Beberapa tahun yang lalu, agensi penyelidikan dan penyedia perkhidmatan keselamatan maklumat mula melaporkan bilangan serangan DDoS. Tetapi menjelang suku pertama 1, penyelidik yang sama melaporkan menakjubkan mereka sebanyak 84%. Dan kemudian semuanya berubah dari kekuatan ke kekuatan. Malah wabak itu tidak menyumbang kepada suasana keamanan - sebaliknya, penjenayah siber dan spammer menganggap ini sebagai isyarat yang sangat baik untuk menyerang, dan jumlah DDoS meningkat .
Kami percaya bahawa masa untuk serangan DDoS yang mudah dan mudah dikesan (dan alatan mudah yang boleh menghalangnya) sudah tamat. Penjenayah siber telah menjadi lebih baik dalam menyembunyikan serangan ini dan melaksanakannya dengan kecanggihan yang semakin meningkat. Industri gelap telah beralih daripada kekerasan kepada serangan peringkat aplikasi. Dia menerima pesanan serius untuk memusnahkan proses perniagaan, termasuk yang agak luar talian.
Memecah realiti
Pada tahun 2017, satu siri serangan DDoS yang menyasarkan perkhidmatan pengangkutan Sweden mengakibatkan berpanjangan . Pada 2019, pengendali kereta api kebangsaan Denmark Sistem jualan merosot. Akibatnya, mesin tiket dan pintu pagar automatik tidak berfungsi di stesen, dan lebih daripada 15 ribu penumpang tidak dapat keluar. Juga pada 2019, serangan siber yang kuat menyebabkan bekalan elektrik terputus .
Akibat serangan DDoS kini dialami bukan sahaja oleh pengguna dalam talian, tetapi juga oleh orang, seperti yang mereka katakan, IRL (dalam kehidupan sebenar). Walaupun penyerang mengikut sejarah hanya menyasarkan perkhidmatan dalam talian, matlamat mereka kini selalunya untuk mengganggu sebarang operasi perniagaan. Kami menganggarkan hari ini lebih daripada 60% serangan mempunyai tujuan sedemikian - untuk pemerasan atau persaingan tidak adil. Transaksi dan logistik amat terdedah.
Lebih bijak dan lebih mahal
DDoS terus dianggap sebagai salah satu jenis jenayah siber yang paling biasa dan paling pesat berkembang. Menurut pakar, mulai 2020 bilangan mereka hanya akan meningkat. Ini dikaitkan dengan pelbagai sebab - dengan peralihan perniagaan dalam talian yang lebih hebat akibat pandemik, dan dengan perkembangan industri bayangan jenayah siber, dan juga dengan .
Serangan DDoS menjadi "popular" pada satu masa kerana kemudahan penggunaan dan kos rendah: hanya beberapa tahun yang lalu ia boleh dilancarkan dengan harga $50 sehari. Hari ini, kedua-dua sasaran dan kaedah serangan telah berubah, meningkatkan kerumitannya dan, akibatnya, kos. Tidak, harga dari $5 sejam masih dalam senarai harga (ya, penjenayah siber mempunyai senarai harga dan jadual tarif), tetapi untuk tapak web dengan perlindungan mereka sudah meminta daripada $400 sehari, dan kos pesanan "individu" untuk syarikat besar mencecah beberapa ribu ringgit.
Pada masa ini terdapat dua jenis utama serangan DDoS. Matlamat pertama adalah untuk menjadikan sumber dalam talian tidak tersedia untuk tempoh masa tertentu. Penyerang mengenakan bayaran untuk mereka semasa serangan itu sendiri. Dalam kes ini, pengendali DDoS tidak mengambil berat tentang sebarang hasil khusus, dan pelanggan sebenarnya membayar pendahuluan untuk melancarkan serangan. Kaedah sedemikian agak murah.
