратын команданы үш жылға жуық ұстады.
Variti мәліметтері бойынша, қарапайым DDoS шабуылдары тек зерігу, троллинг немесе белгілі бір компанияға қанағаттанбау үшін жасалған барлық DDoS шабуылдарының 10% -дан азын құрайды (әрине, қорғалмаған ресурстарда әртүрлі статистика болуы мүмкін, біз тұтынушы деректерін қарастырамыз ) . Қалғанының бәрі кәсіби командалардың жұмысы. Дегенмен, барлық «жаман» боттардың төрттен үш бөлігі заманауи нарық шешімдерінің көпшілігін пайдалану арқылы анықтау қиын болатын күрделі боттар. Олар нақты пайдаланушылардың немесе браузерлердің мінез-құлқына еліктейді және «жақсы» және «жаман» сұрауларды ажыратуды қиындататын үлгілерді енгізеді. Бұл шабуылдарды азырақ байқалмайды, сондықтан тиімдірек етеді.
GlobalDots деректері
Жаңа DDoS мақсаттары
Есеп GlobalDots сарапшыларының айтуынша, қазір боттар барлық веб-трафиктің 50% құрайды және олардың 17,5% -ы зиянды боттар.
Боттар компаниялардың өмірін әр түрлі жолмен қалай бұзуға болатынын біледі: олар веб-сайттарды «бұзудан» басқа, олар енді жарнамалық шығындарды көбейтумен, жарнамаларды басумен, оларды бір тиынға азайту үшін бағаларды талдаумен айналысады. сатып алушыларды тартып алу және әртүрлі жаман мақсаттар үшін мазмұнды ұрлау (мысалы, біз жақында пайдаланушыларды басқа адамдардың captchaларын шешуге мәжбүрлейтін ұрланған мазмұны бар сайттар туралы). Боттар әртүрлі бизнес статистикасын қатты бұрмалайды және нәтижесінде қате деректер негізінде шешімдер қабылданады. DDoS шабуылы көбінесе бұзу және деректерді ұрлау сияқты одан да ауыр қылмыстар үшін түтін экраны болып табылады. Енді біз киберқауіптердің жаңа класы қосылғанын көріп отырмыз - бұл компанияның кейбір бизнес-процестерінің жұмысының бұзылуы, көбінесе офлайн (себебі біздің уақытымызда ештеңе толығымен «офлайн» бола алмайды). Әсіресе, логистикалық процестер мен тұтынушылармен қарым-қатынастың бұзылатынын жиі көреміз.
«жеткізілмеген»
Логистикалық бизнес-процестер көптеген компаниялар үшін маңызды, сондықтан олар жиі шабуылға ұшырайды. Мұнда ықтимал шабуыл сценарийлері берілген.
Қол жетімді емес
Егер сіз интернет-коммерцияда жұмыс істейтін болсаңыз, онда сіз жалған тапсырыстар мәселесімен бұрыннан таныс болуыңыз мүмкін. Шабуылға ұшыраған кезде боттар логистикалық ресурстарды шамадан тыс жүктеп, тауарларды басқа сатып алушылар үшін қолжетімсіз етеді. Бұл үшін олар қоймадағы өнімдердің максималды санына тең көптеген жалған тапсырыстарды орналастырады. Содан кейін бұл тауарлар төленбейді және біраз уақыттан кейін сайтқа қайтарылады. Бірақ іс жасалды: олар «қоймада жоқ» деп белгіленді, ал кейбір сатып алушылар бәсекелестерге кетті. Бұл тактика әуе билеттерін сату индустриясында жақсы белгілі, мұнда боттар кейде барлық билеттерді қол жетімді болған кезде бірден «сатады». Мысалы, қытайлық бәсекелестер ұйымдастырған осындай шабуылдан біздің клиенттеріміздің бірі – ірі авиакомпания зардап шекті. Екі сағаттың ішінде олардың боттары белгілі бір бағыттарға 100% билеттерге тапсырыс берді.
