Pred pár rokmi začali hlásiť výskumné agentúry a poskytovatelia služieb informačnej bezpečnosti počet DDoS útokov. Ale v prvom štvrťroku 1 tí istí vedci oznámili svoje ohromenie o 84 %. A potom išlo všetko od sily k úspechu. K pokojnej atmosfére neprispela ani pandémia – naopak, kyberzločinci a spameri to považovali za výborný signál na útok a objem DDoS sa zvýšil .
Veríme, že čas jednoduchých, ľahko detekovateľných DDoS útokov (a jednoduchých nástrojov, ktoré im dokážu zabrániť) sa skončil. Kyberzločinci sa zlepšili v skrývaní týchto útokov a ich vykonávaní s narastajúcou sofistikovanosťou. Temný priemysel prešiel od hrubej sily k útokom na úrovni aplikácií. Dostáva vážne príkazy na zničenie obchodných procesov, vrátane celkom offline.
Prenikanie do reality
V roku 2017 sa séria útokov DDoS zameraných na švédske dopravné služby predĺžila . V roku 2019 národný železničný operátor Dánska Predajné systémy klesli. V dôsledku toho na staniciach nefungovali automaty na cestovné lístky a automatické závory a viac ako 15-tisíc cestujúcich nedokázalo odísť. Aj v roku 2019 spôsobil silný kybernetický útok výpadok elektriny .
Následky DDoS útokov dnes zažívajú nielen online používatelia, ale aj ľudia, ako sa hovorí, IRL (v reálnom živote). Zatiaľ čo útočníci sa historicky zameriavali iba na online služby, ich cieľom je v súčasnosti často narušiť akékoľvek obchodné operácie. Odhadujeme, že dnes má viac ako 60 % útokov takýto účel – vydieranie alebo nekalú súťaž. Transakcie a logistika sú obzvlášť zraniteľné.
Inteligentnejšie a drahšie
DDoS je naďalej považovaný za jeden z najbežnejších a najrýchlejšie rastúcich typov počítačovej kriminality. Podľa odborníkov sa od roku 2020 ich počet bude len zvyšovať. Súvisí to s rôznymi dôvodmi – s ešte väčším prechodom podnikania online v dôsledku pandémie a s rozvojom tieňového priemyslu počítačovej kriminality a dokonca aj s .
Útoky DDoS sa stali „populárnymi“ naraz kvôli ich ľahkému nasadeniu a nízkym nákladom: len pred pár rokmi ich bolo možné spustiť za 50 dolárov na deň. Dnes sa zmenili ciele aj metódy útoku, čím sa zvýšila ich zložitosť a v dôsledku toho aj cena. Nie, ceny od 5 USD za hodinu sú stále v cenníkoch (áno, kyberzločinci majú cenníky a tarify), ale za web s ochranou už požadujú od 400 USD na deň a náklady na „individuálne“ objednávky pre veľké spoločnosti dosahuje niekoľko tisíc dolárov.
V súčasnosti existujú dva hlavné typy DDoS útokov. Prvým cieľom je urobiť online zdroj nedostupný na určitý čas. Útočníci ich nabíjajú počas samotného útoku. Operátorovi DDoS v tomto prípade nezáleží na konkrétnom výsledku a klient vlastne platí vopred za spustenie útoku. Takéto metódy sú pomerne lacné.
Druhým typom sú útoky, ktoré sú platené až pri dosiahnutí určitého výsledku. S nimi je to zaujímavejšie. Ich implementácia je oveľa náročnejšia, a preto sú výrazne drahšie, keďže útočníci si musia zvoliť najefektívnejšie metódy na dosiahnutie svojich cieľov. Vo Variti niekedy hráme celé šachové partie s kyberzločincami, kde okamžite menia taktiku a nástroje a snažia sa preniknúť do viacerých zraniteľností na viacerých úrovniach naraz. Ide jednoznačne o tímové útoky, pri ktorých hackeri veľmi dobre vedia, ako reagovať a kontrovať akcie obrancov. Vyrovnať sa s nimi je nielen náročné, ale pre firmy aj veľmi nákladné. Napríklad jeden z našich klientov, veľký online predajca, udržiaval takmer tri roky tím 30 ľudí, ktorých úlohou bolo bojovať proti DDoS útokom.
Jednoduché DDoS útoky realizované čisto z nudy, trollingu alebo nespokojnosti s konkrétnou spoločnosťou tvoria podľa Variti v súčasnosti menej ako 10 % všetkých DDoS útokov (samozrejme nechránené zdroje môžu mať rôzne štatistiky, pozeráme sa na údaje našich zákazníkov ) . Všetko ostatné je dielom profesionálnych tímov. Tri štvrtiny všetkých „zlých“ robotov sú však zložité roboty, ktoré je ťažké odhaliť pomocou najmodernejších trhových riešení. Napodobňujú správanie skutočných používateľov alebo prehliadačov a zavádzajú vzory, ktoré sťažujú rozlíšenie medzi „dobrými“ a „zlými“ požiadavkami. Vďaka tomu sú útoky menej nápadné a tým aj efektívnejšie.
