เมื่อสองสามปีที่แล้ว หน่วยงานวิจัยและผู้ให้บริการรักษาความปลอดภัยข้อมูลเริ่มรายงาน จำนวนการโจมตี DDoS แต่ภายในไตรมาสที่ 1 ของปี 2019 นักวิจัยคนเดียวกันรายงานว่าน่าทึ่งมาก 84% แล้วทุกอย่างก็เปลี่ยนจากความแข็งแกร่งไปสู่ความแข็งแกร่ง แม้แต่การแพร่ระบาดก็ไม่ได้ส่งผลต่อบรรยากาศแห่งความสงบสุข - ในทางกลับกัน อาชญากรไซเบอร์และผู้ส่งอีเมลขยะถือว่านี่เป็นสัญญาณที่ดีเยี่ยมในการโจมตี และปริมาณของ DDoS ก็เพิ่มขึ้น .
เราเชื่อว่าเวลาสำหรับการโจมตี DDoS ที่เรียบง่ายและตรวจพบได้ง่าย (และเครื่องมือง่ายๆ ที่สามารถป้องกันได้) สิ้นสุดลงแล้ว อาชญากรไซเบอร์สามารถซ่อนการโจมตีเหล่านี้ได้ดีขึ้นและดำเนินการอย่างซับซ้อนมากขึ้น อุตสาหกรรมมืดได้เปลี่ยนจากการโจมตีแบบรุนแรงไปสู่การโจมตีระดับแอปพลิเคชัน เธอได้รับคำสั่งร้ายแรงให้ทำลายกระบวนการทางธุรกิจ รวมถึงกระบวนการที่ค่อนข้างออฟไลน์ด้วย
แตกสลายสู่ความเป็นจริง
ในปี 2017 การโจมตี DDoS หลายครั้งที่มุ่งเป้าไปที่บริการขนส่งของสวีเดนส่งผลให้ใช้เวลานานขึ้น . ในปี 2019 ผู้ประกอบการรถไฟแห่งชาติของเดนมาร์ก ระบบการขายก็ล่ม ส่งผลให้เครื่องจำหน่ายตั๋วและประตูอัตโนมัติไม่ทำงานที่สถานี และผู้โดยสารมากกว่า 15 คนไม่สามารถออกได้ นอกจากนี้ในปี 2019 การโจมตีทางไซเบอร์ที่ทรงพลังยังส่งผลให้ไฟฟ้าดับอีกด้วย .
ผลที่ตามมาจากการโจมตี DDoS ไม่เพียงประสบกับผู้ใช้ออนไลน์เท่านั้น แต่ยังรวมถึงผู้คนอย่างที่พวกเขากล่าวว่า IRL (ในชีวิตจริง) แม้ว่าในอดีตผู้โจมตีจะกำหนดเป้าหมายเฉพาะบริการออนไลน์ แต่เป้าหมายของพวกเขาในปัจจุบันมักจะเป็นการขัดขวางการดำเนินธุรกิจ เราประเมินว่าในปัจจุบัน การโจมตีมากกว่า 60% มีจุดประสงค์ดังกล่าว - เพื่อขู่กรรโชกหรือการแข่งขันที่ไม่ยุติธรรม ธุรกรรมและโลจิสติกส์มีความเสี่ยงเป็นพิเศษ
ฉลาดกว่าและมีราคาแพงกว่า
DDoS ยังคงได้รับการพิจารณาว่าเป็นอาชญากรรมทางไซเบอร์ประเภทหนึ่งที่พบได้บ่อยที่สุดและเติบโตเร็วที่สุด ตามที่ผู้เชี่ยวชาญระบุว่าตั้งแต่ปี 2020 จำนวนของพวกเขาจะเพิ่มขึ้นเท่านั้น สิ่งนี้เกี่ยวข้องกับเหตุผลหลายประการ - ด้วยการเปลี่ยนแปลงที่ยิ่งใหญ่กว่าของธุรกิจออนไลน์เนื่องจากการแพร่ระบาด และด้วยการพัฒนาของอุตสาหกรรมเงาของอาชญากรรมในโลกไซเบอร์ และแม้กระทั่งกับ .