Jenis kedua ialah serangan yang dibayar hanya apabila hasil tertentu dicapai. Ia lebih menarik dengan mereka. Mereka jauh lebih sukar untuk dilaksanakan dan oleh itu jauh lebih mahal, kerana penyerang mesti memilih kaedah yang paling berkesan untuk mencapai matlamat mereka. Di Variti, kadangkala kami memainkan keseluruhan permainan catur dengan penjenayah siber, di mana mereka menukar taktik dan alatan serta-merta dan cuba memecahkan pelbagai kelemahan pada berbilang peringkat sekaligus. Ini jelas merupakan serangan pasukan yang mana penggodam tahu betul cara bertindak balas dan menentang tindakan pembela. Berurusan dengan mereka bukan sahaja sukar, tetapi juga sangat mahal untuk syarikat. Sebagai contoh, salah seorang pelanggan kami, peruncit dalam talian yang besar, mengekalkan pasukan seramai 30 orang selama hampir tiga tahun, yang tugasnya adalah untuk memerangi serangan DDoS.
Menurut Variti, serangan DDoS mudah dilakukan semata-mata kerana kebosanan, trolling atau rasa tidak puas hati dengan syarikat tertentu pada masa ini menyumbang kurang daripada 10% daripada semua serangan DDoS (sudah tentu, sumber yang tidak dilindungi mungkin mempunyai statistik yang berbeza, kami melihat data pelanggan kami ) . Segala-galanya adalah kerja pasukan profesional. Walau bagaimanapun, tiga perempat daripada semua bot "buruk" ialah bot kompleks yang sukar dikesan menggunakan kebanyakan penyelesaian pasaran moden. Mereka meniru gelagat pengguna atau penyemak imbas sebenar dan memperkenalkan corak yang menyukarkan untuk membezakan antara permintaan "baik" dan "buruk". Ini menjadikan serangan kurang ketara dan oleh itu lebih berkesan.
Data daripada GlobalDots
Sasaran DDoS baharu
Laporan daripada penganalisis dari GlobalDots mengatakan bahawa bot kini menjana 50% daripada semua trafik web, dan 17,5% daripadanya adalah bot berniat jahat.
Bot tahu bagaimana untuk merosakkan kehidupan syarikat dengan cara yang berbeza: sebagai tambahan kepada fakta bahawa mereka "menghancurkan" tapak web, mereka kini juga terlibat dalam meningkatkan kos pengiklanan, mengklik pada iklan, menghuraikan harga untuk mengurangkan satu sen dan memikat pembeli, dan mencuri kandungan untuk pelbagai tujuan buruk (contohnya, kami baru-baru ini tentang tapak dengan kandungan curi yang memaksa pengguna menyelesaikan captcha orang lain). Bot sangat memesongkan pelbagai statistik perniagaan, dan akibatnya, keputusan dibuat berdasarkan data yang salah. Serangan DDoS selalunya menjadi tabir asap untuk jenayah yang lebih serius seperti penggodaman dan kecurian data. Dan kini kita melihat bahawa kelas ancaman siber yang baharu telah ditambah - ini adalah gangguan terhadap kerja proses perniagaan tertentu syarikat, selalunya di luar talian (kerana pada zaman kita tiada apa yang boleh menjadi "luar talian" sepenuhnya). Terutama sekali kita melihat bahawa proses logistik dan komunikasi dengan pelanggan rosak.
"Tidak dihantar"
Proses perniagaan logistik adalah kunci bagi kebanyakan syarikat, jadi mereka sering diserang. Berikut ialah senario serangan yang mungkin.
Keluar stok
Jika anda bekerja dalam perdagangan dalam talian, maka anda mungkin sudah biasa dengan masalah pesanan palsu. Apabila diserang, bot membebankan sumber logistik dan menjadikan barangan tidak tersedia kepada pembeli lain. Untuk melakukan ini, mereka membuat sejumlah besar pesanan palsu, sama dengan jumlah maksimum produk dalam stok. Barang-barang ini kemudiannya tidak dibayar dan selepas beberapa lama dikembalikan ke tapak. Tetapi surat ikatan itu telah dilakukan: mereka ditandakan sebagai "kehabisan stok", dan beberapa pembeli telah pergi ke pesaing. Taktik ini terkenal dalam industri tiket penerbangan, di mana bot kadangkala serta-merta "menjual" semua tiket hampir sebaik sahaja ia tersedia. Sebagai contoh, salah seorang pelanggan kami, sebuah syarikat penerbangan besar, mengalami serangan sedemikian yang dianjurkan oleh pesaing China. Hanya dalam dua jam, bot mereka memesan 100% tiket ke destinasi tertentu.