Údaje z GlobalDots
Nové ciele DDoS
správa od analytikov z GlobalDots hovorí, že roboty teraz generujú 50 % všetkej návštevnosti webu a 17,5 % z nich sú škodlivé roboty.
Boti vedia, ako ničiť životy spoločností rôznymi spôsobmi: okrem toho, že „zhadzujú“ webové stránky, sa v súčasnosti zaoberajú aj zvyšovaním nákladov na reklamu, klikaním na reklamy, analýzou cien, aby mali o cent menej a odlákať kupujúcich a kradnúť obsah na rôzne zlé účely (napríklad sme nedávno o stránkach s ukradnutým obsahom, ktoré nútia používateľov riešiť captcha iných ľudí). Boti značne skresľujú rôzne obchodné štatistiky a v dôsledku toho sa rozhodnutia prijímajú na základe nesprávnych údajov. DDoS útok je často dymovou clonou pre ešte závažnejšie trestné činy, ako je hackovanie a krádež údajov. A teraz vidíme, že pribudla úplne nová trieda kybernetických hrozieb - ide o narušenie práce určitých obchodných procesov spoločnosti, často offline (keďže v našej dobe nemôže byť nič úplne „offline“). Najmä často vidíme, že sa rozpadávajú logistické procesy a komunikácia so zákazníkmi.
"Nedoručený"
Logistické obchodné procesy sú pre väčšinu spoločností kľúčové, preto sú často napádané. Tu sú možné scenáre útoku.
Nie je k dispozícii
Ak pracujete v online obchode, problém falošných objednávok už pravdepodobne poznáte. Pri útoku roboty preťažia logistické zdroje a zneprístupnia tovar ostatným kupujúcim. Na tento účel zadávajú obrovské množstvo falošných objednávok, ktoré sa rovná maximálnemu počtu produktov na sklade. Za tento tovar sa potom neplatí a po určitom čase sa vráti späť na stránku. Ale skutok už bol vykonaný: boli označené ako „vypredané“ a niektorí kupujúci už odišli ku konkurencii. Táto taktika je dobre známa v odvetví predaja leteniek, kde roboty niekedy okamžite „vypredajú“ všetky letenky takmer hneď, ako budú dostupné. Napríklad jeden z našich klientov, veľká letecká spoločnosť, utrpel takýto útok organizovaný čínskou konkurenciou. Len za dve hodiny si ich roboti objednali 100 % leteniek do určitých destinácií.
Boti na tenisky
Ďalší populárny scenár: roboty okamžite kúpia celý rad produktov a ich majitelia ich neskôr predávajú za premrštenú cenu (v priemere 200 % prirážka). Takýmto botom sa hovorí sneakers bots, pretože tento problém je dobre známy v odvetví módnych tenisiek, najmä v limitovaných kolekciách. Boti kúpili nové linky, ktoré sa práve objavili takmer za pár minút, pričom zablokovali zdroj, aby sa tam nemohli dostať skutoční používatelia. Toto je zriedkavý prípad, keď sa o robotoch písalo v módnych lesklých časopisoch. Aj keď vo všeobecnosti predajcovia vstupeniek na skvelé podujatia, ako sú futbalové zápasy, používajú rovnaký scenár.
Iné scenáre
To však nie je všetko. Existuje ešte zložitejšia verzia útokov na logistiku, ktorá ohrozuje vážne straty. Toto je možné vykonať, ak má služba možnosť „Platba pri prevzatí tovaru“. Boti zanechávajú falošné objednávky na takýto tovar, označujúce falošné alebo dokonca skutočné adresy nič netušiacich ľudí. A spoločnostiam vznikajú obrovské náklady na doručenie, skladovanie a zisťovanie podrobností. Tovar je v tomto čase nedostupný pre ostatných zákazníkov a zaberá aj miesto v sklade.
Čo ešte? Boti zanechávajú masívne falošné zlé recenzie o produktoch, blokujú funkciu „vrátenia platby“, blokujú transakcie, kradnú údaje o zákazníkoch, spamujú skutočných zákazníkov – existuje veľa možností. Dobrým príkladom je nedávny útok na DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackeri , že „testujú systémy ochrany DDoS“, ale nakoniec odložili firemný klientsky portál a všetky API. V dôsledku toho došlo k veľkým prerušeniam dodávok tovaru zákazníkom.
Zavolajte zajtra
Minulý rok Federálna obchodná komisia (FTC) oznámila zdvojnásobenie sťažností od firiem a používateľov týkajúcich sa spamu a podvodných telefonátov. Podľa niektorých odhadov dosahujú až všetky hovory.
