Pred nekaj leti so začele poročati raziskovalne agencije in ponudniki storitev informacijske varnosti število DDoS napadov. Toda do 1. četrtletja 2019 so isti raziskovalci poročali o osupljivosti za 84 %. In potem je šlo vse od moči do moči. Tudi pandemija ni prispevala k vzdušju miru – nasprotno, kiberkriminalci in pošiljatelji neželene pošte so to ocenili kot odličen signal za napad, obseg DDoS pa se je povečal. .
Verjamemo, da je čas enostavnih, lahko zaznavnih napadov DDoS (in preprostih orodij, ki jih lahko preprečijo) mimo. Kibernetski kriminalci so postali boljši pri skrivanju teh napadov in njihovem izvajanju z vedno večjo sofisticiranostjo. Temna industrija se je premaknila z grobe sile na napade na ravni aplikacij. Prejema resne ukaze za uničenje poslovnih procesov, tudi precej offline.
Vdor v realnost
Leta 2017 je niz napadov DDoS, usmerjenih na švedske transportne storitve, povzročil dolgotrajno . Leta 2019 nacionalni železniški operater Danske Prodajni sistemi so padli. Zaradi tega na postajah niso delovali avtomati za vstopnice in avtomatska vrata, več kot 15 tisoč potnikov pa jih ni moglo zapustiti. Tudi leta 2019 je močan kibernetski napad povzročil izpad električne energije v .
Posledice napadov DDoS zdaj ne doživljajo le spletni uporabniki, ampak tudi ljudje, kot pravijo, IRL (v resničnem življenju). Medtem ko so napadalci v preteklosti ciljali le na spletne storitve, je njihov cilj zdaj pogosto motenje katerega koli poslovnega delovanja. Ocenjujemo, da ima danes več kot 60 % napadov takšen namen – izsiljevanje ali nelojalna konkurenca. Posebej ranljive so transakcije in logistika.
Pametnejši in dražji
DDoS še naprej velja za eno najpogostejših in najhitreje rastočih vrst kibernetske kriminalitete. Po mnenju strokovnjakov bo od leta 2020 njihovo število le še naraščalo. To je povezano z različnimi razlogi – s še večjim prehodom poslovanja na splet zaradi pandemije, pa z razvojem senčne industrije kibernetske kriminalitete in celo z .
Napadi DDoS so nekoč postali »priljubljeni« zaradi enostavne uvedbe in nizkih stroškov: pred nekaj leti so jih lahko lansirali za 50 USD na dan. Danes so se spremenili tako cilji napadov kot metode, s čimer se je povečala njihova kompleksnost in posledično tudi cena. Ne, cene od 5 $ na uro so še vedno v cenikih (ja, kiberkriminalci imajo cenike in tarife), vendar za spletno stran z zaščito zahtevajo že od 400 $ na dan in stroške "individualnih" naročil za velika podjetja. doseže več tisoč dolarjev.
Trenutno obstajata dve glavni vrsti napadov DDoS. Prvi cilj je narediti spletni vir nedostopen za določen čas. Napadalci jih zaračunajo med samim napadom. V tem primeru operaterju DDoS ni mar za noben specifičen izid in odjemalec dejansko plača vnaprej za začetek napada. Takšne metode so precej poceni.
Druga vrsta so napadi, ki se plačajo šele, ko je dosežen določen rezultat. Z njimi je bolj zanimivo. So veliko težje izvedljive in zato bistveno dražje, saj morajo napadalci izbrati najučinkovitejše načine za dosego svojih ciljev. Pri Varitiju včasih igramo celotne šahovske partije s kiberkriminalci, kjer takoj spremenijo taktiko in orodja ter poskušajo vdreti v več ranljivosti na več ravneh hkrati. To so očitno skupinski napadi, pri katerih hekerji dobro vedo, kako se odzvati in se zoperstaviti dejanjem branilcev. Ukvarjanje z njimi ni le težko, ampak tudi zelo drago za podjetja. Na primer, ena od naših strank, velik spletni trgovec, je skoraj tri leta vzdrževala ekipo 30 ljudi, katerih naloga je bila boj proti napadom DDoS.
Po mnenju Varitija preprosti napadi DDoS, ki se izvajajo zgolj zaradi dolgočasja, trolanja ali nezadovoljstva z določenim podjetjem, trenutno predstavljajo manj kot 10 % vseh napadov DDoS (seveda imajo lahko nezaščiteni viri drugačne statistike, gledamo podatke o naših strankah). . Vse ostalo je delo strokovnih ekip. Vendar pa je tri četrtine vseh »slabih« botov kompleksnih botov, ki jih je z večino sodobnih tržnih rešitev težko odkriti. Posnemajo vedenje resničnih uporabnikov ali brskalnikov in uvajajo vzorce, ki otežujejo razlikovanje med »dobrimi« in »slabimi« zahtevami. Zaradi tega so napadi manj opazni in zato učinkovitejši.
