Pirms pāris gadiem sāka ziņot pētniecības aģentūras un informācijas drošības pakalpojumu sniedzēji DDoS uzbrukumu skaits. Taču līdz 1. gada 2019. ceturksnim tie paši pētnieki ziņoja par savu satriecošo par 84%. Un tad viss gāja no spēka uz spēku. Pat pandēmija neveicināja miera atmosfēru - gluži pretēji, kibernoziedznieki un surogātpasta izplatītāji uzskatīja to par lielisku signālu uzbrukumam, un DDoS apjoms pieauga. .
Mēs uzskatām, ka vienkāršu, viegli nosakāmu DDoS uzbrukumu (un vienkāršu rīku, kas tos var novērst) laiks ir beidzies. Kibernoziedzniekiem ir izdevies labāk slēpt šos uzbrukumus un veikt tos arvien sarežģītāk. Tumšā nozare ir pārgājusi no brutāla spēka uz lietojumprogrammu līmeņa uzbrukumiem. Viņa saņem nopietnus rīkojumus iznīcināt biznesa procesus, tostarp diezgan bezsaistē.
Ielaušanās realitātē
2017. gadā virkne DDoS uzbrukumu, kas bija vērsti pret Zviedrijas transporta pakalpojumiem, izraisīja ilgstošu darbību . 2019. gadā Dānijas nacionālais dzelzceļa operators Pārdošanas sistēmas samazinājās. Līdz ar to stacijās nedarbojās biļešu automāti un automātiskie vārti, un vairāk nekā 15 tūkstoši pasažieru nevarēja izbraukt. Arī 2019. gadā spēcīgs kiberuzbrukums izraisīja strāvas padeves pārtraukumu .
DDoS uzbrukumu sekas tagad izjūt ne tikai tiešsaistes lietotāji, bet arī cilvēki, kā saka, IRL (reālajā dzīvē). Lai gan vēsturiski uzbrucēji ir mērķējuši tikai uz tiešsaistes pakalpojumiem, viņu mērķis tagad bieži ir traucēt jebkādu uzņēmējdarbību. Mēs lēšam, ka šobrīd vairāk nekā 60% uzbrukumu ir ar šādu mērķi – izspiešanu vai negodīgu konkurenci. Īpaši neaizsargāti ir darījumi un loģistika.
Gudrāks un dārgāks
DDoS joprojām tiek uzskatīts par vienu no visizplatītākajiem un visstraujāk augošajiem kibernoziedzības veidiem. Pēc ekspertu domām, no 2020. gada to skaits tikai pieaugs. Tas ir saistīts ar dažādiem iemesliem — ar vēl lielāku uzņēmējdarbības pāreju tiešsaistē pandēmijas dēļ un ar kibernoziedzības ēnu nozares attīstību un pat ar .
DDoS uzbrukumi vienā reizē kļuva “populāri” to vienkāršās izvietošanas un zemo izmaksu dēļ: tikai pirms pāris gadiem tos varēja palaist par 50 USD dienā. Mūsdienās ir mainījušies gan uzbrukuma mērķi, gan metodes, palielinot to sarežģītību un līdz ar to arī izmaksas. Nē, cenas no 5 USD stundā joprojām ir cenrāžos (jā, kibernoziedzniekiem ir cenrāži un tarifu grafiki), bet vietnei ar aizsardzību viņi jau prasa no 400 USD dienā un “individuālo” pasūtījumu izmaksas lieliem uzņēmumiem. sasniedz vairākus tūkstošus dolāru.
Pašlaik ir divi galvenie DDoS uzbrukumu veidi. Pirmais mērķis ir padarīt tiešsaistes resursu nepieejamu uz noteiktu laiku. Uzbrucēji par tiem iekasē maksu paša uzbrukuma laikā. Šajā gadījumā DDoS operatoram nerūp kāds konkrēts iznākums, un klients faktiski maksā avansā, lai sāktu uzbrukumu. Šādas metodes ir diezgan lētas.
