Ilang taon na ang nakalilipas, nagsimulang mag-ulat ang mga ahensya ng pananaliksik at mga nagbibigay ng serbisyo sa seguridad ng impormasyon bilang ng mga pag-atake ng DDoS. Ngunit sa 1st quarter ng 2019, iniulat ng parehong mga mananaliksik ang kanilang napakaganda ng 84%. At pagkatapos ang lahat ay naging mula sa lakas hanggang sa lakas. Kahit na ang pandemya ay hindi nag-ambag sa kapaligiran ng kapayapaan - sa kabaligtaran, itinuturing ito ng mga cybercriminal at spammer na isang mahusay na senyales sa pag-atake, at tumaas ang dami ng DDoS .
Naniniwala kami na ang oras para sa mga simple, madaling matukoy na pag-atake ng DDoS (at mga simpleng tool na makakapigil sa mga ito) ay tapos na. Ang mga cybercriminal ay naging mas mahusay sa pagtatago ng mga pag-atake na ito at pagsasagawa ng mga ito nang may pagtaas ng pagiging sopistikado. Ang madilim na industriya ay lumipat mula sa malupit na puwersa patungo sa mga pag-atake sa antas ng aplikasyon. Tumatanggap siya ng mga seryosong utos na sirain ang mga proseso ng negosyo, kabilang ang mga medyo offline.
Pagbagsak sa realidad
Noong 2017, nagresulta ang isang serye ng mga pag-atake ng DDoS na nagta-target sa mga serbisyo ng transportasyon sa Swedish . Noong 2019, ang pambansang operator ng tren ng Denmark Bumaba ang mga sistema ng pagbebenta. Bilang isang resulta, ang mga makina ng tiket at mga awtomatikong gate ay hindi gumana sa mga istasyon, at higit sa 15 libong mga pasahero ang hindi nakaalis. Noong 2019 din, isang malakas na pag-atake sa cyber ang nagdulot ng pagkawala ng kuryente .
Ang mga kahihinatnan ng mga pag-atake ng DDoS ay nararanasan na ngayon hindi lamang ng mga online na gumagamit, kundi pati na rin ng mga tao, tulad ng sinasabi nila, IRL (sa totoong buhay). Bagama't ang mga umaatake ay naka-target lamang sa mga online na serbisyo, ang kanilang layunin ngayon ay madalas na guluhin ang anumang mga pagpapatakbo ng negosyo. Tinatantya namin na ngayon higit sa 60% ng mga pag-atake ay may ganoong layunin - para sa pangingikil o hindi patas na kompetisyon. Ang mga transaksyon at logistik ay lalong mahina.
Mas matalino at mas mahal
Ang DDoS ay patuloy na itinuturing na isa sa pinakakaraniwan at pinakamabilis na lumalagong uri ng cybercrime. Ayon sa mga eksperto, mula 2020 ay tataas lamang ang kanilang bilang. Ito ay nauugnay sa iba't ibang mga kadahilanan - na may mas malaking paglipat ng negosyo online dahil sa pandemya, at sa pag-unlad ng industriya ng anino ng cybercrime, at maging sa .
Ang mga pag-atake ng DDoS ay naging "sikat" sa isang pagkakataon dahil sa kanilang kadalian ng pag-deploy at mababang gastos: ilang taon lamang ang nakalipas maaari silang ilunsad sa halagang $50 sa isang araw. Ngayon, ang parehong mga target at pamamaraan ng pag-atake ay nagbago, pinatataas ang kanilang pagiging kumplikado at, bilang isang resulta, ang gastos. Hindi, ang mga presyo mula sa $5 kada oras ay nasa listahan pa rin ng presyo (oo, ang mga cybercriminal ay may mga listahan ng presyo at iskedyul ng taripa), ngunit para sa isang website na may proteksyon ay humihingi na sila mula sa $400 bawat araw, at ang halaga ng "indibidwal" na mga order para sa malalaking kumpanya umabot ng ilang libong dolyar.
Sa kasalukuyan ay may dalawang pangunahing uri ng pag-atake ng DDoS. Ang unang layunin ay gawing hindi available ang isang online na mapagkukunan para sa isang tiyak na tagal ng panahon. Sinisingil sila ng mga umaatake sa panahon mismo ng pag-atake. Sa kasong ito, ang operator ng DDoS ay walang pakialam sa anumang partikular na resulta, at ang kliyente ay talagang nagbabayad nang maaga upang ilunsad ang pag-atake. Ang ganitong mga pamamaraan ay medyo mura.
