Disa vjet më parë, agjencitë kërkimore dhe ofruesit e shërbimeve të sigurisë së informacionit filluan të raportojnë numri i sulmeve DDoS. Por nga tremujori i parë i 1, të njëjtët studiues raportuan mahnitjen e tyre me 84%. Dhe pastaj gjithçka shkoi nga forca në fuqi. Edhe pandemia nuk kontribuoi në atmosferën e paqes - përkundrazi, kriminelët kibernetikë dhe spammers e konsideruan këtë një sinjal të shkëlqyer për të sulmuar, dhe vëllimi i DDoS u rrit. .
Ne besojmë se koha për sulme DDoS të thjeshta dhe lehtësisht të zbuluara (dhe mjete të thjeshta që mund t'i parandalojnë ato) ka mbaruar. Kriminelët kibernetikë janë bërë më të mirë në fshehjen e këtyre sulmeve dhe kryerjen e tyre me sofistikim në rritje. Industria e errët ka kaluar nga forca brutale në sulmet e nivelit të aplikimit. Ajo merr urdhra serioze për të shkatërruar proceset e biznesit, përfshirë ato mjaft offline.
Thyerja në realitet
Në vitin 2017, një seri sulmesh DDoS që synonin shërbimet e transportit suedez rezultuan në zgjatje . Në vitin 2019, operatori kombëtar hekurudhor i Danimarkës Sistemet e shitjeve ranë. Si rezultat, makinat e biletave dhe portat automatike nuk funksionuan në stacione dhe më shumë se 15 mijë pasagjerë nuk mundën të largoheshin. Gjithashtu në vitin 2019, një sulm i fuqishëm kibernetik shkaktoi një ndërprerje të energjisë elektrike në .
Pasojat e sulmeve DDoS tani përjetohen jo vetëm nga përdoruesit në internet, por edhe nga njerëzit, siç thonë ata, IRL (në jetën reale). Ndërsa sulmuesit historikisht kanë shënjestruar vetëm shërbimet online, qëllimi i tyre tani është shpesh të ndërpresin çdo operacion biznesi. Ne vlerësojmë se sot më shumë se 60% e sulmeve kanë një qëllim të tillë - për zhvatje ose konkurrencë të pandershme. Transaksionet dhe logjistika janë veçanërisht të cenueshme.
Më i zgjuar dhe më i shtrenjtë
DDoS vazhdon të konsiderohet si një nga llojet më të zakonshme dhe me rritje më të shpejtë të krimit kibernetik. Sipas ekspertëve, nga viti 2020 numri i tyre vetëm do të rritet. Kjo lidhet me arsye të ndryshme - me një tranzicion edhe më të madh të biznesit në internet për shkak të pandemisë, dhe me zhvillimin e industrisë së krimit kibernetik, madje edhe me .
Sulmet DDoS u bënë "të njohura" në një kohë për shkak të lehtësisë së vendosjes së tyre dhe kostos së ulët: vetëm disa vjet më parë ato mund të lëshoheshin për 50 dollarë në ditë. Sot, si objektivat ashtu edhe metodat e sulmit kanë ndryshuar, duke rritur kompleksitetin e tyre dhe, si rezultat, koston. Jo, çmimet nga 5 dollarë në orë janë ende në listat e çmimeve (po, kriminelët kibernetikë kanë lista çmimesh dhe tarifa), por për një faqe interneti me mbrojtje ata tashmë kërkojnë nga 400 dollarë në ditë dhe koston e porosive "individuale" për kompanitë e mëdha arrin disa mijëra dollarë.
Aktualisht ekzistojnë dy lloje kryesore të sulmeve DDoS. Qëllimi i parë është që një burim në internet të bëhet i padisponueshëm për një periudhë të caktuar kohe. Sulmuesit ngarkojnë për ta gjatë vetë sulmit. Në këtë rast, operatori DDoS nuk kujdeset për ndonjë rezultat specifik dhe klienti në fakt paguan paraprakisht për të nisur sulmin. Metoda të tilla janë mjaft të lira.