Bot kasut
Senario popular seterusnya: bot serta-merta membeli seluruh barisan produk, dan pemiliknya menjualnya kemudian pada harga yang melambung (secara purata 200% markup). Bot sedemikian dipanggil bot kasut, kerana masalah ini terkenal dalam industri kasut fesyen, terutamanya koleksi terhad. Bot membeli baris baharu yang baru sahaja muncul dalam hampir beberapa minit, sambil menyekat sumber supaya pengguna sebenar tidak dapat melaluinya. Ini adalah kes yang jarang berlaku apabila bot ditulis dalam majalah berkilat yang bergaya. Walaupun, secara amnya, penjual semula tiket untuk acara sejuk seperti perlawanan bola sepak menggunakan senario yang sama.
Senario lain
Tetapi bukan itu sahaja. Terdapat versi serangan yang lebih kompleks terhadap logistik, yang mengancam kerugian yang serius. Ini boleh dilakukan jika perkhidmatan mempunyai pilihan "Pembayaran semasa menerima barang". Bot meninggalkan pesanan palsu untuk barangan tersebut, menunjukkan alamat palsu atau malah sebenar orang yang tidak curiga. Dan syarikat menanggung kos yang besar untuk penghantaran, penyimpanan dan mencari butiran. Pada masa ini, barangan tidak tersedia untuk pelanggan lain, dan mereka juga mengambil ruang di gudang.
Apa lagi? Bot meninggalkan ulasan buruk palsu yang besar tentang produk, menyekat fungsi "pemulangan pembayaran", menyekat transaksi, mencuri data pelanggan, spam pelanggan sebenar - terdapat banyak pilihan. Contoh yang baik ialah serangan terbaru ke atas DHL, Hermes, AldiTalk, Freenet, Snipes.com. penggodam , bahawa mereka "menguji sistem perlindungan DDoS," tetapi akhirnya mereka meletakkan portal pelanggan perniagaan syarikat dan semua API. Akibatnya, terdapat gangguan besar dalam penghantaran barangan kepada pelanggan.
Hubungi esok
Tahun lepas, Suruhanjaya Perdagangan Persekutuan (FTC) melaporkan peningkatan dua kali ganda dalam aduan daripada perniagaan dan pengguna tentang spam dan penipuan panggilan bot telefon. Menurut beberapa anggaran, mereka berjumlah semua panggilan.
Seperti DDoS, matlamat TDoSβserangan bot besar-besaran pada telefonβberjulat daripada "tipu daya" kepada persaingan yang tidak bertanggungjawab. Bot boleh membebankan pusat hubungan dan menghalang pelanggan sebenar daripada terlepas. Kaedah ini berkesan bukan sahaja untuk pusat panggilan dengan pengendali "langsung", tetapi juga di mana sistem AVR digunakan. Bot juga boleh secara besar-besaran menyerang saluran komunikasi lain dengan pelanggan (sembang, e-mel), mengganggu operasi sistem CRM dan bahkan, sedikit sebanyak, menjejaskan pengurusan kakitangan secara negatif, kerana pengendali terlalu sarat cuba mengatasi krisis. Serangan juga boleh disegerakkan dengan serangan DDoS tradisional ke atas sumber dalam talian mangsa.
Baru-baru ini, serangan serupa mengganggu kerja perkhidmatan menyelamat di Amerika Syarikat - orang biasa yang sangat memerlukan bantuan tidak dapat melaluinya. Pada masa yang sama, Zoo Dublin mengalami nasib yang sama, dengan sekurang-kurangnya 5000 orang menerima mesej teks SMS spam yang menggalakkan mereka menghubungi nombor telefon zoo dengan segera dan meminta seseorang yang rekaan.