Otrs veids ir uzbrukumi, par kuriem maksā tikai tad, kad tiek sasniegts noteikts rezultāts. Ar viņiem ir interesantāk. Tos ir daudz grūtāk īstenot, un tāpēc tie ir ievērojami dārgāki, jo uzbrucējiem ir jāizvēlas visefektīvākās metodes savu mērķu sasniegšanai. Variti mēs dažreiz spēlējam veselas šaha spēles ar kibernoziedzniekiem, kur viņi uzreiz maina taktiku un rīkus un mēģina ielauzties vairākās ievainojamībās vairākos līmeņos vienlaikus. Tie nepārprotami ir komandas uzbrukumi, kuros hakeri lieliski zina, kā reaģēt un pretoties aizsargu darbībām. To risināšana ir ne tikai sarežģīta, bet arī ļoti dārga uzņēmumiem. Piemēram, viens no mūsu klientiem, liels tiešsaistes mazumtirgotājs, gandrīz trīs gadus uzturēja 30 cilvēku komandu, kuras uzdevums bija apkarot DDoS uzbrukumus.
Pēc Variti domām, vienkārši DDoS uzbrukumi, kas veikti tikai aiz garlaicības, trollēšanas vai neapmierinātības ar konkrētu uzņēmumu, šobrīd veido mazāk nekā 10% no visiem DDoS uzbrukumiem (protams, neaizsargātiem resursiem var būt atšķirīga statistika, mēs skatāmies uz mūsu klientu datiem ) . Viss pārējais ir profesionālu komandu darbs. Tomēr trīs ceturtdaļas no visiem "sliktajiem" robotiem ir sarežģītas robotprogrammas, kuras ir grūti noteikt, izmantojot lielāko daļu mūsdienu tirgus risinājumu. Tie atdarina reālu lietotāju vai pārlūkprogrammu uzvedību un ievieš modeļus, kas apgrūtina nošķirt “labos” un “sliktos” pieprasījumus. Tas padara uzbrukumus mazāk pamanāmus un tādējādi efektīvākus.
Dati no GlobalDots
Jauni DDoS mērķi
Ziņot GlobalDots analītiķi saka, ka roboti tagad rada 50% no visas tīmekļa trafika, un 17,5% no tiem ir ļaunprātīgi roboti.
Boti prot sabojāt uzņēmumu dzīvi dažādos veidos: papildus tam, ka viņi “avarē” tīmekļa vietnes, viņi tagad nodarbojas arī ar reklāmas izmaksu palielināšanu, klikšķinot uz reklāmām, analizējot cenas, lai tās padarītu par santīmu mazākas un atvilināt pircējus un nozagt saturu dažādiem sliktiem mērķiem (piemēram, mēs nesen par vietnēm ar zagtu saturu, kas liek lietotājiem atrisināt citu personu captchas). Boti ļoti izkropļo dažādu biznesa statistiku, un rezultātā lēmumi tiek pieņemti, pamatojoties uz nepareiziem datiem. DDoS uzbrukums bieži vien ir aizsegs vēl smagākiem noziegumiem, piemēram, uzlaušanai un datu zādzībām. Un tagad mēs redzam, ka ir pievienota pilnīgi jauna kiberdraudu klase - tas ir noteiktu uzņēmuma biznesa procesu darbības traucējumi, bieži vien bezsaistē (jo mūsu laikā nekas nevar būt pilnībā “bezsaistē”). Īpaši bieži redzam, ka izjūk loģistikas procesi un komunikācija ar klientiem.
"Nav piegādāts"
Loģistikas biznesa procesi ir galvenie vairumam uzņēmumu, tāpēc tie bieži tiek uzbrukti. Šeit ir iespējamie uzbrukuma scenāriji.
Nav pieejams
Ja strādājat tiešsaistes tirdzniecībā, iespējams, jau esat iepazinies ar viltotu pasūtījumu problēmu. Uzbrūkot, robotprogrammatūra pārslogo loģistikas resursus un padara preces nepieejamas citiem pircējiem. Lai to izdarītu, viņi veic milzīgu skaitu viltotu pasūtījumu, kas ir vienāds ar maksimālo noliktavā esošo produktu skaitu. Pēc tam par šīm precēm netiek samaksāts un pēc kāda laika tās tiek atgrieztas vietnē. Bet akts jau ir izdarīts: tie tika atzīmēti kā "beigušies", un daži pircēji jau ir devušies pie konkurentiem. Šī taktika ir labi zināma aviobiļešu tirdzniecības nozarē, kur robotprogrammatūra dažkārt uzreiz “izpārdod” visas biļetes gandrīz tiklīdz tās kļūst pieejamas. Piemēram, no šāda Ķīnas konkurentu organizētā uzbrukuma cieta viens no mūsu klientiem, liela aviokompānija. Tikai divu stundu laikā viņu robotprogrammatūra pasūtīja 100% biļešu uz noteiktiem galamērķiem.
