Пре неколико година, истраживачке агенције и пружаоци услуга информационе безбедности почеле су да извештавају број ДДоС напада. Али до 1. квартала 2019. исти истраживачи су пријавили своје запањујуће за 84%. А онда је све кренуло од снаге до снаге. Чак ни пандемија није допринела атмосфери мира – напротив, сајбер криминалци и спамери сматрали су ово одличним сигналом за напад, а обим ДДоС-а се повећао .
Верујемо да је време једноставних, лако откривених ДДоС напада (и једноставних алата који их могу спречити) прошло. Сајбер криминалци су постали бољи у скривању ових напада и њиховом извођењу са све софистициранијим. Мрачна индустрија је прешла са грубе силе на нападе на нивоу апликације. Она прима озбиљне налоге да уништи пословне процесе, укључујући и оне прилично офлајн.
Пробијање у стварност
У 2017., серија ДДоС напада усмерених на шведске транспортне услуге резултирала је продужењем . Национални железнички оператер Данске 2019 Системи продаје су пали. Као резултат тога, аутомати за продају карата и аутоматске капије нису радиле на станицама, а више од 15 хиљада путника није могло да изађе. Такође 2019. снажан сајбер напад је изазвао нестанак струје .
Последице ДДоС напада сада не доживљавају само онлајн корисници, већ и људи, како кажу, ИРЛ (у стварном животу). Док су нападачи у прошлости циљали само на услуге на мрежи, њихов циљ је сада често да ометају било које пословне операције. Процењујемо да данас више од 60% напада има такву сврху – изнуду или нелојалну конкуренцију. Трансакције и логистика су посебно рањиви.
Паметнији и скупљи
ДДоС се и даље сматра једним од најчешћих и најбрже растућих врста сајбер криминала. Према експертима, од 2020. њихов број ће се само повећати. Ово је повезано са разним разлозима – са још већом транзицијом онлајн пословања због пандемије, и са развојем сиве индустрије сајбер криминала, па чак и са .
ДДоС напади су у једном тренутку постали „популарни“ због своје лакоће примене и ниске цене: пре само неколико година могли су да се покрену за 50 долара дневно. Данас су се и циљеви и методе напада променили, повећавајући њихову сложеност и, као резултат, цену. Не, цене од 5 долара по сату су још увек у ценовницима (да, сајбер криминалци имају ценовнике и тарифе), али за веб страницу са заштитом већ траже од 400 долара дневно, а цену „индивидуалних“ поруџбина за велике компаније достиже неколико хиљада долара.
Тренутно постоје две главне врсте ДДоС напада. Први циљ је да онлајн ресурс буде недоступан у одређеном временском периоду. Нападачи нападају за њих током самог напада. У овом случају, ДДоС оператер не брине о било каквом конкретном исходу, а клијент заправо плаћа унапред да покрене напад. Такве методе су прилично јефтине.
Други тип су напади који се плаћају тек када се постигне одређени резултат. Са њима је занимљивије. Они су много тежи за имплементацију и самим тим знатно скупљи, јер нападачи морају изабрати најефикасније методе за постизање својих циљева. У Варити-ју понекад играмо читаве шаховске партије са сајбер криминалцима, где они моментално мењају тактику и алате и покушавају да пробију више рањивости на више нивоа одједном. Очигледно је реч о тимским нападима у којима хакери одлично знају како да реагују и да се супротставе акцијама дефанзиваца. Суочавање са њима није само тешко, већ је и веома скупо за компаније. На пример, један од наших клијената, велики онлајн трговац, скоро три године је одржавао тим од 30 људи, чији је задатак био да се бори против ДДоС напада.
Према Варитију, једноставни ДДоС напади који се изводе чисто из досаде, троловања или незадовољства одређеном компанијом тренутно чине мање од 10% свих ДДоС напада (наравно, незаштићени ресурси могу имати различите статистике, гледамо податке о нашим клијентима) . Све остало је дело стручних тимова. Међутим, три четвртине свих „лоших“ ботова су сложени ботови које је тешко открити коришћењем најсавременијих тржишних решења. Они имитирају понашање стварних корисника или претраживача и уводе обрасце који отежавају разликовање између „добрих“ и „лоших“ захтева. Ово чини нападе мање уочљивим и стога ефикаснијим.
