Kilka lat temu agencje badawcze i dostawcy usług w zakresie bezpieczeństwa informacji zaczęli zgłaszać takie przypadki liczba ataków DDoS. Ale do pierwszego kwartału 1 roku ci sami badacze zgłosili swoje ogłuszenie o 84%. A potem wszystko szło od siły do siły. Nawet pandemia nie przyczyniła się do powstania atmosfery pokoju – wręcz przeciwnie, cyberprzestępcy i spamerzy uznali to za doskonały sygnał do ataku, a wolumen ataków DDoS wzrósł .
Wierzymy, że czas prostych, łatwo wykrywalnych ataków DDoS (i prostych narzędzi, które mogą im zapobiec) minął. Cyberprzestępcy są coraz lepsi w ukrywaniu tych ataków i przeprowadzaniu ich z coraz większym wyrafinowaniem. Ciemny przemysł przeszedł od ataków brutalnej siły do ataków na poziomie aplikacji. Otrzymuje poważne rozkazy zniszczenia procesów biznesowych, także tych całkiem offline.
Włamanie do rzeczywistości
W 2017 r. seria ataków DDoS na szwedzkie usługi transportowe trwała długo . W 2019 roku narodowy operator kolejowy Danii Systemy sprzedaży przestały działać. W rezultacie na stacjach nie działały automaty biletowe i automatyczne bramki, a ponad 15 tysięcy pasażerów nie mogło wyjechać. Również w 2019 roku potężny cyberatak spowodował przerwę w dostawie prądu .
Konsekwencje ataków DDoS odczuwają już nie tylko użytkownicy online, ale także ludzie, jak to się mówi, w IRL (w prawdziwym życiu). Chociaż w przeszłości atakujący atakowali wyłącznie usługi online, obecnie ich celem jest często zakłócanie wszelkich operacji biznesowych. Szacujemy, że dziś ponad 60% ataków ma taki cel – wymuszenie lub nieuczciwą konkurencję. Szczególnie wrażliwe są transakcje i logistyka.
Inteligentniejszy i droższy
DDoS nadal jest uważany za jeden z najpowszechniejszych i najszybciej rozwijających się rodzajów cyberprzestępczości. Według ekspertów od 2020 roku ich liczba będzie tylko rosła. Wiąże się to z różnymi przyczynami – z jeszcze większym przesunięciem biznesu do Internetu w związku z pandemią, oraz z rozwojem szarej branży cyberprzestępczości, a nawet .
Ataki DDoS stały się kiedyś „popularne” ze względu na łatwość wdrożenia i niski koszt: zaledwie kilka lat temu można było je przeprowadzić za 50 dolarów dziennie. Obecnie zmieniły się zarówno cele, jak i metody ataków, zwiększając ich złożoność, a w rezultacie koszt. Nie, w cennikach nadal są ceny od 5 dolarów za godzinę (tak, cyberprzestępcy mają cenniki i harmonogramy taryfowe), ale za stronę internetową z ochroną żądają już od 400 dolarów dziennie, a koszt „indywidualnych” zamówień dla dużych firm sięga kilku tysięcy dolarów.
Obecnie istnieją dwa główne typy ataków DDoS. Pierwszym celem jest uniemożliwienie dostępu do zasobu online przez określony czas. Atakujący pobierają opłatę za nie podczas samego ataku. W tym przypadku operatorowi DDoS nie zależy na konkretnym rezultacie, a klient faktycznie płaci z góry za przeprowadzenie ataku. Takie metody są dość tanie.