Ang pangalawang uri ay ang mga pag-atake na binabayaran lamang kapag ang isang tiyak na resulta ay nakamit. Ito ay mas kawili-wili sa kanila. Ang mga ito ay mas mahirap ipatupad at samakatuwid ay mas mahal, dahil ang mga umaatake ay dapat pumili ng pinakamabisang paraan upang makamit ang kanilang mga layunin. Sa Variti, minsan ay naglalaro kami ng buong laro ng chess kasama ang mga cybercriminal, kung saan agad nilang binabago ang mga taktika at tool at sinusubukang masira ang maraming kahinaan sa maraming antas nang sabay-sabay. Ang mga ito ay malinaw na pag-atake ng koponan kung saan ang mga hacker ay lubos na nakakaalam kung paano tumugon at kontrahin ang mga aksyon ng mga tagapagtanggol. Ang pakikitungo sa kanila ay hindi lamang mahirap, ngunit napakamahal din para sa mga kumpanya. Halimbawa, isa sa aming mga kliyente, isang malaking online na retailer, ay nagpapanatili ng isang pangkat ng 30 tao sa loob ng halos tatlong taon, na ang gawain ay labanan ang mga pag-atake ng DDoS.
Ayon sa Variti, ang mga simpleng pag-atake ng DDoS ay ginawa dahil lamang sa pagkabagot, trolling o hindi kasiyahan sa isang partikular na kumpanya na kasalukuyang nagkakaloob ng mas mababa sa 10% ng lahat ng pag-atake ng DDoS (siyempre, ang mga hindi protektadong mapagkukunan ay maaaring may iba't ibang mga istatistika, tinitingnan namin ang aming data ng customer ) . Lahat ng iba pa ay gawa ng mga propesyonal na koponan. Gayunpaman, tatlong quarter ng lahat ng "masamang" bot ay mga kumplikadong bot na mahirap matukoy gamit ang karamihan sa mga modernong solusyon sa merkado. Ginagaya nila ang gawi ng mga tunay na user o browser at nagpapakilala ng mga pattern na nagpapahirap sa pagkilala sa pagitan ng "mabuti" at "masamang" mga kahilingan. Ginagawa nitong hindi gaanong kapansin-pansin ang mga pag-atake at samakatuwid ay mas epektibo.
Data mula sa GlobalDots
Mga bagong target ng DDoS
Iulat mula sa mga analyst mula sa GlobalDots ay nagsasabi na ang mga bot ay bumubuo na ngayon ng 50% ng lahat ng trapiko sa web, at 17,5% sa mga ito ay mga nakakahamak na bot.
Alam ng mga bot kung paano sirain ang buhay ng mga kumpanya sa iba't ibang paraan: bilang karagdagan sa katotohanan na sila ay "nag-crash" sa mga website, sila ay nakikibahagi din ngayon sa pagtaas ng mga gastos sa advertising, pag-click sa mga advertisement, pag-parse ng mga presyo upang gawing mas kaunti ang mga ito at akitin ang mga mamimili, at magnakaw ng nilalaman para sa iba't ibang masamang layunin (halimbawa, kamakailan lang tungkol sa mga site na may ninakaw na nilalaman na pumipilit sa mga user na lutasin ang mga captcha ng ibang tao). Lubos na binabaluktot ng mga bot ang iba't ibang istatistika ng negosyo, at bilang resulta, ang mga pagpapasya ay ginawa batay sa maling data. Ang pag-atake ng DDoS ay kadalasang smokescreen para sa mas malalang krimen gaya ng pag-hack at pagnanakaw ng data. At ngayon nakita namin na ang isang buong bagong klase ng mga banta sa cyber ay idinagdag - ito ay isang pagkagambala sa pagpapatakbo ng ilang mga proseso ng negosyo ng kumpanya, madalas na offline (dahil sa ating panahon ay walang ganap na "offline"). Lalo na madalas nating nakikita na ang mga proseso ng logistik at komunikasyon sa mga customer ay nasisira.
"Hindi naihatid"
Ang mga proseso ng negosyo sa logistik ay susi para sa karamihan ng mga kumpanya, kaya madalas silang inaatake. Narito ang mga posibleng senaryo ng pag-atake.