การโจมตี DDoS กลายมาเป็น "ยอดนิยม" ในคราวเดียว เนื่องจากความง่ายในการใช้งานและต้นทุนต่ำ เมื่อสองสามปีที่แล้วการโจมตีดังกล่าวสามารถเริ่มใช้งานได้ในราคา 50 ดอลลาร์ต่อวัน ในปัจจุบัน ทั้งเป้าหมายและวิธีการโจมตีได้เปลี่ยนไป ทำให้เกิดความซับซ้อนมากขึ้น และส่งผลให้มีค่าใช้จ่ายเพิ่มขึ้นด้วย ไม่ ราคาตั้งแต่ 5 ดอลลาร์ต่อชั่วโมงยังอยู่ในรายการราคา (ใช่ อาชญากรไซเบอร์มีรายการราคาและตารางภาษี) แต่สำหรับเว็บไซต์ที่มีการป้องกัน พวกเขาต้องการอยู่แล้วตั้งแต่ 400 ดอลลาร์ต่อวัน และต้นทุนของคำสั่งซื้อ “บุคคลธรรมดา” สำหรับบริษัทขนาดใหญ่ ถึงหลายพันดอลลาร์
ปัจจุบันการโจมตี DDoS มี XNUMX ประเภทหลักๆ เป้าหมายแรกคือการทำให้แหล่งข้อมูลออนไลน์ไม่สามารถใช้งานได้ในช่วงระยะเวลาหนึ่ง ผู้โจมตีจะเรียกเก็บเงินจากพวกเขาในระหว่างการโจมตี ในกรณีนี้ ผู้ดำเนินการ DDoS ไม่สนใจผลลัพธ์ที่เฉพาะเจาะจงใดๆ และลูกค้าจ่ายเงินล่วงหน้าจริง ๆ เพื่อเริ่มการโจมตี วิธีการดังกล่าวมีราคาค่อนข้างถูก
ประเภทที่สองคือการโจมตีที่จ่ายเมื่อบรรลุผลสำเร็จเท่านั้น มันน่าสนใจกว่าสำหรับพวกเขา การดำเนินการเหล่านี้ทำได้ยากกว่ามากและมีราคาแพงกว่ามาก เนื่องจากผู้โจมตีจะต้องเลือกวิธีการที่มีประสิทธิภาพสูงสุดเพื่อให้บรรลุเป้าหมาย ที่ Variti บางครั้งเราเล่นเกมหมากรุกทั้งหมดกับอาชญากรไซเบอร์ ซึ่งพวกเขาจะเปลี่ยนกลยุทธ์และเครื่องมือทันที และพยายามเจาะเข้าไปในช่องโหว่หลายรายการในหลายระดับพร้อมกัน เห็นได้ชัดว่านี่คือการโจมตีแบบทีมซึ่งแฮกเกอร์รู้ดีว่าจะตอบสนองและตอบโต้การกระทำของฝ่ายป้องกันได้ดีเพียงใด การจัดการกับสิ่งเหล่านี้ไม่เพียงแต่ยาก แต่ยังมีค่าใช้จ่ายสูงสำหรับบริษัทอีกด้วย ตัวอย่างเช่น ลูกค้ารายหนึ่งของเรา ซึ่งเป็นผู้ค้าปลีกออนไลน์รายใหญ่ ดูแลทีมงาน 30 คนมาเป็นเวลาเกือบสามปี โดยมีหน้าที่ต่อสู้กับการโจมตี DDoS
จากข้อมูลของ Variti การโจมตี DDoS ธรรมดาๆ เกิดขึ้นจากความเบื่อหน่าย การหลอกล่อ หรือความไม่พอใจกับบริษัทใดบริษัทหนึ่งโดยเฉพาะ ปัจจุบันคิดเป็นสัดส่วนน้อยกว่า 10% ของการโจมตี DDoS ทั้งหมด (แน่นอนว่าทรัพยากรที่ไม่ได้รับการป้องกันอาจมีสถิติที่แตกต่างกัน เราดูที่ข้อมูลลูกค้าของเรา) . อย่างอื่นเป็นผลงานของทีมงานมืออาชีพ อย่างไรก็ตาม สามในสี่ของบอทที่ “แย่” ทั้งหมดนั้นเป็นบอทที่ซับซ้อนซึ่งตรวจพบได้ยากโดยใช้โซลูชั่นการตลาดที่ทันสมัยที่สุด พวกเขาเลียนแบบพฤติกรรมของผู้ใช้จริงหรือเบราว์เซอร์ และแนะนำรูปแบบที่ทำให้ยากต่อการแยกแยะระหว่างคำขอ "ดี" และ "ไม่ดี" สิ่งนี้ทำให้การโจมตีมองเห็นได้น้อยลงและมีประสิทธิภาพมากขึ้น