Drugi rodzaj to ataki, które są płatne dopiero po osiągnięciu określonego rezultatu. Z nimi jest ciekawiej. Są znacznie trudniejsze do wdrożenia, a co za tym idzie, znacznie droższe, ponieważ atakujący muszą wybrać najskuteczniejsze metody, aby osiągnąć swoje cele. W Variti czasami gramy w całe partie szachów z cyberprzestępcami, którzy natychmiast zmieniają taktykę i narzędzia oraz próbują włamać się do wielu luk w zabezpieczeniach na wielu poziomach jednocześnie. Są to niewątpliwie ataki zespołowe, w których hakerzy doskonale wiedzą, jak zareagować i skontrować działania obrońców. Radzenie sobie z nimi jest nie tylko trudne, ale także bardzo kosztowne dla firm. Przykładowo jeden z naszych klientów, duży sklep internetowy, przez prawie trzy lata utrzymywał 30-osobowy zespół, którego zadaniem była walka z atakami DDoS.
Według Variti proste ataki DDoS przeprowadzane wyłącznie z nudów, trollingu lub niezadowolenia z konkretnej firmy stanowią obecnie niecałe 10% wszystkich ataków DDoS (oczywiście niechronione zasoby mogą mieć inne statystyki, patrzymy na dane naszych klientów) . Cała reszta jest dziełem profesjonalnych zespołów. Jednak trzy czwarte wszystkich „złych” botów to boty złożone, trudne do wykrycia przy użyciu większości nowoczesnych rozwiązań rynkowych. Naśladują zachowania prawdziwych użytkowników lub przeglądarek i wprowadzają wzorce, które utrudniają rozróżnienie pomiędzy „dobrymi” i „złymi” żądaniami. Dzięki temu ataki są mniej zauważalne, a przez to bardziej skuteczne.
Dane z GlobalDots
Nowe cele DDoS
Zgłoś od analityków z GlobalDots wynika, że boty generują obecnie 50% całego ruchu w sieci, a 17,5% z nich to boty złośliwe.
Boty wiedzą, jak rujnować życie firmom na różne sposoby: oprócz tego, że „awariują” strony internetowe, obecnie zajmują się także zwiększaniem kosztów reklamy, klikaniem reklam, analizowaniem cen, aby były o grosz tańsze i odciągać kupujących i kraść treści w różnych złych celach (na przykład niedawno o witrynach zawierających skradzioną treść, które zmuszają użytkowników do rozwiązywania cudzych captcha). Boty w dużym stopniu zniekształcają różne statystyki biznesowe, przez co decyzje podejmowane są na podstawie błędnych danych. Atak DDoS jest często zasłoną dymną dla jeszcze poważniejszych przestępstw, takich jak włamanie i kradzież danych. A teraz widzimy, że dodano zupełnie nową klasę cyberzagrożeń - jest to zakłócenie pracy niektórych procesów biznesowych firmy, często w trybie offline (bo w naszych czasach nic nie może być całkowicie „offline”). Szczególnie często widzimy załamanie procesów logistycznych i komunikacji z klientami.
"Nie dostarczono"
Logistyczne procesy biznesowe są kluczowe dla większości firm, dlatego często są atakowane. Oto możliwe scenariusze ataku.
Niedostępne
Jeśli pracujesz w handlu internetowym, prawdopodobnie znasz już problem fałszywych zamówień. Zaatakowane boty obciążają zasoby logistyczne i powodują, że towary stają się niedostępne dla innych kupujących. Aby to zrobić, składają ogromną liczbę fałszywych zamówień, równą maksymalnej liczbie produktów w magazynie. Towary te nie są następnie płacone i po pewnym czasie wracają na miejsce. Ale czyn już został dokonany: oznaczono je jako „niedostępne”, a część kupujących poszła już do konkurencji. Ta taktyka jest dobrze znana w branży biletów lotniczych, gdzie boty czasami natychmiast „wyprzedają” wszystkie bilety niemal natychmiast po ich udostępnieniu. Na przykład jeden z naszych klientów, duża linia lotnicza, ucierpiał w wyniku takiego ataku zorganizowanego przez chińską konkurencję. W ciągu zaledwie dwóch godzin ich boty zamówiły 100% biletów do określonych miejsc docelowych.