Wala sa stock
Kung nagtatrabaho ka sa online commerce, malamang na pamilyar ka na sa problema ng mga pekeng order. Kapag inaatake, nag-o-overload ang mga bot sa mga mapagkukunan ng logistik at ginagawang hindi available ang mga kalakal sa ibang mga mamimili. Upang gawin ito, naglalagay sila ng isang malaking bilang ng mga pekeng order, katumbas ng maximum na bilang ng mga produkto sa stock. Ang mga kalakal na ito ay hindi binabayaran at pagkatapos ng ilang oras ay ibinalik sa site. Ngunit ang gawa ay nagawa na: sila ay minarkahan bilang "out of stock", at ang ilang mga mamimili ay napunta na sa mga kakumpitensya. Kilalang-kilala ang taktika na ito sa industriya ng ticketing sa eroplano, kung saan ang mga bot kung minsan ay agad na "ibinebenta" ang lahat ng mga tiket halos sa sandaling maging available ang mga ito. Halimbawa, ang isa sa aming mga kliyente, isang malaking airline, ay dumanas ng gayong pag-atake na inorganisa ng mga kakumpitensyang Tsino. Sa loob lamang ng dalawang oras, ang kanilang mga bot ay nag-order ng 100% ng mga tiket sa ilang mga destinasyon.
Mga bot ng sneakers
Ang susunod na sikat na senaryo: ang mga bot ay agad na bumili ng isang buong linya ng mga produkto, at ang mga may-ari nito ay nagbebenta ng mga ito sa ibang pagkakataon sa isang napalaki na presyo (sa average na isang 200% markup). Ang ganitong mga bot ay tinatawag na sneakers bots, dahil ang problemang ito ay kilala sa industriya ng fashion sneaker, lalo na ang mga limitadong koleksyon. Bumili ang mga bot ng mga bagong linya na kalalabas lang sa halos ilang minuto, habang hinaharangan ang mapagkukunan upang hindi makalusot doon ang mga tunay na user. Ito ay isang bihirang kaso kapag ang mga bot ay isinulat tungkol sa mga naka-istilong makintab na magazine. Bagama't, sa pangkalahatan, ang mga reseller ng mga tiket sa mga cool na kaganapan tulad ng mga laban sa football ay gumagamit ng parehong senaryo.
Iba pang mga senaryo
Ngunit hindi lang iyon. Mayroong isang mas kumplikadong bersyon ng mga pag-atake sa logistik, na nagbabanta ng malubhang pagkalugi. Magagawa ito kung ang serbisyo ay may opsyong "Pagbabayad sa pagtanggap ng mga kalakal". Ang mga bot ay nag-iiwan ng mga pekeng order para sa mga naturang kalakal, na nagsasaad ng mga pekeng o kahit na tunay na mga address ng hindi pinaghihinalaang mga tao. At ang mga kumpanya ay nagkakaroon ng malaking gastos para sa paghahatid, pag-iimbak, at paghahanap ng mga detalye. Sa oras na ito, hindi available ang mga kalakal sa ibang mga customer, at kumukuha din sila ng espasyo sa bodega.
Ano pa? Ang mga bot ay nag-iiwan ng napakalaking pekeng masamang review tungkol sa mga produkto, i-jam ang function na "pagbabalik ng pagbabayad", pagharang sa mga transaksyon, pagnanakaw ng data ng customer, mga tunay na customer ng spam - maraming mga pagpipilian. Ang isang magandang halimbawa ay ang kamakailang pag-atake sa DHL, Hermes, AldiTalk, Freenet, Snipes.com. Mga hacker , na sila ay "sinusubukan ang mga sistema ng proteksyon ng DDoS," ngunit sa huli ay ibinaba nila ang portal ng kliyente ng negosyo ng kumpanya at lahat ng mga API. Bilang resulta, nagkaroon ng malalaking pagkaantala sa paghahatid ng mga kalakal sa mga customer.
Tumawag bukas
Noong nakaraang taon, iniulat ng Federal Trade Commission (FTC) ang pagdodoble sa mga reklamo mula sa mga negosyo at user tungkol sa spam at mapanlinlang na mga tawag sa bot sa telepono. Ayon sa ilang mga pagtatantya, ang mga ito ay umaabot sa lahat ng tawag.