Apavi boti
Nākamais populārais scenārijs: robotprogrammatūras uzreiz nopērk visu produktu līniju, un to īpašnieki vēlāk pārdod tos par paaugstinātu cenu (vidēji 200% uzcenojums). Šādus botus sauc par sneakers botiem, jo šī problēma ir labi zināma modes kedu industrijā, īpaši ierobežotās kolekcijās. Boti gandrīz minūtēs nopirka jaunas līnijas, kas tikko bija parādījušās, vienlaikus bloķējot resursu, lai īstie lietotāji nevarētu tur nokļūt. Šis ir rets gadījums, kad par botiem tika rakstīts modes glancētajos žurnālos. Lai gan kopumā biļešu tālākpārdevēji uz foršiem pasākumiem, piemēram, futbola spēlēm, izmanto to pašu scenāriju.
Citi scenāriji
Bet tas vēl nav viss. Ir vēl sarežģītāka versija par uzbrukumiem loģistikai, kas draud ar nopietniem zaudējumiem. To var izdarīt, ja pakalpojumam ir iespēja “Maksājums, saņemot preci”. Boti atstāj viltotus pasūtījumus šādām precēm, norādot viltus vai pat īstas nenojaušot cilvēku adreses. Un uzņēmumiem rodas milzīgas izmaksas par piegādi, uzglabāšanu un informācijas noskaidrošanu. Šobrīd preces citiem klientiem nav pieejamas, turklāt tās aizņem vietu arī noliktavā.
Kas vēl? Boti atstāj milzīgas viltus sliktas atsauksmes par produktiem, aizsprosto “maksājumu atgriešanas” funkciju, bloķē darījumus, nozog klientu datus, izsūta surogātpastu reāliem klientiem - ir daudz iespēju. Labs piemērs ir nesenais uzbrukums DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hakeri , ka viņi "testē DDoS aizsardzības sistēmas", bet galu galā viņi nolika uzņēmuma biznesa klientu portālu un visas API. Līdz ar to bija lieli pārtraukumi preču piegādē klientiem.
Zvaniet rīt
Pagājušajā gadā Federālā tirdzniecības komisija (FTC) ziņoja par dubultošanos no uzņēmumu un lietotāju sūdzībām par surogātpastu un krāpnieciskiem tālruņa robotu zvaniem. Saskaņā ar dažām aplēsēm tie veido visi zvani.
Tāpat kā ar DDoS, arī TDoS mērķi — masveida robotu uzbrukumi tālruņiem — ir no “mānīšanas” līdz negodīgai konkurencei. Boti var pārslogot kontaktu centrus un novērst īstu klientu palaišanu garām. Šī metode ir efektīva ne tikai zvanu centros ar “dzīviem” operatoriem, bet arī tur, kur tiek izmantotas AVR sistēmas. Boti var arī masveidā uzbrukt citiem saziņas kanāliem ar klientiem (čatam, e-pastiem), traucēt CRM sistēmu darbību un pat zināmā mērā negatīvi ietekmēt personāla vadību, jo operatori ir pārslogoti, cenšoties tikt galā ar krīzi. Uzbrukumus var arī sinhronizēt ar tradicionālo DDoS uzbrukumu upura tiešsaistes resursiem.
Nesen līdzīgs uzbrukums traucēja glābšanas dienesta darbu ASV - vienkāršie cilvēki, kuriem ļoti vajadzīga palīdzība, vienkārši nevarēja tikt cauri. Aptuveni tajā pašā laikā Dublinas zoodārzu piemeklēja tāds pats liktenis, vismaz 5000 cilvēku saņēma surogātpasta SMS īsziņas, kas mudināja viņus steidzami zvanīt uz zoodārza tālruņa numuru un lūgt fiktīvu personu.