Podatki iz GlobalDots
Novi cilji DDoS
Poročilo analitikov iz GlobalDots pravi, da roboti zdaj ustvarijo 50 % vsega spletnega prometa, 17,5 % pa je zlonamernih robotov.
Boti znajo podjetjem greniti življenje na različne načine: poleg tega, da »sesujejo« spletne strani, se zdaj ukvarjajo tudi s povečevanjem stroškov oglaševanja, klikanjem oglasov, razčlenjevanjem cen, da bi jih naredili za cent manj in odvabiti kupce in ukrasti vsebino za različne slabe namene (npr. nedavno smo o spletnih mestih z ukradeno vsebino, ki uporabnike silijo v reševanje captcha drugih ljudi). Boti močno popačijo različne poslovne statistike, posledično pa se odločitve sprejemajo na podlagi napačnih podatkov. Napad DDoS je pogosto dimna zavesa za še hujša kazniva dejanja, kot sta vdiranje in kraja podatkov. In zdaj vidimo, da je bil dodan povsem nov razred kibernetskih groženj - to je motnja v delovanju določenih poslovnih procesov podjetja, pogosto brez povezave (saj v našem času nič ne more biti popolnoma "offline"). Predvsem pogosto opažamo, da se motijo logistični procesi in komunikacija s strankami.
"Ni dostavljeno"
Logistični poslovni procesi so za večino podjetij ključni, zato so pogosto napadeni. Tukaj so možni scenariji napada.
Ni na voljo
Če delate v spletni trgovini, potem verjetno že poznate problem lažnih naročil. Ko so napadeni, roboti preobremenijo logistične vire in naredijo blago nedostopno drugim kupcem. Da bi to naredili, oddajo ogromno lažnih naročil, ki so enaka največjemu številu izdelkov na zalogi. To blago nato ni plačano in se čez nekaj časa vrne na spletno mesto. Toda dejanje je že storjeno: označeni so bili kot "ni na zalogi", nekateri kupci pa so že odšli h konkurentom. Ta taktika je dobro znana v industriji izdaje letalskih vozovnic, kjer roboti včasih takoj "razprodajo" vse vozovnice skoraj takoj, ko so na voljo. Na primer, ena od naših strank, velika letalska družba, je bila deležna takega napada, ki so ga organizirali kitajski konkurenti. V pičlih dveh urah so njihovi boti naročili 100% kart za določene destinacije.
Superge boti
Naslednji priljubljen scenarij: roboti takoj kupijo celotno linijo izdelkov, njihovi lastniki pa jih kasneje prodajo po napihnjeni ceni (v povprečju 200-odstotni pribitek). Takšni boti se imenujejo sneakers boti, ker je ta problem dobro poznan v modni industriji superg, še posebej v omejenih kolekcijah. Boti so v skoraj minutah kupili nove vrstice, ki so se pravkar pojavile, medtem ko so blokirali vir, tako da pravi uporabniki niso mogli priti tja. To je redek primer, ko so o botih pisali v modnih sijajnih revijah. Čeprav na splošno preprodajalci vstopnic za kul dogodke, kot so nogometne tekme, uporabljajo isti scenarij.
Drugi scenariji
A to še ni vse. Obstaja še bolj zapletena različica napadov na logistiko, ki grozi z resnimi izgubami. To je mogoče storiti, če ima storitev možnost »Plačilo po prejemu blaga«. Boti puščajo lažna naročila za takšno blago, ki označujejo lažne ali celo resnične naslove nič hudega slutečih ljudi. In podjetja imajo ogromne stroške za dostavo, skladiščenje in iskanje podrobnosti. Blago v tem času ni na razpolago drugim kupcem, prav tako zasedajo prostor v skladišču.
Kaj drugega? Boti puščajo množico lažnih slabih mnenj o izdelkih, motijo funkcijo »vračila plačila«, blokirajo transakcije, kradejo podatke o strankah, pošiljajo neželeno pošiljanje resničnim strankam – možnosti je veliko. Dober primer je nedavni napad na DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hekerji , da »testirajo zaščitne sisteme DDoS«, vendar so na koncu uničili poslovni portal podjetja in vse API-je. Posledično je prihajalo do večjih motenj pri dobavi blaga kupcem.
Pokliči jutri
Lansko leto je Zvezna komisija za trgovino (FTC) poročala o podvojitvi pritožb podjetij in uporabnikov glede neželene pošte in goljufivih klicev telefonskih botov. Po nekaterih ocenah znašajo vsi klici.
Tako kot pri DDoS se tudi cilji TDoS – množičnih napadov botov na telefone – gibljejo od »prevar« do brezvestne konkurence. Boti lahko preobremenijo kontaktne centre in preprečijo, da bi zamudili prave stranke. Ta metoda je učinkovita ne samo za klicne centre z "živimi" operaterji, ampak tudi tam, kjer se uporabljajo sistemi AVR. Boti lahko množično napadejo tudi druge kanale komunikacije s strankami (klepet, elektronska pošta), motijo delovanje sistemov CRM in celo do neke mere negativno vplivajo na kadrovsko upravljanje, saj se operaterji preobremenjeni trudijo spopasti s krizo. Napade je mogoče sinhronizirati tudi s tradicionalnim napadom DDoS na spletne vire žrtve.