Подаци из ГлобалДотс-а
Нове ДДоС мете
Извештај аналитичари из ГлобалДотс-а кажу да ботови сада генеришу 50% укупног веб саобраћаја, а 17,5% њих су злонамерни ботови.
Ботови знају да упропасте животе компанија на различите начине: поред тога што „руше“ веб-сајтове, сада се баве и повећањем трошкова оглашавања, кликтањем на рекламе, анализирањем цена како би зарадили који пени мање и намами купце и краде садржај у разне лоше сврхе (на пример, недавно смо о сајтовима са украденим садржајем који приморавају кориснике да решавају туђе цаптцха). Ботови у великој мери искривљују различите пословне статистике, а као резултат тога, одлуке се доносе на основу нетачних података. ДДоС напад је често димна завеса за још озбиљније злочине као што су хаковање и крађа података. А сада видимо да је додата читава нова класа сајбер претњи - ово је поремећај рада одређених пословних процеса компаније, често ван мреже (пошто у наше време ништа не може бити потпуно „оффлине“). Посебно често видимо да се кваре логистички процеси и комуникација са купцима.
"Није испоручено"
Логистички пословни процеси су кључни за већину компанија, па су често нападнути. Ево могућих сценарија напада.
Није доступно
Ако радите у онлине трговини, онда сте вероватно већ упознати са проблемом лажних поруџбина. Када су нападнути, ботови преоптерећују логистичке ресурсе и чине робу недоступном другим купцима. Да би то урадили, постављају огроман број лажних поруџбина, једнак максималном броју производа на залихама. Ова роба се тада не плаћа и након неког времена се враћа на локацију. Али дело је већ урађено: они су означени као „нема на лагеру“, а неки купци су већ отишли код конкурената. Ова тактика је добро позната у индустрији продаје авио карата, где ботови понекад моментално „распродају“ све карте скоро чим постану доступне. На пример, један од наших клијената, велика авио-компанија, претрпео је такав напад који су организовали кинески конкуренти. За само два сата њихови ботови су наручили 100% карата до одређених дестинација.
Снеакерс ботови
Следећи популарни сценарио: ботови одмах купују читаву линију производа, а њихови власници их касније продају по надуваној цени (у просеку 200% марже). Такви ботови се називају снеакерс ботови, јер је овај проблем добро познат у индустрији модних патика, посебно у ограниченим колекцијама. Ботови су купили нове линије које су се управо појавиле за скоро неколико минута, док су блокирали ресурс тако да прави корисници не могу да прођу тамо. Ово је редак случај када се о ботовима писало у модерним сјајним часописима. Иако, генерално, препродавачи карата за цоол догађаје попут фудбалских утакмица користе исти сценарио.
Други сценарији
Али то није све. Постоји још сложенија верзија напада на логистику, која прети озбиљним губицима. Ово се може урадити ако услуга има опцију „Плаћање по пријему робе“. Ботови остављају лажне поруџбине за такву робу, указујући на лажне или чак стварне адресе људи који ништа не сумњају. А компаније сносе огромне трошкове за испоруку, складиштење и проналажење детаља. У овом тренутку роба није доступна другим купцима, а заузима и простор у магацину.
Шта још? Ботови остављају масивне лажне лоше критике о производима, блокирају функцију „повраћаја плаћања“, блокирају трансакције, краду податке о купцима, шаљу нежељене поруке стварним купцима – постоји много опција. Добар пример је недавни напад на ДХЛ, Хермес, АлдиТалк, Фреенет, Снипес.цом. Хакери , да „тестирају системе заштите од ДДоС-а“, али су на крају спустили пословни клијентски портал компаније и све АПИ-је. Као резултат тога, дошло је до великих прекида у испоруци робе купцима.
Зови сутра
Прошле године, Федерална трговинска комисија (ФТЦ) пријавила је удвостручење жалби компанија и корисника на нежељену пошту и лажне позиве телефонским роботима. Према неким проценама износе сви позиви.