Lloji i dytë janë sulmet që paguhen vetëm kur arrihet një rezultat i caktuar. Është më interesante me ta. Ato janë shumë më të vështira për t'u zbatuar dhe për këtë arsye dukshëm më të shtrenjta, pasi sulmuesit duhet të zgjedhin metodat më efektive për të arritur qëllimet e tyre. Në Variti, ne ndonjëherë luajmë lojëra të tëra shahu me kriminelët kibernetikë, ku ata ndryshojnë në çast taktikat dhe mjetet dhe përpiqen të depërtojnë në dobësi të shumta në nivele të shumta njëherësh. Këto janë qartazi sulme ekipore në të cilat hakerat dinë shumë mirë se si të reagojnë dhe të kundërshtojnë veprimet e mbrojtësve. Ballafaqimi me to është jo vetëm i vështirë, por edhe shumë i kushtueshëm për kompanitë. Për shembull, një nga klientët tanë, një shitës i madh në internet, mbajti një ekip prej 30 personash për gati tre vjet, detyra e të cilit ishte të luftonte sulmet DDoS.
Sipas Variti, sulmet e thjeshta DDoS të kryera thjesht nga mërzia, trolling ose pakënaqësia me një kompani të caktuar aktualisht përbëjnë më pak se 10% të të gjitha sulmeve DDoS (natyrisht, burimet e pambrojtura mund të kenë statistika të ndryshme, ne shikojmë të dhënat e klientëve tanë ) . Gjithçka tjetër është punë e ekipeve profesionale. Megjithatë, tre të katërtat e të gjithë robotëve "të këqij" janë robotë kompleksë që janë të vështirë të zbulohen duke përdorur zgjidhjet më moderne të tregut. Ata imitojnë sjelljen e përdoruesve ose shfletuesve të vërtetë dhe prezantojnë modele që e bëjnë të vështirë dallimin midis kërkesave "të mira" dhe "të këqija". Kjo i bën sulmet më pak të dukshme dhe për këtë arsye më efektive.
Të dhëna nga GlobalDots
Objektivat e reja DDoS
Raporti nga analistët nga GlobalDots thotë se robotët tani gjenerojnë 50% të të gjithë trafikut në ueb, dhe 17,5% e tyre janë robotë me qëllim të keq.
Bots dinë të shkatërrojnë jetën e kompanive në mënyra të ndryshme: përveç faktit që ata "plasin" faqet e internetit, ata tani janë të angazhuar edhe në rritjen e kostove të reklamave, duke klikuar në reklama, duke analizuar çmimet për t'i bërë ato një qindarkë më pak dhe joshni blerësit dhe vidhni përmbajtje për qëllime të ndryshme të këqija (për shembull, ne kohët e fundit në lidhje me faqet me përmbajtje të vjedhur që i detyrojnë përdoruesit të zgjidhin captchat e njerëzve të tjerë). Bots shtrembërojnë shumë statistika të ndryshme biznesi, dhe si rezultat, vendimet merren bazuar në të dhëna të pasakta. Një sulm DDoS është shpesh një perde tymi për krime edhe më të rënda si hakerimi dhe vjedhja e të dhënave. Dhe tani shohim që është shtuar një klasë krejt e re e kërcënimeve kibernetike - kjo është një ndërprerje e punës së disa proceseve të biznesit të kompanisë, shpesh offline (pasi në kohën tonë asgjë nuk mund të jetë plotësisht "offline"). Sidomos shpesh shohim që proceset logjistike dhe komunikimet me klientët prishen.
"Nuk është dorëzuar"
Proceset e biznesit logjistik janë kyçe për shumicën e kompanive, kështu që ato shpesh sulmohen. Këtu janë skenarët e mundshëm të sulmit.
Nuk është në dispozicion
Nëse punoni në tregtinë online, atëherë me siguri tashmë jeni njohur me problemin e porosive të rreme. Kur sulmohen, robotët mbingarkojnë burimet logjistike dhe i bëjnë mallrat të padisponueshme për blerësit e tjerë. Për ta bërë këtë, ata vendosin një numër të madh të porosive të rreme, të barabartë me numrin maksimal të produkteve në magazinë. Këto mallra më pas nuk paguhen dhe pas njëfarë kohe kthehen në sit. Por vepra tashmë është bërë: ato u shënuan si "të pa aksioneve", dhe disa blerës tashmë kanë shkuar te konkurrentët. Kjo taktikë është e njohur në industrinë e biletave të linjave ajrore, ku robotët ndonjëherë i “shesin” menjëherë të gjitha biletat pothuajse sapo ato bëhen të disponueshme. Për shembull, një nga klientët tanë, një kompani e madhe ajrore, vuajti nga një sulm i tillë i organizuar nga konkurrentët kinezë. Në vetëm dy orë, robotët e tyre porositën 100% të biletave për destinacione të caktuara.
