În urmă cu câțiva ani, agențiile de cercetare și furnizorii de servicii de securitate a informațiilor au început să raporteze numărul de atacuri DDoS. Dar până în primul trimestru al anului 1, aceiași cercetători și-au raportat uimirea cu 84%. Și apoi totul a mers din putere în putere. Nici măcar pandemia nu a contribuit la atmosfera de pace - dimpotrivă, infractorii cibernetici și spammerii au considerat acest lucru un semnal excelent pentru atac, iar volumul DDoS a crescut .
Credem că timpul pentru atacuri DDoS simple, ușor de detectat (și instrumente simple care le pot preveni) a trecut. Criminalii cibernetici au devenit mai buni la ascunderea acestor atacuri și la îndeplinirea lor cu o sofisticare din ce în ce mai mare. Industria întunecată a trecut de la forța brută la atacuri la nivel de aplicație. Ea primește ordine serioase de a distruge procesele de afaceri, inclusiv cele destul de offline.
Pătrunderea în realitate
În 2017, o serie de atacuri DDoS care vizează serviciile de transport suedeze s-au soldat cu prelungiri . În 2019, operatorul național de căi ferate din Danemarca Sistemele de vânzări au scăzut. Drept urmare, automatele de bilete și porțile automate nu au funcționat în stații, iar peste 15 mii de pasageri nu au putut să plece. Tot în 2019, un puternic atac cibernetic a provocat o întrerupere a curentului .
Consecințele atacurilor DDoS sunt acum experimentate nu numai de utilizatorii online, ci și de oameni, după cum se spune, IRL (în viața reală). În timp ce atacatorii au vizat istoric doar servicii online, scopul lor este acum de a perturba orice operațiuni de afaceri. Estimăm că astăzi mai mult de 60% dintre atacuri au un astfel de scop - de extorcare sau concurență neloială. Tranzacțiile și logistica sunt deosebit de vulnerabile.
Mai inteligent și mai scump
DDoS continuă să fie considerat unul dintre cele mai comune și cu cea mai rapidă creștere a criminalității cibernetice. Potrivit experților, din 2020 numărul acestora va crește doar. Acest lucru este asociat cu diverse motive - cu o tranziție și mai mare a afacerilor online din cauza pandemiei și cu dezvoltarea industriei umbre a criminalității cibernetice și chiar cu .
Atacurile DDoS au devenit „populare” la un moment dat datorită ușurinței lor de implementare și a costului scăzut: în urmă cu doar câțiva ani, puteau fi lansate pentru 50 USD pe zi. Astăzi, atât țintele de atac, cât și metodele s-au schimbat, crescându-le complexitatea și, ca urmare, costul. Nu, prețurile de la 5 USD pe oră sunt încă în listele de prețuri (da, infractorii cibernetici au liste de prețuri și grafice tarifare), dar pentru un site cu protecție ei cer deja de la 400 USD pe zi și costul comenzilor „individuale” pentru companiile mari. ajunge la câteva mii de dolari.
În prezent, există două tipuri principale de atacuri DDoS. Primul obiectiv este de a face o resursă online indisponibilă pentru o anumită perioadă de timp. Atacatorii taxează pentru ei în timpul atacului în sine. În acest caz, operatorului DDoS nu îi pasă de niciun rezultat specific, iar clientul plătește în avans pentru a lansa atacul. Astfel de metode sunt destul de ieftine.
Al doilea tip sunt atacurile care sunt plătite numai atunci când se obține un anumit rezultat. E mai interesant cu ei. Sunt mult mai dificil de implementat și, prin urmare, semnificativ mai scumpe, deoarece atacatorii trebuie să aleagă cele mai eficiente metode pentru a-și atinge obiectivele. La Variti, jucăm uneori întregi jocuri de șah cu infractorii cibernetici, unde aceștia schimbă instantaneu tacticile și instrumentele și încearcă să pătrundă în mai multe vulnerabilități la mai multe niveluri simultan. Sunt clar atacuri de echipă în care hackerii știu perfect să reacționeze și să contracareze acțiunile apărătorilor. A face față acestora nu este doar dificilă, ci și foarte costisitoare pentru companii. De exemplu, unul dintre clienții noștri, un mare retailer online, a întreținut timp de aproape trei ani o echipă de 30 de oameni, a cărei sarcină a fost să combată atacurile DDoS.
Potrivit Variti, atacurile DDoS simple efectuate doar din plictiseală, trolling sau nemulțumire față de o anumită companie reprezintă în prezent mai puțin de 10% din toate atacurile DDoS (desigur, resursele neprotejate pot avea statistici diferite, ne uităm la datele clienților noștri ) . Orice altceva este munca de echipe profesioniste. Cu toate acestea, trei sferturi din toți roboții „răi” sunt roboți complecși care sunt greu de detectat folosind majoritatea soluțiilor moderne de pe piață. Ei imită comportamentul utilizatorilor sau browserelor reali și introduc modele care fac dificilă distingerea între cererile „bune” și „rele”. Acest lucru face ca atacurile să fie mai puțin vizibile și, prin urmare, mai eficiente.