ข้อมูลจาก GlobalDots
เป้าหมาย DDoS ใหม่
รายงาน จากนักวิเคราะห์จาก GlobalDots กล่าวว่าตอนนี้บอทสร้าง 50% ของการเข้าชมเว็บทั้งหมด และ 17,5% เป็นบอทที่เป็นอันตราย
บอทรู้วิธีทำลายชีวิตของบริษัทในรูปแบบต่างๆ: นอกเหนือจากข้อเท็จจริงที่ว่าพวกเขา "ล่ม" เว็บไซต์แล้ว ตอนนี้พวกเขายังมีส่วนร่วมในการเพิ่มต้นทุนการโฆษณา การคลิกโฆษณา แยกวิเคราะห์ราคาเพื่อทำให้พวกเขาเสียเงินน้อยลง และ ล่อลวงผู้ซื้อ และขโมยเนื้อหาเพื่อวัตถุประสงค์ที่ไม่ดีต่างๆ (เช่น เราเพิ่ง เกี่ยวกับไซต์ที่มีเนื้อหาที่ถูกขโมยซึ่งบังคับให้ผู้ใช้แก้ไข captcha ของผู้อื่น) บอทบิดเบือนสถิติทางธุรกิจต่างๆ อย่างมาก และด้วยเหตุนี้ การตัดสินใจจึงขึ้นอยู่กับข้อมูลที่ไม่ถูกต้อง การโจมตี DDoS มักจะเป็นควันสำหรับอาชญากรรมร้ายแรง เช่น การแฮ็กและการขโมยข้อมูล และตอนนี้เราเห็นว่ามีการเพิ่มภัยคุกคามทางไซเบอร์ประเภทใหม่ - นี่คือการหยุดชะงักของกระบวนการทางธุรกิจบางอย่างของบริษัท ซึ่งมักจะออฟไลน์ (เนื่องจากในสมัยของเราไม่มีสิ่งใดที่สามารถ "ออฟไลน์ได้อย่างสมบูรณ์") โดยเฉพาะอย่างยิ่งบ่อยครั้งที่เราเห็นว่ากระบวนการโลจิสติกส์และการสื่อสารกับลูกค้าพังทลาย
"ไม่ได้ส่ง"
กระบวนการทางธุรกิจด้านโลจิสติกส์เป็นกุญแจสำคัญสำหรับบริษัทส่วนใหญ่ จึงมักถูกโจมตี ต่อไปนี้เป็นสถานการณ์การโจมตีที่เป็นไปได้
หมดสต็อก
หากคุณทำงานค้าขายออนไลน์ คุณคงคุ้นเคยกับปัญหาคำสั่งซื้อปลอมอยู่แล้ว เมื่อถูกโจมตี บอทจะใช้งานทรัพยากรโลจิสติกส์มากเกินไป และทำให้ผู้ซื้อรายอื่นไม่สามารถเข้าถึงสินค้าได้ ในการทำเช่นนี้ พวกเขาวางคำสั่งซื้อปลอมจำนวนมาก ซึ่งเท่ากับจำนวนสินค้าสูงสุดในสต็อก สินค้าเหล่านี้จะไม่ได้รับการชำระเงินและหลังจากนั้นไม่นานก็จะถูกส่งกลับไปยังไซต์ แต่โฉนดได้เสร็จสิ้นแล้ว: พวกเขาถูกทำเครื่องหมายว่า "สินค้าหมด" และผู้ซื้อบางรายได้ไปหาคู่แข่งแล้ว กลยุทธ์นี้เป็นที่รู้จักกันดีในอุตสาหกรรมตั๋วเครื่องบิน ซึ่งบางครั้งบอทจะ "ขาย" ตั๋วทั้งหมดทันทีเกือบจะทันทีที่ตั๋วมีจำหน่าย ตัวอย่างเช่น ลูกค้ารายหนึ่งของเราซึ่งเป็นสายการบินขนาดใหญ่ ได้รับผลกระทบจากการโจมตีดังกล่าวซึ่งจัดโดยคู่แข่งชาวจีน ในเวลาเพียงสองชั่วโมง บอทของพวกเขาสั่งตั๋ว 100% ไปยังจุดหมายปลายทางบางแห่ง