Boty do tenisówek
Kolejny popularny scenariusz: boty natychmiast kupują całą linię produktów, a ich właściciele sprzedają je później po zawyżonej cenie (średnio 200% marży). Takie boty nazywane są sneakers botami, ponieważ problem ten jest dobrze znany w branży modowych sneakersów, szczególnie w limitowanych kolekcjach. Boty wykupiły nowe linie, które właśnie pojawiły się w ciągu niemal minut, jednocześnie blokując zasób, tak aby prawdziwi użytkownicy nie mogli się tam przedostać. To rzadki przypadek, kiedy o botach pisano w modnych, błyszczących magazynach. Chociaż generalnie sprzedawcy biletów na fajne wydarzenia, takie jak mecze piłki nożnej, stosują ten sam scenariusz.
Inne scenariusze
Ale to nie wszystko. Istnieje jeszcze bardziej złożona wersja ataków na logistykę, która grozi poważnymi stratami. Można tego dokonać jeżeli w serwisie dostępna jest opcja „Płatność przy odbiorze towaru”. Boty zostawiają fałszywe zamówienia na takie towary, podając fałszywe lub nawet prawdziwe adresy niczego niepodejrzewających osób. Firmy ponoszą ogromne koszty związane z dostawą, magazynowaniem i poznawaniem szczegółów. W tym czasie towary nie są dostępne dla innych klientów, a także zajmują miejsce w magazynie.
Co jeszcze? Boty zostawiają masowe fałszywe recenzje na temat produktów, blokują funkcję „zwrotu płatności”, blokują transakcje, kradną dane klientów, spamują prawdziwych klientów – możliwości jest wiele. Dobrym przykładem jest niedawny atak na DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hakerzy , że „testują systemy ochrony DDoS”, ale ostatecznie zamknęli portal klienta biznesowego firmy i wszystkie interfejsy API. W efekcie wystąpiły duże przerwy w dostawach towarów do klientów.
Zadzwoń jutro
W zeszłym roku Federalna Komisja Handlu (FTC) zgłosiła podwojenie liczby skarg składanych przez firmy i użytkowników w związku ze spamem i oszukańczymi połączeniami z botami telefonicznymi. Według niektórych szacunków wynosi ona ok wszystkie połączenia.
Podobnie jak w przypadku DDoS, cele TDoS — masowych ataków botów na telefony — obejmują zarówno „oszustwa”, jak i pozbawioną skrupułów konkurencję. Boty mogą przeciążać contact center i zapobiegać pominięciu prawdziwych klientów. Metoda ta sprawdza się nie tylko w call center z operatorami „na żywo”, ale także tam, gdzie wykorzystywane są systemy AVR. Boty mogą także masowo atakować inne kanały komunikacji z klientami (czat, e-mail), zakłócać działanie systemów CRM, a nawet w pewnym stopniu negatywnie wpływać na zarządzanie personelem, gdyż operatorzy są przeciążeni próbami poradzenia sobie z kryzysem. Ataki można również zsynchronizować z tradycyjnym atakiem DDoS na zasoby internetowe ofiary.
Niedawno podobny atak zakłócił pracę służb ratowniczych w USA – zwykli ludzie pilnie potrzebujący pomocy po prostu nie mogli się przedostać. Mniej więcej w tym samym czasie ten sam los spotkał dublińskie zoo – co najmniej 5000 osób otrzymało spamowe SMS-y zachęcające je do pilnego zadzwonienia pod numer telefonu ogrodu zoologicznego i poproszenia o podanie fikcyjnej osoby.
Nie będzie Wi-Fi
Cyberprzestępcy mogą również z łatwością zablokować całą sieć korporacyjną. Blokowanie adresów IP jest często wykorzystywane do zwalczania ataków DDoS. Ale jest to nie tylko nieskuteczna, ale także bardzo niebezpieczna praktyka. Adres IP jest łatwy do znalezienia (na przykład poprzez monitorowanie zasobów) i łatwy do zastąpienia (lub sfałszowania). Przed przybyciem do Variti mieliśmy klientów, u których blokowanie konkretnego adresu IP po prostu wyłączało Wi-Fi we własnych biurach. Zdarzyło się, że klientowi „poślizgnięto” wymagane IP i zablokował dostęp do swojego zasobu użytkownikom z całego regionu i długo tego nie zauważał, bo w przeciwnym razie cały zasób funkcjonował doskonale.