Као и код ДДоС-а, циљеви ТДоС-а — масовни напади робота на телефоне — крећу се од „преваре“ до бескрупулозног такмичења. Ботови могу преоптеретити контакт центре и спречити пропуштање стварних купаца. Овај метод је ефикасан не само за позивне центре са „живим“ оператерима, већ и тамо где се користе АВР системи. Ботови такође могу масовно да нападну друге канале комуникације са купцима (чет, мејлове), поремете рад ЦРМ система и чак, донекле, негативно утичу на управљање кадровима, јер су оператери преоптерећени покушавајући да се изборе са кризом. Напади се такође могу синхронизовати са традиционалним ДДоС нападом на мрежне ресурсе жртве.
Недавно је сличан напад пореметио рад спасилачке службе у САД – обични људи којима је преко потребна помоћ једноставно нису могли да прођу. Отприлике у исто време, Даблински зоолошки врт је доживео исту судбину, са најмање 5000 људи који су добијали нежељене СМС поруке које су их охрабривале да хитно позову број телефона зоолошког врта и траже фиктивну особу.
Неће бити Ви-Фи
Сајбер криминалци такође могу лако да блокирају целу корпоративну мрежу. ИП блокирање се често користи за борбу против ДДоС напада. Али ово није само неефикасна, већ и веома опасна пракса. ИП адресу је лако пронаћи (на пример, путем надгледања ресурса) и лако је заменити (или лажирати). Имали смо клијенте пре доласка у Варити где је блокирање одређене ИП адресе једноставно искључило Ви-Фи у њиховим канцеларијама. Био је случај када је клијенту „склизнуо” тражени ИП, па је блокирао приступ свом ресурсу корисницима из читавог региона, а то није приметио дуго времена, јер је иначе цео ресурс функционисао савршено.
Шта је ново
Нове претње захтевају нова безбедносна решења. Међутим, ова нова тржишна ниша тек почиње да се појављује. Постоји много решења за ефикасно одбијање једноставних напада ботова, али са сложеним није тако једноставно. Многа решења и даље практикују технике ИП блокирања. Другима је потребно време да прикупе почетне податке да би започели, а тих 10-15 минута може постати рањивост. Постоје решења заснована на машинском учењу која вам омогућавају да идентификујете бота по његовом понашању. А у исто време, тимови са „друге“ стране се хвале да већ имају ботове који могу да имитирају праве шаблоне, неразлучиве од људских. Још није јасно ко ће победити.
Шта да радите ако морате да се носите са професионалним ботовским тимовима и сложеним, вишестепеним нападима на неколико нивоа одједном?
Наше искуство показује да се морате фокусирати на филтрирање нелегитимних захтева без блокирања ИП адреса. Сложени ДДоС напади захтевају филтрирање на неколико нивоа одједном, укључујући транспортни ниво, ниво апликације и АПИ интерфејсе. Захваљујући томе, могуће је одбити чак и нападе ниске фреквенције који су обично невидљиви и стога често промашени. Коначно, свим стварним корисницима мора бити дозвољен пролаз, чак и док је напад активан.
Друго, компанијама је потребна могућност да креирају сопствене вишестепене системе заштите, који ће, поред алата за спречавање ДДоС напада, имати уграђене системе против превара, крађе података, заштите садржаја и тако даље.
Треће, они морају да раде у реалном времену од првог захтева – могућност тренутног реаговања на безбедносне инциденте увелико повећава шансе за спречавање напада или смањење његове деструктивне моћи.
Близу будућност: управљање репутацијом и прикупљање великих података помоћу ботова
Историја ДДоС-а је еволуирала од једноставног до сложеног. У почетку је циљ нападача био да зауставе рад сајта. Сада сматрају да је ефикасније да циљају основне пословне процесе.
Софистицираност напада ће наставити да расте, то је неизбежно. Плус оно што лоши ботови сада раде - крађа и фалсификовање података, изнуда, нежељена пошта - ботови ће прикупљати податке из великог броја извора (Биг Дата) и креирати „робусне“ лажне налоге за управљање утицајем, репутацијом или масовним пхисхингом.
Тренутно само велике компаније могу себи приуштити да инвестирају у ДДоС и заштиту од ботова, али чак ни оне не могу увек у потпуности да прате и филтрирају саобраћај који генеришу ботови. Једина позитивна ствар у вези са чињеницом да напади ботовима постају све сложенији је то што то стимулише тржиште да креира паметнија и напреднија безбедносна решења.
Шта мислите – како ће се развијати индустрија заштите од ботова и која су решења тренутно потребна на тржишту?
Извор: ввв.хабр.цом