Pred kratkim je podoben napad motil delo reševalne službe v ZDA - navadni ljudje, ki nujno potrebujejo pomoč, preprosto niso mogli priti skozi. Približno v istem času je živalski vrt v Dublinu doživel enako usodo, saj je vsaj 5000 ljudi prejelo neželeno SMS-sporočilo, ki jih je spodbujalo, naj nujno pokličejo telefonsko številko živalskega vrta in povprašajo po izmišljeni osebi.
Wi-Fi ne bo na voljo
Kibernetski kriminalci lahko zlahka blokirajo tudi celotno poslovno omrežje. Blokiranje IP se pogosto uporablja za boj proti napadom DDoS. Toda to ni samo neučinkovita, ampak tudi zelo nevarna praksa. Naslov IP je enostavno najti (na primer z nadzorom virov) in ga je enostavno zamenjati (ali ponarediti). Pred prihodom v Variti smo imeli stranke, pri katerih je blokiranje določenega IP-ja preprosto izklopilo Wi-Fi v njihovih pisarnah. Bil je primer, ko je bil odjemalec "podtaknjen" z zahtevanim IP-jem in je blokiral dostop do svojega vira uporabnikom iz celotne regije in tega dolgo ni opazil, saj je drugače celoten vir deloval brezhibno.
Kaj je novega
Nove grožnje zahtevajo nove varnostne rešitve. Vendar se ta nova tržna niša šele začenja pojavljati. Obstaja veliko rešitev za učinkovito odganjanje enostavnih napadov botov, vendar s kompleksnimi ni tako preprosto. Mnoge rešitve še vedno izvajajo tehnike blokiranja IP. Drugi potrebujejo čas, da zberejo začetne podatke za začetek, teh 10-15 minut pa lahko postane ranljivost. Obstajajo rešitve, ki temeljijo na strojnem učenju in vam omogočajo, da prepoznate bota po njegovem vedenju. In hkrati se ekipe z »druge« strani hvalijo, da že imajo bote, ki znajo posnemati prave vzorce, ki jih ni mogoče razlikovati od človeških. Kdo bo zmagal, še ni jasno.
Kaj storiti, če se morate soočiti s profesionalnimi botovskimi ekipami in zapletenimi, večstopenjskimi napadi na več ravneh hkrati?
Naše izkušnje kažejo, da se morate osredotočiti na filtriranje nelegitimnih zahtev brez blokiranja naslovov IP. Zapleteni napadi DDoS zahtevajo filtriranje na več ravneh hkrati, vključno s transportno ravnjo, ravnjo aplikacije in vmesniki API. Zahvaljujoč temu je mogoče odbiti tudi nizkofrekvenčne napade, ki so običajno nevidni in zato pogosto zgrešeni. Nazadnje, vsem resničnim uporabnikom je treba omogočiti vstop, tudi ko je napad aktiven.
Drugič, podjetja potrebujejo možnost izdelave lastnih večstopenjskih sistemov zaščite, ki bodo imeli poleg orodij za preprečevanje DDoS napadov vgrajene sisteme proti goljufijam, kraji podatkov, zaščiti vsebine ipd.
Tretjič, delovati morajo v realnem času od prve zahteve - sposobnost takojšnjega odziva na varnostne incidente močno poveča možnosti za preprečevanje napada ali zmanjšanje njegove uničujoče moči.
Bližnja prihodnost: upravljanje ugleda in zbiranje velikih podatkov z boti
Zgodovina DDoS se je razvila od enostavnega do zapletenega. Sprva je bil cilj napadalcev preprečiti delovanje strani. Zdaj se jim zdi bolj učinkovito usmerjanje v ključne poslovne procese.
Sofisticiranost napadov bo še naraščala, to je neizogibno. Poleg tega, kar zdaj počnejo slabi roboti - kraja in ponarejanje podatkov, izsiljevanje, neželena pošta - bodo roboti zbirali podatke iz velikega števila virov (veliki podatki) in ustvarili "robustne" lažne račune za upravljanje vpliva, ugleda ali množičnega lažnega predstavljanja.
Trenutno si le velika podjetja lahko privoščijo vlaganje v DDoS in zaščito pred boti, a tudi ta ne morejo vedno v celoti spremljati in filtrirati prometa, ki ga ustvarijo boti. Edina pozitivna stvar pri dejstvu, da postajajo napadi botov vse bolj zapleteni, je, da trg spodbuja k ustvarjanju pametnejših in naprednejših varnostnih rešitev.
Kaj menite - kako se bo razvijala industrija zaščite pred boti in katere rešitve so trenutno potrebne na trgu?
Vir: www.habr.com