รองเท้าผ้าใบบอท
สถานการณ์ยอดนิยมถัดไป: บอทซื้อผลิตภัณฑ์ทั้งหมดทันที และเจ้าของจะขายผลิตภัณฑ์เหล่านั้นในภายหลังในราคาที่สูงเกินจริง (โดยเฉลี่ยมาร์กอัป 200%) บอทดังกล่าวเรียกว่า บอทรองเท้าผ้าใบ เนื่องจากปัญหานี้เป็นที่รู้จักกันดีในอุตสาหกรรมรองเท้าผ้าใบแฟชั่น โดยเฉพาะคอลเลกชันที่มีจำนวนจำกัด บอทซื้อบรรทัดใหม่ที่เพิ่งปรากฏขึ้นในเวลาเกือบนาที ในขณะที่บล็อกทรัพยากรเพื่อให้ผู้ใช้จริงไม่สามารถผ่านที่นั่นได้ นี่เป็นกรณีที่ไม่ค่อยเกิดขึ้นเมื่อมีการเขียนเกี่ยวกับบอทในนิตยสารเคลือบเงาที่ทันสมัย แม้ว่าโดยทั่วไปแล้ว ผู้ค้าปลีกตั๋วเข้าชมงานอีเวนต์เจ๋งๆ เช่น การแข่งขันฟุตบอล จะใช้สถานการณ์เดียวกัน
สถานการณ์อื่นๆ
แต่นั่นไม่ใช่ทั้งหมด มีการโจมตีด้านลอจิสติกส์ในเวอร์ชันที่ซับซ้อนยิ่งขึ้นซึ่งคุกคามความสูญเสียร้ายแรง ซึ่งสามารถทำได้หากบริการมีตัวเลือก "การชำระเงินเมื่อได้รับสินค้า" บอททิ้งคำสั่งซื้อปลอมสำหรับสินค้าดังกล่าว โดยระบุที่อยู่ปลอมหรือแม้แต่ที่อยู่จริงของผู้ที่ไม่สงสัย และบริษัทต่างๆ ก็มีต้นทุนมหาศาลในการจัดส่ง การจัดเก็บ และการค้นหารายละเอียด ในขณะนี้ สินค้าไม่มีให้กับลูกค้ารายอื่น และยังกินพื้นที่ในคลังสินค้าด้วย
อะไรอีก? บอททิ้งรีวิวปลอมจำนวนมากเกี่ยวกับผลิตภัณฑ์ ติดขัดฟังก์ชัน "การคืนสินค้า" บล็อกธุรกรรม ขโมยข้อมูลลูกค้า สแปมลูกค้าจริง - มีตัวเลือกมากมาย ตัวอย่างที่ดีคือการโจมตีล่าสุดกับ DHL, Hermes, AldiTalk, Freenet, Snipes.com แฮกเกอร์ ว่าพวกเขากำลัง “ทดสอบระบบป้องกัน DDoS” แต่สุดท้ายแล้วพวกเขาก็ปิดพอร์ทัลลูกค้าธุรกิจของบริษัทและ API ทั้งหมด ส่งผลให้การส่งมอบสินค้าให้กับลูกค้าหยุดชะงักอย่างมาก
โทรพรุ่งนี้
เมื่อปีที่แล้ว Federal Trade Commission (FTC) รายงานว่ามีการร้องเรียนจากธุรกิจและผู้ใช้เพิ่มขึ้นสองเท่าเกี่ยวกับสแปมและการหลอกลวงทางโทรศัพท์ ตามการประมาณการบางอย่างพวกเขามีจำนวน ทุกสาย
เช่นเดียวกับ DDoS เป้าหมายของ TDoS—การโจมตีบอทขนาดใหญ่บนโทรศัพท์—มีตั้งแต่ “การหลอกลวง” ไปจนถึงการแข่งขันที่ไร้ยางอาย บอทสามารถโอเวอร์โหลดศูนย์ติดต่อและป้องกันไม่ให้ลูกค้าจริงพลาด วิธีการนี้ใช้ได้ผลไม่เฉพาะกับศูนย์บริการทางโทรศัพท์ที่มีผู้ปฏิบัติงาน "สด" เท่านั้น แต่ยังใช้ได้ผลกับพื้นที่ที่ใช้ระบบ AVR ด้วย