Bots atlete
Skenari tjetër popullor: robotët blejnë në çast një linjë të tërë produktesh dhe pronarët e tyre i shesin më vonë me një çmim të fryrë (mesatarisht një rritje prej 200%). Bots të tilla quhen sneakers bots, sepse ky problem është i njohur në industrinë e atleteve të modës, veçanërisht koleksionet e kufizuara. Bots blenë linja të reja që sapo ishin shfaqur në pothuajse minuta, ndërsa bllokuan burimin në mënyrë që përdoruesit e vërtetë të mos mund të kalonin atje. Ky është një rast i rrallë kur janë shkruar për bots në revistat me shkëlqim në modë. Edhe pse, në përgjithësi, rishitësit e biletave për ngjarje të freskëta, siç janë ndeshjet e futbollit, përdorin të njëjtin skenar.
Skenarë të tjerë
Por kjo nuk është e gjitha. Ekziston një version edhe më kompleks i sulmeve ndaj logjistikës, i cili kërcënon humbje serioze. Kjo mund të bëhet nëse shërbimi ka opsionin "Pagesa pas marrjes së mallrave". Bots lënë porosi të rreme për mallra të tillë, duke treguar adresa të rreme apo edhe reale të njerëzve që nuk dyshojnë. Dhe kompanitë bëjnë kosto të mëdha për dërgimin, ruajtjen dhe zbulimin e detajeve. Në këtë kohë, mallrat nuk janë të disponueshme për klientët e tjerë dhe gjithashtu zënë vend në magazinë.
Çfarë tjetër? Bots lënë komente masive të rreme të këqija për produktet, bllokojnë funksionin e "kthimit të pagesës", bllokojnë transaksionet, vjedhin të dhënat e klientit, dërgojnë mesazhe të padëshiruara për klientët e vërtetë - ka shumë opsione. Një shembull i mirë është sulmi i fundit në DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hakerat , se ata po "testojnë sistemet e mbrojtjes DDoS", por në fund ata hodhën poshtë portalin e klientëve të biznesit të kompanisë dhe të gjitha API-të. Si pasojë, ka pasur ndërprerje të mëdha në dërgimin e mallrave për klientët.
Telefono nesër
Vitin e kaluar, Komisioni Federal i Tregtisë (FTC) raportoi një dyfishim të ankesave nga bizneset dhe përdoruesit për thirrjet e padëshiruara dhe mashtruese të robotëve telefonikë. Sipas disa vlerësimeve, ato arrijnë në të gjitha thirrjet.
Ashtu si me DDoS, qëllimet e TDoS-sulme masive me bot në telefona- variojnë nga "mashtrimet" deri te konkurrenca e paskrupullt. Bots mund të mbingarkojnë qendrat e kontaktit dhe të parandalojnë që klientët e vërtetë të mos mungojnë. Kjo metodë është efektive jo vetëm për qendrat e thirrjeve me operatorë "live", por edhe ku përdoren sistemet AVR. Bots gjithashtu mund të sulmojnë masivisht kanalet e tjera të komunikimit me klientët (chat, email), të prishin funksionimin e sistemeve CRM dhe madje, në një farë mase, të ndikojnë negativisht në menaxhimin e personelit, sepse operatorët janë të mbingarkuar duke u përpjekur të përballojnë krizën. Sulmet mund të sinkronizohen gjithashtu me një sulm tradicional DDoS në burimet online të viktimës.
Së fundmi, një sulm i ngjashëm ndërpreu punën e shërbimit të shpëtimit në SHBA - njerëzit e zakonshëm në nevojë të madhe për ndihmë thjesht nuk mund të kalonin. Përafërsisht në të njëjtën kohë, kopshti zoologjik i Dublinit pësoi të njëjtin fat, me të paktën 5000 njerëz që morën mesazhe SMS me mesazhe të padëshiruara, duke i inkurajuar ata të telefonojnë urgjentisht në numrin e telefonit të kopshtit zoologjik dhe të kërkojnë një person fiktiv.