Date de la GlobalDots
Noi ținte DDoS
raport de la analiștii de la GlobalDots spune că boții generează acum 50% din tot traficul web, iar 17,5% dintre aceștia sunt roboți rău intenționați.
Boții știu cum să strice viețile companiilor în diferite moduri: pe lângă faptul că „crash” site-uri web, acum sunt angajați și în creșterea costurilor de publicitate, făcând clic pe reclame, analizând prețurile pentru a le face cu un ban mai puțin și atrage cumpărătorii și fură conținut în diverse scopuri rele (de exemplu, recent despre site-uri cu conținut furat care obligă utilizatorii să rezolve captchas-urile altor persoane). Boții distorsionează foarte mult diverse statistici de afaceri și, ca urmare, deciziile sunt luate pe baza unor date incorecte. Un atac DDoS este adesea o cortină de fum pentru infracțiuni și mai grave, cum ar fi hacking-ul și furtul de date. Și acum vedem că a fost adăugată o nouă clasă de amenințări cibernetice - aceasta este o întrerupere a activității anumitor procese de afaceri ale companiei, adesea offline (deoarece în vremea noastră nimic nu poate fi complet „offline”). În special, vedem că procesele logistice și comunicațiile cu clienții se întrerup.
"Nelivrat"
Procesele logistice de afaceri sunt cheie pentru majoritatea companiilor, așa că sunt adesea atacate. Iată posibilele scenarii de atac.
Nu este disponibil
Dacă lucrezi în comerțul online, atunci probabil că ești deja familiarizat cu problema comenzilor false. Când sunt atacați, roboții supraîncărcă resursele logistice și fac bunurile indisponibile altor cumpărători. Pentru a face acest lucru, ei plasează un număr mare de comenzi false, egal cu numărul maxim de produse din stoc. Aceste bunuri nu sunt apoi plătite și după un timp sunt returnate pe site. Dar fapta a fost deja făcută: au fost marcate ca „epuizate”, iar unii cumpărători s-au dus deja la concurenți. Această tactică este bine cunoscută în industria biletelor de avion, unde roboții uneori „vând” instantaneu toate biletele aproape de îndată ce acestea devin disponibile. De exemplu, unul dintre clienții noștri, o companie aeriană mare, a suferit de un astfel de atac organizat de concurenții chinezi. În doar două ore, boții lor au comandat 100% din bilete către anumite destinații.
Boți de pantofi sport
Următorul scenariu popular: roboții cumpără instantaneu o întreagă linie de produse, iar proprietarii lor le vând mai târziu la un preț umflat (în medie, un markup de 200%). Astfel de roboți se numesc roboți de adidași, deoarece această problemă este bine cunoscută în industria adidașilor de modă, în special în colecțiile limitate. Boții au cumpărat linii noi care tocmai au apărut în aproape câteva minute, blocând în același timp resursa, astfel încât utilizatorii reali să nu poată trece prin acolo. Acesta este un caz rar când s-a scris despre roboți în reviste lucioase la modă. Deși, în general, revânzătorii de bilete la evenimente cool precum meciurile de fotbal folosesc același scenariu.
Alte scenarii
Dar asta nu este tot. Există o versiune și mai complexă a atacurilor asupra logisticii, care amenință cu pierderi grave. Acest lucru se poate face dacă serviciul are opțiunea „Plată la primirea mărfurilor”. Boții lasă comenzi false pentru astfel de bunuri, indicând adrese false sau chiar reale ale unor persoane nebănuitoare. Și companiile suportă costuri uriașe pentru livrare, depozitare și aflarea detaliilor. În acest moment, mărfurile nu sunt disponibile altor clienți și ocupă și spațiu în depozit.
Ce altceva? Boții lasă recenzii false masive despre produse, blochează funcția „returnarea plății”, blochează tranzacțiile, fură datele clienților, spam clienții reali - există multe opțiuni. Un bun exemplu este atacul recent asupra DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackerii , că „testează sisteme de protecție DDoS”, dar în cele din urmă au pus jos portalul pentru clienți de afaceri al companiei și toate API-urile. Ca urmare, au existat întreruperi majore în livrarea mărfurilor către clienți.
Sună mâine
Anul trecut, Comisia Federală pentru Comerț (FTC) a raportat o dublare a plângerilor din partea companiilor și utilizatorilor cu privire la spam și apelurile telefonice frauduloase. Potrivit unor estimări, acestea se ridică la toate apelurile.