บอทยังสามารถโจมตีช่องทางการสื่อสารอื่นๆ กับลูกค้าได้อย่างมหาศาล (แชท อีเมล) ขัดขวางการทำงานของระบบ CRM และแม้กระทั่งส่งผลเสียต่อการจัดการบุคลากรในระดับหนึ่ง เนื่องจากผู้ปฏิบัติงานมีภาระงานมากเกินไปในการพยายามรับมือกับวิกฤติ การโจมตีดังกล่าวสามารถซิงโครไนซ์กับการโจมตี DDoS แบบดั้งเดิมบนแหล่งข้อมูลออนไลน์ของเหยื่อได้
เมื่อเร็วๆ นี้ การโจมตีในลักษณะเดียวกันนี้ได้ขัดขวางการทำงานของหน่วยกู้ภัย ในสหรัฐอเมริกา - คนธรรมดาที่ต้องการความช่วยเหลืออย่างเร่งด่วนไม่สามารถผ่านไปได้ ในช่วงเวลาเดียวกัน สวนสัตว์ดับลินก็ประสบชะตากรรมเดียวกัน โดยมีผู้คนอย่างน้อย 5000 คนที่ได้รับข้อความ SMS ที่เป็นสแปม กระตุ้นให้พวกเขาโทรไปที่หมายเลขโทรศัพท์ของสวนสัตว์อย่างเร่งด่วนและขอบุคคลที่ปลอมแปลง
จะไม่มี Wi-Fi
อาชญากรไซเบอร์ยังสามารถบล็อกเครือข่ายองค์กรทั้งหมดได้อย่างง่ายดาย การบล็อก IP มักใช้เพื่อต่อสู้กับการโจมตี DDoS แต่นี่ไม่เพียงแต่ไม่ได้ผลเท่านั้น แต่ยังเป็นการฝึกฝนที่อันตรายอีกด้วย ที่อยู่ IP นั้นหาได้ง่าย (เช่น ผ่านการตรวจสอบทรัพยากร) และง่ายต่อการเปลี่ยน (หรือปลอมแปลง) เราเคยมีลูกค้ามาก่อนที่จะมาที่ Variti ซึ่งการบล็อก IP ที่เฉพาะเจาะจงเป็นเพียงการปิด Wi-Fi ในสำนักงานของพวกเขาเอง มีกรณีที่ลูกค้า "ลื่นไถล" ด้วย IP ที่ต้องการ และเขาได้บล็อกการเข้าถึงทรัพยากรของเขาสำหรับผู้ใช้จากทั้งภูมิภาค และไม่ได้สังเกตเห็นสิ่งนี้มาเป็นเวลานาน เพราะไม่เช่นนั้นทรัพยากรทั้งหมดจะทำงานได้อย่างสมบูรณ์
มีอะไรใหม่
ภัยคุกคามใหม่ๆ จำเป็นต้องมีโซลูชั่นรักษาความปลอดภัยใหม่ๆ อย่างไรก็ตาม ตลาดเฉพาะกลุ่มใหม่นี้เพิ่งเริ่มปรากฏให้เห็น มีวิธีแก้ไขปัญหามากมายสำหรับการต่อต้านการโจมตีด้วยบอทแบบธรรมดาอย่างมีประสิทธิภาพ แต่ด้วยวิธีที่ซับซ้อนนั้นมันไม่ง่ายเลย โซลูชันจำนวนมากยังคงใช้เทคนิคการบล็อก IP บางรายต้องใช้เวลาในการรวบรวมข้อมูลเริ่มต้นเพื่อเริ่มต้นใช้งาน และ 10-15 นาทีเหล่านั้นก็อาจกลายเป็นช่องโหว่ได้ มีโซลูชันที่ใช้การเรียนรู้ของเครื่องซึ่งช่วยให้คุณสามารถระบุบอทตามพฤติกรรมของมันได้ และในขณะเดียวกัน ทีมจากฝั่ง "อื่นๆ" ก็อวดอ้างว่าพวกเขามีบอทที่สามารถเลียนแบบรูปแบบจริงอยู่แล้ว ซึ่งแยกไม่ออกจากมนุษย์ ยังไม่ชัดเจนว่าใครจะชนะ
จะทำอย่างไรถ้าคุณต้องรับมือกับทีมบอทมืออาชีพและการโจมตีหลายขั้นตอนที่ซับซ้อนในหลายระดับพร้อมกัน?