Nuk do të ketë Wi-Fi
Kriminelët kibernetikë gjithashtu mund të bllokojnë lehtësisht një rrjet të tërë korporatash. Bllokimi i IP shpesh përdoret për të luftuar sulmet DDoS. Por kjo nuk është vetëm praktikë joefektive, por edhe shumë e rrezikshme. Adresa IP është e lehtë për t'u gjetur (për shembull, përmes monitorimit të burimeve) dhe e lehtë për t'u zëvendësuar (ose mashtruar). Kemi pasur klientë përpara se të vinim në Variti, ku bllokimi i një IP të caktuar thjesht çaktivizoi Wi-Fi në zyrat e tyre. Kishte një rast kur një klienti ishte "rrëshqitur" me IP-në e kërkuar, dhe ai bllokoi hyrjen në burimin e tij për përdoruesit nga një rajon i tërë dhe nuk e vuri re këtë për një kohë të gjatë, sepse përndryshe i gjithë burimi funksiononte në mënyrë perfekte.
What'sfarë ka të re
Kërcënimet e reja kërkojnë zgjidhje të reja sigurie. Megjithatë, kjo kamare e re e tregut sapo ka filluar të shfaqet. Ka shumë zgjidhje për të zmbrapsur në mënyrë efektive sulmet e thjeshta bot, por me ato komplekse nuk është aq e thjeshtë. Shumë zgjidhje ende praktikojnë teknikat e bllokimit të IP. Të tjerëve u duhet kohë për të mbledhur të dhënat fillestare për të filluar, dhe ato 10-15 minuta mund të bëhen një dobësi. Ka zgjidhje të bazuara në mësimin e makinerive që ju lejojnë të identifikoni një bot nga sjellja e tij. Dhe në të njëjtën kohë, ekipet nga pala "tjetër" mburren se ata tashmë kanë robotë që mund të imitojnë modele reale, të padallueshme nga ato njerëzore. Nuk është ende e qartë se kush do të fitojë.
Çfarë duhet të bëni nëse duhet të merreni me ekipe profesionale bot dhe sulme komplekse me shumë faza në disa nivele njëherësh?
Përvoja jonë tregon se duhet të përqendroheni në filtrimin e kërkesave të paligjshme pa bllokuar adresat IP. Sulmet komplekse DDoS kërkojnë filtrim në disa nivele njëherësh, duke përfshirë nivelin e transportit, nivelin e aplikacionit dhe ndërfaqet API. Falë kësaj, është e mundur të zmbrapsen edhe sulmet me frekuencë të ulët që zakonisht janë të padukshme dhe për këtë arsye shpesh humbasin. Së fundi, të gjithë përdoruesit e vërtetë duhet të lejohen të kalojnë, edhe kur sulmi është aktiv.
Së dyti, kompanitë kanë nevojë për aftësinë për të krijuar sistemet e tyre të mbrojtjes me shumë faza, të cilat, përveç mjeteve për parandalimin e sulmeve DDoS, do të kenë sisteme të integruara kundër mashtrimit, vjedhjes së të dhënave, mbrojtjes së përmbajtjes etj.
Së treti, ata duhet të punojnë në kohë reale që nga kërkesa e parë - aftësia për t'iu përgjigjur menjëherë incidenteve të sigurisë rrit në masë të madhe shanset për të parandaluar një sulm ose për të zvogëluar fuqinë e tij shkatërruese.
E ardhmja e afërt: menaxhimi i reputacionit dhe mbledhja e të dhënave të mëdha duke përdorur robotë
Historia e DDoS ka evoluar nga e thjeshtë në komplekse. Në fillim, qëllimi i sulmuesve ishte të ndalonin funksionimin e faqes. Ata tani e shohin më efikase të synojnë proceset kryesore të biznesit.
Sofistikimi i sulmeve do të vazhdojë të rritet, është e pashmangshme. Plus atë që robotët e këqij po bëjnë tani - vjedhja dhe falsifikimi i të dhënave, zhvatja, mesazhet e padëshiruara - robotët do të mbledhin të dhëna nga një numër i madh burimesh (Big Data) dhe do të krijojnë llogari false "të fuqishme" për menaxhimin e ndikimit, reputacionin ose phishing masiv.
Aktualisht, vetëm kompanitë e mëdha mund të përballojnë të investojnë në DDoS dhe mbrojtjen e robotëve, por edhe ato nuk mund të monitorojnë dhe filtrojnë gjithmonë plotësisht trafikun e krijuar nga robotët. E vetmja gjë pozitive për faktin se sulmet me bot po bëhen më komplekse është se stimulojnë tregun për të krijuar zgjidhje sigurie më të zgjuara dhe më të avancuara.
Çfarë mendoni - si do të zhvillohet industria e mbrojtjes së robotëve dhe cilat zgjidhje nevojiten në treg tani?
Burimi: www.habr.com