Кроссовка боттары
Келесі танымал сценарий: боттар өнімдердің бүкіл желісін бірден сатып алады, ал олардың иелері оларды кейінірек жоғары бағамен сатады (орта есеппен 200% үстеме). Мұндай боттарды кроссовка боттары деп атайды, себебі бұл мәселе сән кроссовкалары индустриясында, әсіресе шектеулі жинақтарда жақсы белгілі. Боттар бірнеше минут ішінде пайда болған жаңа желілерді сатып алды, сонымен бірге нақты пайдаланушылар ол жерден өте алмайтындай ресурсты бұғаттады. Бұл боттар туралы сәнді жылтыр журналдарда жазылған сирек жағдай. Жалпы, футбол матчтары сияқты қызықты оқиғаларға билеттерді сатушылар бірдей сценарийді пайдаланады.
Басқа сценарийлер
Бірақ бұл бәрі емес. Логистикаға жасалған шабуылдардың одан да күрделі нұсқасы бар, ол елеулі шығындарға қауіп төндіреді. Бұл қызметте «Тауарды алғаннан кейін төлеу» опциясы болса, жасауға болады. Боттар мұндай тауарларға жалған тапсырыстар қалдырады, олар күдіксіз адамдардың жалған немесе тіпті нақты мекенжайларын көрсетеді. Ал компаниялар жеткізу, сақтау және егжей-тегжейлерді білу үшін үлкен шығындарға ұшырайды. Бұл уақытта тауарлар басқа тұтынушыларға қол жетімді емес, олар да қоймада орын алады.
Тағы да не? Боттар өнімдер туралы жаппай жалған жаман пікірлер қалдырады, «төлемді қайтару» функциясын тоқтатады, транзакцияларды блоктайды, тұтынушы деректерін ұрлайды, нақты тұтынушыларды спам жасайды - көптеген нұсқалар бар. Жақсы мысал - жақында DHL, Hermes, AldiTalk, Freenet, Snipes.com сайттарына жасалған шабуыл. Хакерлер , олар «DDoS қорғау жүйелерін сынап жатыр», бірақ соңында олар компанияның бизнес-клиент порталын және барлық API интерфейстерін қойды. Соның салдарынан тұтынушыларға тауар жеткізуде үлкен үзілістер орын алды.
Ертең қоңырау шалыңыз
Өткен жылы Федералдық сауда комиссиясы (FTC) спам және жалған телефон бот қоңыраулары туралы бизнес пен пайдаланушылардың шағымдарының екі есе өскенін хабарлады. Кейбір бағалаулар бойынша, олар құрайды барлық қоңыраулар.
DDoS сияқты, TDoS мақсаттары - телефондарға жаппай бот шабуылдары - «алаяқтықтан» жосықсыз бәсекеге дейін. Боттар байланыс орталықтарын шамадан тыс жүктеп, шынайы тұтынушыларды жіберіп алудың алдын алады. Бұл әдіс «тірі» операторлары бар байланыс орталықтары үшін ғана емес, сонымен қатар AVR жүйелері қолданылатын жерлерде де тиімді. Сондай-ақ, боттар тұтынушылармен байланысудың басқа арналарына (чат, электрондық пошта) жаппай шабуыл жасай алады, CRM жүйелерінің жұмысын бұзады және тіпті белгілі бір дәрежеде персоналды басқаруға теріс әсер етеді, өйткені операторлар дағдарысты жеңуге тырысады. Шабуылдарды жәбірленушінің онлайн ресурстарына дәстүрлі DDoS шабуылымен синхрондауға болады.
Жақында осындай шабуыл құтқару қызметінің жұмысын тоқтатты АҚШ-та - көмекке мұқтаж қарапайым адамдар өте алмады. Шамамен сол уақытта Дублин хайуанаттар бағы дәл осындай тағдырды бастан өткерді, кем дегенде 5000 XNUMX адам хайуанаттар бағының телефон нөміріне шұғыл түрде қоңырау шалып, жалған адамды сұрауға шақыратын спам SMS-хабарламаларын алды.