Rovnako ako v prípade DDoS, ciele TDoS – masívnych útokov botov na telefóny – siahajú od „hoaxov“ až po bezohľadnú konkurenciu. Boti môžu preťažiť kontaktné centrá a zabrániť premeškaniu skutočných zákazníkov. Táto metóda je účinná nielen pre call centrá so „živými“ operátormi, ale aj tam, kde sa používajú systémy AVR. Boti môžu masívne útočiť aj na iné komunikačné kanály so zákazníkmi (chat, emaily), narúšať chod CRM systémov a dokonca do istej miery negatívne ovplyvňovať personálny manažment, pretože operátori sú preťažení snahou vyrovnať sa s krízou. Útoky môžu byť tiež synchronizované s tradičným DDoS útokom na online zdroje obete.
Nedávno podobný útok narušil prácu záchrannej služby v USA - obyčajní ľudia, ktorí súrne potrebujú pomoc, sa jednoducho nedostali. Približne v rovnakom čase postihol Dublin Zoo rovnaký osud, pričom najmenej 5000 XNUMX ľudí dostávalo spamové SMS správy, ktoré ich vyzývali, aby urýchlene zavolali na telefónne číslo zoo a požiadali o fiktívnu osobu.
Wi-Fi nebude
Kyberzločinci môžu tiež jednoducho zablokovať celú podnikovú sieť. Blokovanie IP sa často používa na boj proti DDoS útokom. Nie je to však len neúčinná, ale aj veľmi nebezpečná prax. IP adresa sa dá ľahko nájsť (napríklad prostredníctvom monitorovania zdrojov) a ľahko nahradiť (alebo spoof). Mali sme klientov pred príchodom do Variti, kde blokovanie konkrétnej adresy IP jednoducho vyplo Wi-Fi v ich vlastných kanceláriách. Vyskytol sa prípad, keď klientovi „prepadla“ požadovaná adresa IP a zablokoval prístup k svojmu zdroju používateľom z celého regiónu a dlho si to nevšimol, pretože inak celý zdroj fungoval perfektne.
Čo je nové?
Nové hrozby si vyžadujú nové bezpečnostné riešenia. Táto nová medzera na trhu sa však len začína objavovať. Existuje mnoho riešení na efektívne odpudzovanie jednoduchých útokov botov, ale pri zložitých to nie je také jednoduché. Mnohé riešenia stále využívajú techniky blokovania IP. Iní potrebujú čas na zhromaždenie počiatočných údajov, aby mohli začať, a týchto 10-15 minút sa môže stať zraniteľnosťou. Existujú riešenia založené na strojovom učení, ktoré vám umožňujú identifikovať robota podľa jeho správania. A zároveň sa tímy z „druhej“ strany chvália, že už majú robotov, ktorí dokážu napodobniť skutočné vzory na nerozoznanie od ľudských. Zatiaľ nie je jasné, kto vyhrá.
Čo robiť, ak sa musíte vysporiadať s profesionálnymi botmi a zložitými, viacstupňovými útokmi na niekoľkých úrovniach naraz?
Naše skúsenosti ukazujú, že sa musíte zamerať na filtrovanie nelegitímnych požiadaviek bez blokovania IP adries. Komplexné DDoS útoky vyžadujú filtrovanie na niekoľkých úrovniach naraz, vrátane úrovne transportu, aplikačnej úrovne a rozhraní API. Vďaka tomu je možné odraziť aj nízkofrekvenčné útoky, ktoré sú zvyčajne neviditeľné, a preto často prehliadnute. Nakoniec musia byť umožnení všetci skutoční používatelia, aj keď je útok aktívny.
Po druhé, firmy potrebujú možnosť vytvárať si vlastné viacstupňové ochranné systémy, ktoré budú mať okrem nástrojov na predchádzanie DDoS útokom zabudované aj systémy proti podvodom, krádežiam dát, ochrane obsahu a pod.
Po tretie, musia pracovať v reálnom čase už od prvej požiadavky – možnosť okamžitej reakcie na bezpečnostné incidenty výrazne zvyšuje šance na zabránenie útoku alebo zníženie jeho deštruktívnej sily.
Blízka budúcnosť: správa reputácie a zber veľkých dát pomocou robotov
História DDoS sa vyvíjala od jednoduchých až po zložité. Najprv bolo cieľom útočníkov zastaviť fungovanie stránky. Teraz považujú za efektívnejšie zamerať sa na hlavné obchodné procesy.
Sofistikovanosť útokov sa bude stále zvyšovať, je to nevyhnutné. Plus to, čo teraz robia zlé roboty – krádeže a falšovanie údajov, vydieranie, spam – roboty budú zbierať údaje z veľkého množstva zdrojov (veľké údaje) a vytvárať „robustné“ falošné účty na riadenie vplyvu, reputáciu alebo masový phishing.
V súčasnosti si len veľké spoločnosti môžu dovoliť investovať do DDoS a ochrany botov, no ani tie nedokážu vždy plne monitorovať a filtrovať návštevnosť generovanú botmi. Jediným pozitívom, že útoky botov sú čoraz komplexnejšie, je to, že stimuluje trh, aby vytváral inteligentnejšie a pokročilejšie bezpečnostné riešenia.
Čo si myslíte – ako sa bude vyvíjať priemysel ochrany botov a aké riešenia sú momentálne na trhu potrebné?
Zdroj: hab.com