Wi-Fi nebūs
Kibernoziedznieki var arī viegli bloķēt visu korporatīvo tīklu. IP bloķēšana bieži tiek izmantota, lai apkarotu DDoS uzbrukumus. Bet šī ir ne tikai neefektīva, bet arī ļoti bīstama prakse. IP adresi ir viegli atrast (piemēram, uzraugot resursus) un viegli nomainīt (vai viltot). Mums bija klienti pirms ierašanās Variti, kur, bloķējot konkrētu IP, viņu birojos vienkārši tika izslēgts Wi-Fi. Bija gadījums, kad klientam tika “izslīdējis” ar nepieciešamo IP, un viņš bloķēja piekļuvi savam resursam lietotājiem no visa reģiona un ilgu laiku to nepamanīja, jo pretējā gadījumā viss resurss darbojās nevainojami.
Kas jauns?
Jauni draudi prasa jaunus drošības risinājumus. Tomēr šī jaunā tirgus niša tikai sāk parādīties. Ir daudz risinājumu, kā efektīvi atvairīt vienkāršus robotu uzbrukumus, taču ar sarežģītiem tas nav tik vienkārši. Daudzi risinājumi joprojām izmanto IP bloķēšanas paņēmienus. Citiem ir nepieciešams laiks, lai savāktu sākotnējos datus, lai sāktu darbu, un šīs 10–15 minūtes var kļūt par ievainojamību. Ir risinājumi, kuru pamatā ir mašīnmācīšanās, kas ļauj identificēt robotu pēc tā uzvedības. Un tajā pašā laikā komandas no “otrās” lepojas, ka viņiem jau ir robotprogrammatūras, kas var atdarināt reālus modeļus, kas nav atšķirami no cilvēka. Vēl nav skaidrs, kurš uzvarēs.
Ko darīt, ja nākas saskarties ar profesionālām botu komandām un sarežģītiem, vairāku posmu uzbrukumiem vairākos līmeņos vienlaikus?
Mūsu pieredze liecina, ka jums ir jākoncentrējas uz nelikumīgu pieprasījumu filtrēšanu, nebloķējot IP adreses. Sarežģītiem DDoS uzbrukumiem ir nepieciešama filtrēšana vairākos līmeņos vienlaikus, tostarp transporta līmenī, lietojumprogrammu līmenī un API saskarnēs. Pateicoties tam, ir iespējams atvairīt pat zemas frekvences uzbrukumus, kas parasti ir neredzami un tāpēc bieži tiek palaisti garām. Visbeidzot, visi reālie lietotāji ir jāļauj cauri, pat ja uzbrukums ir aktīvs.
Otrkārt, uzņēmumiem ir nepieciešama iespēja izveidot savas daudzpakāpju aizsardzības sistēmas, kurās papildus DDoS uzbrukumu novēršanas rīkiem būs iebūvētas sistēmas pret krāpšanu, datu zādzībām, satura aizsardzību utt.
Treškārt, tiem ir jāstrādā reāllaikā no paša pirmā pieprasījuma – iespēja uzreiz reaģēt uz drošības incidentiem ievērojami palielina iespēju novērst uzbrukumu vai samazināt tā iznīcinošo spēku.
Tuvākā nākotne: reputācijas pārvaldība un lielo datu vākšana, izmantojot robotprogrammatūras
DDoS vēsture ir attīstījusies no vienkāršas līdz sarežģītai. Sākumā uzbrucēju mērķis bija apturēt vietnes darbību. Viņiem tagad ir efektīvāk mērķēt uz pamata biznesa procesiem.
Uzbrukumu sarežģītība turpinās pieaugt, tas ir neizbēgami. Turklāt tas, ko pašlaik dara sliktie roboti — datu zādzība un viltošana, izspiešana, surogātpasts — robotprogrammatūra apkopos datus no daudziem avotiem (Big Data) un izveidos “izturīgus” viltus kontus ietekmes pārvaldībai, reputācijai vai masveida pikšķerēšanai.
Pašlaik tikai lielie uzņēmumi var atļauties investēt DDoS un botu aizsardzībā, taču pat tie ne vienmēr var pilnībā uzraudzīt un filtrēt botu radīto trafiku. Vienīgais pozitīvais fakts, ka robotu uzbrukumi kļūst sarežģītāki, ir tas, ka tas stimulē tirgu radīt viedākus un progresīvākus drošības risinājumus.
Kā jūs domājat – kā attīstīsies botu aizsardzības industrija un kādi risinājumi šobrīd ir nepieciešami tirgū?
Avots: www.habr.com