Wi-Fi болмайды
Киберқылмыскерлер бүкіл корпоративтік желіні оңай бұғаттауы мүмкін. IP блоктау көбінесе DDoS шабуылдарымен күресу үшін қолданылады. Бірақ бұл тиімсіз ғана емес, сонымен бірге өте қауіпті тәжірибе. IP мекенжайын табу оңай (мысалы, ресурстарды бақылау арқылы) және ауыстыру оңай (немесе жалған). Variti-ге келмес бұрын бізде клиенттер болды, онда белгілі бір IP-ді бұғаттау олардың жеке кеңселерінде Wi-Fi-ды өшіріп тастады. Клиент қажетті IP-мен «тайып» қалған және ол бүкіл аймақтағы пайдаланушыларға өз ресурсына кіруге тыйым салған және оны ұзақ уақыт бойы байқамаған, өйткені әйтпесе бүкіл ресурс тамаша жұмыс істеді.
Не жаңалық?
Жаңа қауіптер жаңа қауіпсіздік шешімдерін талап етеді. Дегенмен, бұл жаңа нарық тауашасы енді ғана пайда бола бастады. Қарапайым бот шабуылдарына қарсы көптеген шешімдер бар, бірақ күрделілерімен бұл оңай емес. Көптеген шешімдер әлі де IP блоктау әдістерін қолданады. Басқаларға бастау үшін бастапқы деректерді жинауға уақыт қажет, ал бұл 10-15 минут осалдыққа айналуы мүмкін. Ботты мінез-құлқы бойынша анықтауға мүмкіндік беретін машиналық оқытуға негізделген шешімдер бар. Сонымен қатар, «басқа» жақтағы командалар адамнан ерекшеленбейтін нақты үлгілерге еліктей алатын боттары бар екенін мақтан етеді. Кімнің жеңетіні әлі белгісіз.
Кәсіби бот командаларымен және бір уақытта бірнеше деңгейде күрделі, көп сатылы шабуылдармен күресуге тура келсе, не істеу керек?
Біздің тәжірибеміз IP мекенжайларын бұғаттамай, заңсыз сұрауларды сүзуге назар аудару керек екенін көрсетеді. Күрделі DDoS шабуылдары тасымалдау деңгейін, қолданба деңгейін және API интерфейстерін қоса, бірден бірнеше деңгейде сүзуді қажет етеді. Осының арқасында әдетте көрінбейтін, сондықтан жиі өткізілмейтін төмен жиілікті шабуылдарды тойтаруға болады. Соңында, шабуыл белсенді болса да, барлық нақты пайдаланушыларға рұқсат етілуі керек.
Екіншіден, компанияларға DDoS-шабуылдардың алдын алу құралдарынан басқа, алаяқтықтан, деректерді ұрлаудан, мазмұнды қорғаудан және т.
Үшіншіден, олар бірінші сұраныстан бастап нақты уақыт режимінде жұмыс істеуі керек - қауіпсіздік инциденттеріне лезде жауап беру мүмкіндігі шабуылдың алдын алу немесе оның жойғыш күшін азайту мүмкіндігін айтарлықтай арттырады.
Жақын болашақ: репутацияны басқару және боттардың көмегімен үлкен деректерді жинау
DDoS тарихы қарапайымнан күрделіге қарай дамыды. Бастапқыда шабуылдаушылардың мақсаты сайттың жұмысын тоқтату болды. Олар енді негізгі бизнес-процестерге бағытталған тиімдірек деп санайды.
Шабуылдардың күрделілігі арта береді, бұл сөзсіз. Сонымен қатар, қазір жаман боттар не істеп жатыр - деректерді ұрлау және бұрмалау, бопсалау, спам - боттар көптеген көздерден (Үлкен деректер) деректерді жинайды және әсерді басқару, бедел немесе жаппай фишинг үшін «мықты» жалған тіркелгілерді жасайды.
Қазіргі уақытта тек ірі компаниялар ғана DDoS және боттарды қорғауға инвестиция сала алады, бірақ олар әрқашан боттармен жасалған трафикті толығымен бақылап, сүзе алмайды. Бот-шабуылдардың күрделене түсуінің жалғыз оң жағы - бұл нарықты ақылды және жетілдірілген қауіпсіздік шешімдерін жасауға ынталандырады.
Сіз қалай ойлайсыз - боттарды қорғау индустриясы қалай дамиды және дәл қазір нарықта қандай шешімдер қажет?
Ақпарат көзі: www.habr.com