Ca și în cazul DDoS, obiectivele TDoS – atacuri masive de roboți asupra telefoanelor – variază de la „înșelătorie” la concurență fără scrupule. Boții pot supraîncărca centrele de contact și pot împiedica ratarea clienților reali. Această metodă este eficientă nu numai pentru centrele de apel cu operatori „în direct”, ci și în cazul în care sunt utilizate sisteme AVR. Boții pot ataca masiv și alte canale de comunicare cu clienții (chat, e-mail-uri), pot perturba funcționarea sistemelor CRM și chiar, într-o oarecare măsură, pot afecta negativ managementul personalului, deoarece operatorii sunt supraîncărcați încercând să facă față crizei. Atacurile pot fi, de asemenea, sincronizate cu un atac DDoS tradițional asupra resurselor online ale victimei.
Recent, un atac similar a perturbat activitatea serviciului de salvare în SUA - oamenii obișnuiți care au mare nevoie de ajutor pur și simplu nu au putut trece. Aproximativ în aceeași perioadă, Grădina Zoologică din Dublin a suferit aceeași soartă, cel puțin 5000 de oameni primind mesaje SMS spam care îi încurajau să sune urgent numărul de telefon al grădinii zoologice și să ceară o persoană fictivă.
Nu va exista Wi-Fi
De asemenea, criminalii cibernetici pot bloca cu ușurință o întreagă rețea corporativă. Blocarea IP este adesea folosită pentru a combate atacurile DDoS. Dar aceasta nu este doar o practică ineficientă, ci și foarte periculoasă. Adresa IP este ușor de găsit (de exemplu, prin monitorizarea resurselor) și ușor de înlocuit (sau falsificare). Înainte de a veni la Variti, am avut clienți în care blocarea unui anumit IP a dezactivat pur și simplu Wi-Fi în propriile birouri. A existat un caz în care un client a fost „alunecat” cu IP-ul necesar și a blocat accesul la resursa sa pentru utilizatori dintr-o întreagă regiune și nu a observat acest lucru mult timp, pentru că, altfel, întreaga resursă funcționa perfect.
Ce este nou?
Noile amenințări necesită noi soluții de securitate. Cu toate acestea, această nouă nișă de piață abia începe să apară. Există multe soluții pentru respingerea eficientă a atacurilor roboți simple, dar cu cele complexe nu este atât de simplu. Multe soluții practică încă tehnici de blocare a IP. Alții au nevoie de timp pentru a colecta datele inițiale pentru a începe, iar acele 10-15 minute pot deveni o vulnerabilitate. Există soluții bazate pe machine learning care vă permit să identificați un bot după comportamentul său. Și, în același timp, echipele din „cealaltă” parte se laudă că au deja roboți care pot imita tipare reale, care nu se pot distinge de cele umane. Nu este încă clar cine va câștiga.
Ce să faci dacă trebuie să te confrunți cu echipe de bot profesioniste și cu atacuri complexe, în mai multe etape, pe mai multe niveluri simultan?
Experiența noastră arată că trebuie să vă concentrați pe filtrarea cererilor nelegitime fără a bloca adresele IP. Atacurile DDoS complexe necesită filtrare la mai multe niveluri simultan, inclusiv nivelul de transport, nivelul aplicației și interfețele API. Datorită acestui lucru, este posibil să respingi chiar și atacurile de joasă frecvență care sunt de obicei invizibile și, prin urmare, adesea ratate. În cele din urmă, toți utilizatorii reali trebuie să aibă voie să treacă, chiar și atunci când atacul este activ.
În al doilea rând, companiile au nevoie de capacitatea de a-și crea propriile sisteme de protecție în mai multe etape, care, pe lângă instrumentele de prevenire a atacurilor DDoS, vor avea încorporate sisteme împotriva fraudei, furtului de date, protecție a conținutului și așa mai departe.
În al treilea rând, trebuie să funcționeze în timp real încă de la prima solicitare - capacitatea de a răspunde instantaneu la incidente de securitate crește foarte mult șansele de a preveni un atac sau de a reduce puterea lui distructivă.
Viitorul apropiat: gestionarea reputației și colectarea de date mari folosind roboți
Istoria DDoS a evoluat de la simplu la complex. La început, scopul atacatorilor a fost să nu mai funcționeze site-ul. Acum consideră că este mai eficient să vizeze procesele de bază ale afacerii.
Rafinamentul atacurilor va continua să crească, este inevitabil. În plus, ce fac boții răi acum - furtul și falsificarea datelor, extorcarea de bani, spam - roboții vor colecta date dintr-un număr mare de surse (Big Data) și vor crea conturi false „solide” pentru gestionarea influenței, reputația sau phishingul în masă.
În prezent, doar companiile mari își pot permite să investească în protecția DDoS și a botului, dar chiar și ele nu pot întotdeauna monitoriza și filtra pe deplin traficul generat de roboți. Singurul lucru pozitiv despre faptul că atacurile cu bot devin din ce în ce mai complexe este că stimulează piața să creeze soluții de securitate mai inteligente și mai avansate.
Ce părere aveți - cum se va dezvolta industria protecției bot și ce soluții sunt necesare pe piață în acest moment?
Sursa: www.habr.com