Tidak akan ada Wi-Fi
Penjenayah siber juga boleh menyekat keseluruhan rangkaian korporat dengan mudah. Penyekatan IP sering digunakan untuk memerangi serangan DDoS. Tetapi ini bukan sahaja tidak berkesan, tetapi juga amalan yang sangat berbahaya. Alamat IP mudah dicari (contohnya, melalui pemantauan sumber) dan mudah diganti (atau spoof). Kami mempunyai pelanggan sebelum datang ke Variti di mana menyekat IP tertentu hanya mematikan Wi-Fi di pejabat mereka sendiri. Terdapat kes apabila pelanggan "tergelincir" dengan IP yang diperlukan, dan dia menyekat akses kepada sumbernya kepada pengguna dari seluruh rantau, dan tidak menyedarinya untuk masa yang lama, kerana jika tidak, keseluruhan sumber berfungsi dengan sempurna.
Apa yang baru?
Ancaman baharu memerlukan penyelesaian keselamatan baharu. Bagaimanapun, niche pasaran baharu ini baru mula muncul. Terdapat banyak penyelesaian untuk menangkis serangan bot mudah dengan berkesan, tetapi dengan penyelesaian yang kompleks ia tidak begitu mudah. Banyak penyelesaian masih mengamalkan teknik menyekat IP. Orang lain memerlukan masa untuk mengumpul data awal untuk bermula, dan 10-15 minit itu boleh menjadi kelemahan. Terdapat penyelesaian berdasarkan pembelajaran mesin yang membolehkan anda mengenal pasti bot melalui tingkah lakunya. Dan pada masa yang sama, pasukan dari pihak "lain" berbangga bahawa mereka sudah mempunyai bot yang boleh meniru corak sebenar, tidak dapat dibezakan daripada manusia. Masih belum jelas siapa yang akan menang.
Apa yang perlu dilakukan jika anda perlu berurusan dengan pasukan bot profesional dan serangan berbilang peringkat yang kompleks pada beberapa peringkat sekaligus?
Pengalaman kami menunjukkan bahawa anda perlu menumpukan pada menapis permintaan yang tidak sah tanpa menyekat alamat IP. Serangan DDoS yang kompleks memerlukan penapisan pada beberapa peringkat sekaligus, termasuk tahap pengangkutan, tahap aplikasi dan antara muka API. Terima kasih kepada ini, adalah mungkin untuk menangkis walaupun serangan frekuensi rendah yang biasanya tidak kelihatan dan oleh itu sering terlepas. Akhir sekali, semua pengguna sebenar mesti dibenarkan melalui, walaupun semasa serangan itu aktif.
Kedua, syarikat memerlukan keupayaan untuk mencipta sistem perlindungan berbilang peringkat mereka sendiri, yang, sebagai tambahan kepada alat untuk mencegah serangan DDoS, akan mempunyai sistem terbina dalam terhadap penipuan, kecurian data, perlindungan kandungan, dan sebagainya.
Ketiga, mereka mesti bekerja dalam masa nyata dari permintaan pertama - keupayaan untuk bertindak balas serta-merta kepada insiden keselamatan meningkatkan peluang untuk menghalang serangan atau mengurangkan kuasa pemusnahnya.
Masa hadapan: pengurusan reputasi dan pengumpulan data besar menggunakan bot
Sejarah DDoS telah berkembang daripada mudah kepada kompleks. Pada mulanya, matlamat penyerang adalah untuk menghentikan tapak daripada berfungsi. Mereka kini mendapati ia lebih cekap untuk menyasarkan proses perniagaan teras.
Kecanggihan serangan akan terus meningkat, ia tidak dapat dielakkan. Selain itu, apa yang bot buruk lakukan sekarang - pencurian dan pemalsuan data, pemerasan, spam - bot akan mengumpul data daripada sejumlah besar sumber (Data Besar) dan mencipta akaun palsu "teguh" untuk pengurusan pengaruh, reputasi atau pancingan data besar-besaran.
Pada masa ini, hanya syarikat besar yang mampu untuk melabur dalam DDoS dan perlindungan bot, tetapi mereka tidak boleh sentiasa memantau dan menapis trafik yang dihasilkan oleh bot. Satu-satunya perkara positif tentang fakta bahawa serangan bot menjadi lebih kompleks ialah ia merangsang pasaran untuk mencipta penyelesaian keselamatan yang lebih bijak dan lebih maju.
Apakah pendapat anda - bagaimanakah industri perlindungan bot akan berkembang dan apakah penyelesaian yang diperlukan di pasaran sekarang?
Sumber: www.habr.com