ประสบการณ์ของเราแสดงให้เห็นว่าคุณต้องมุ่งเน้นไปที่การกรองคำขอที่ผิดกฎหมายโดยไม่ปิดกั้นที่อยู่ IP การโจมตี DDoS ที่ซับซ้อนจำเป็นต้องมีการกรองหลายระดับในคราวเดียว รวมถึงระดับการขนส่ง ระดับแอปพลิเคชัน และอินเทอร์เฟซ API ด้วยเหตุนี้ จึงเป็นไปได้ที่จะขับไล่แม้แต่การโจมตีความถี่ต่ำที่มักจะมองไม่เห็นและมักจะพลาดไป สุดท้ายนี้ ผู้ใช้จริงทุกคนจะต้องได้รับอนุญาตให้ผ่าน แม้ว่าการโจมตีจะทำงานอยู่ก็ตาม
ประการที่สอง บริษัทต่างๆ ต้องการความสามารถในการสร้างระบบการป้องกันแบบหลายขั้นตอนของตนเอง ซึ่งนอกเหนือจากเครื่องมือในการป้องกันการโจมตี DDoS แล้ว ยังมีระบบในตัวที่ป้องกันการฉ้อโกง การโจรกรรมข้อมูล การปกป้องเนื้อหา และอื่นๆ
ประการที่สาม พวกเขาจะต้องทำงานแบบเรียลไทม์ตั้งแต่คำขอแรก - ความสามารถในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยในทันทีจะช่วยเพิ่มโอกาสในการป้องกันการโจมตีหรือลดพลังทำลายล้างได้อย่างมาก
อนาคตอันใกล้: การจัดการชื่อเสียงและการรวบรวมข้อมูลขนาดใหญ่โดยใช้บอท
ประวัติความเป็นมาของ DDoS มีการพัฒนาจากง่ายไปสู่ซับซ้อน ในตอนแรก เป้าหมายของผู้โจมตีคือการหยุดไซต์ไม่ให้ทำงาน ตอนนี้พวกเขาพบว่าการกำหนดเป้าหมายกระบวนการทางธุรกิจหลักมีประสิทธิภาพมากขึ้น
ความซับซ้อนในการโจมตีจะเพิ่มขึ้นเรื่อยๆอย่างหลีกเลี่ยงไม่ได้ รวมถึงสิ่งที่บอทที่ไม่ดีกำลังทำอยู่ตอนนี้ - การขโมยข้อมูลและการปลอมแปลงข้อมูล การขู่กรรโชก สแปม - บอทจะรวบรวมข้อมูลจากแหล่งที่มาจำนวนมาก (ข้อมูลขนาดใหญ่) และสร้างบัญชีปลอมที่ "แข็งแกร่ง" สำหรับการจัดการอิทธิพล ชื่อเสียง หรือฟิชชิ่งจำนวนมาก
ปัจจุบัน มีเพียงบริษัทขนาดใหญ่เท่านั้นที่สามารถลงทุนใน DDoS และการป้องกันบอทได้ แต่ถึงแม้จะไม่สามารถติดตามและกรองการรับส่งข้อมูลที่สร้างโดยบอทได้อย่างสมบูรณ์เสมอไป ข้อดีอย่างเดียวเกี่ยวกับความจริงที่ว่าการโจมตีด้วยบอทมีความซับซ้อนมากขึ้นก็คือ จะช่วยกระตุ้นตลาดให้สร้างโซลูชั่นรักษาความปลอดภัยที่ชาญฉลาดและล้ำหน้ายิ่งขึ้น
คุณคิดอย่างไร - อุตสาหกรรมการป้องกันบอทจะพัฒนาอย่างไร และโซลูชั่นใดบ้างที่จำเป็นในตลาดตอนนี้?
ที่มา: will.com