Co nowego
Nowe zagrożenia wymagają nowych rozwiązań w zakresie bezpieczeństwa. Jednak ta nowa nisza rynkowa dopiero zaczyna się wyłaniać. Rozwiązań pozwalających skutecznie odpierać proste ataki botów jest wiele, jednak w przypadku skomplikowanych nie jest to już takie proste. W wielu rozwiązaniach nadal stosowane są techniki blokowania adresów IP. Inni potrzebują czasu na zebranie początkowych danych, aby rozpocząć, a te 10–15 minut może stać się luką w zabezpieczeniach. Istnieją rozwiązania oparte na uczeniu maszynowym, które pozwalają zidentyfikować bota po jego zachowaniu. A jednocześnie zespoły z „drugiej” strony chwalą się, że mają już boty, które potrafią naśladować rzeczywiste wzorce, nieodróżnialne od ludzkich. Nie jest jeszcze jasne, kto zwycięży.
Co zrobić, jeśli masz do czynienia z profesjonalnymi zespołami botów i złożonymi, wieloetapowymi atakami na kilku poziomach jednocześnie?
Z naszego doświadczenia wynika, że należy skoncentrować się na filtrowaniu nielegalnych żądań bez blokowania adresów IP. Złożone ataki DDoS wymagają filtrowania na kilku poziomach jednocześnie, w tym na poziomie transportu, poziomie aplikacji i interfejsów API. Dzięki temu możliwe jest odparcie nawet ataków o niskiej częstotliwości, które zwykle są niewidoczne i przez to często pomijane. Wreszcie, wszyscy prawdziwi użytkownicy muszą zostać przepuszczeni, nawet gdy atak jest aktywny.
Po drugie, firmy potrzebują możliwości stworzenia własnych wielostopniowych systemów ochrony, które oprócz narzędzi zapobiegających atakom DDoS będą miały wbudowane systemy chroniące przed oszustwami, kradzieżą danych, ochroną treści i tak dalej.
Po trzecie, muszą działać w czasie rzeczywistym już od pierwszego żądania – możliwość natychmiastowej reakcji na incydenty bezpieczeństwa znacznie zwiększa szanse na zapobieżenie atakowi lub ograniczenie jego niszczycielskiej siły.
Niedaleka przyszłość: zarządzanie reputacją i gromadzenie dużych zbiorów danych za pomocą botów
Historia DDoS ewoluowała od prostych do złożonych. Początkowo celem atakujących było zatrzymanie działania witryny. Obecnie uważają, że skuteczniejsze jest ukierunkowanie na podstawowe procesy biznesowe.
Wyrafinowanie ataków będzie nadal rosło, jest to nieuniknione. Oprócz tego, co robią teraz złe boty – kradzież i fałszowanie danych, wymuszenia, spam – boty będą zbierać dane z dużej liczby źródeł (Big Data) i tworzyć „solidne” fałszywe konta w celu zarządzania wpływami, reputacją lub masowego phishingu.
Obecnie tylko duże firmy mogą sobie pozwolić na inwestycje w DDoS i ochronę przed botami, jednak i one nie zawsze są w stanie w pełni monitorować i filtrować ruch generowany przez boty. Jedyną pozytywną rzeczą w tym, że ataki botów stają się coraz bardziej złożone, jest to, że stymuluje to rynek do tworzenia inteligentniejszych i bardziej zaawansowanych rozwiązań bezpieczeństwa.
Jak myślisz - jak rozwinie się branża ochrony przed botami i jakie rozwiązania są obecnie potrzebne na rynku?
Źródło: www.habr.com