Tulad ng DDoS, ang mga layunin ng TDoSβnapakalaking pag-atake ng bot sa mga teleponoβmula sa "mga panloloko" hanggang sa walang prinsipyong kumpetisyon. Ang mga bot ay maaaring mag-overload ng mga contact center at maiwasan ang mga tunay na customer na hindi mapalampas. Ang pamamaraang ito ay epektibo hindi lamang para sa mga call center na may mga "live" na operator, kundi pati na rin kung saan ginagamit ang mga AVR system. Ang mga bot ay maaari ding malawakang umatake sa iba pang mga channel ng komunikasyon sa mga customer (chat, email), makagambala sa pagpapatakbo ng mga CRM system at kahit na, sa ilang mga lawak, negatibong nakakaapekto sa pamamahala ng mga tauhan, dahil ang mga operator ay overload na sinusubukang makayanan ang krisis. Ang mga pag-atake ay maaari ding isabay sa isang tradisyonal na pag-atake ng DDoS sa mga online na mapagkukunan ng biktima.
Kamakailan, ang isang katulad na pag-atake ay nakagambala sa gawain ng serbisyo sa pagliligtas sa USA - hindi makalusot ang mga ordinaryong tao na nangangailangan ng tulong. Sa parehong oras, ang Dublin Zoo ay dumanas ng parehong kapalaran, na may hindi bababa sa 5000 mga tao na tumatanggap ng spam SMS na mga text message na naghihikayat sa kanila na agarang tawagan ang numero ng telepono ng zoo at humingi ng isang gawa-gawang tao.
Hindi magkakaroon ng Wi-Fi
Madali ring harangan ng mga cybercriminal ang isang buong corporate network. Ang pag-block ng IP ay kadalasang ginagamit upang labanan ang mga pag-atake ng DDoS. Ngunit ito ay hindi lamang hindi epektibo, kundi pati na rin ang napaka-mapanganib na kasanayan. Ang IP address ay madaling mahanap (halimbawa, sa pamamagitan ng resource monitoring) at madaling palitan (o spoof). Mayroon kaming mga kliyente bago pumunta sa Variti kung saan ang pag-block sa isang partikular na IP ay pinatay lang ang Wi-Fi sa kanilang sariling mga opisina. Nagkaroon ng isang kaso kapag ang isang kliyente ay "nadulas" sa kinakailangang IP, at hinarangan niya ang pag-access sa kanyang mapagkukunan sa mga gumagamit mula sa isang buong rehiyon, at hindi ito napansin nang mahabang panahon, dahil kung hindi man ang buong mapagkukunan ay gumagana nang perpekto.
Ano ang bago?
Ang mga bagong banta ay nangangailangan ng mga bagong solusyon sa seguridad. Gayunpaman, ang bagong market niche na ito ay nagsisimula pa lamang na lumabas. Maraming solusyon para sa epektibong pagtataboy sa mga simpleng pag-atake ng bot, ngunit sa mga kumplikado ay hindi ito gaanong simple. Maraming mga solusyon ang nagsasagawa pa rin ng mga diskarte sa pag-block ng IP. Ang iba ay nangangailangan ng oras upang mangolekta ng paunang data upang makapagsimula, at ang 10-15 minutong iyon ay maaaring maging isang kahinaan. May mga solusyon batay sa machine learning na nagbibigay-daan sa iyong tukuyin ang isang bot ayon sa gawi nito. At kasabay nito, ipinagmamalaki ng mga koponan mula sa "iba pang" panig na mayroon na silang mga bot na maaaring gayahin ang mga tunay na pattern, na hindi makilala sa mga tao. Hindi pa malinaw kung sino ang mananalo.
Ano ang gagawin kung kailangan mong harapin ang mga propesyonal na bot team at kumplikado, multi-stage na pag-atake sa ilang antas nang sabay-sabay?
Ipinapakita ng aming karanasan na kailangan mong tumuon sa pag-filter ng mga hindi lehitimong kahilingan nang hindi hinaharangan ang mga IP address. Ang mga kumplikadong pag-atake ng DDoS ay nangangailangan ng pag-filter sa ilang mga antas nang sabay-sabay, kabilang ang antas ng transportasyon, antas ng aplikasyon, at mga interface ng API. Dahil dito, posible na maitaboy kahit na ang mga pag-atake sa mababang dalas na kadalasang hindi nakikita at samakatuwid ay madalas na napalampas. Sa wakas, lahat ng tunay na user ay dapat payagan, kahit na aktibo ang pag-atake.
Pangalawa, ang mga kumpanya ay nangangailangan ng kakayahang lumikha ng kanilang sariling mga multi-stage na sistema ng proteksyon, na, bilang karagdagan sa mga tool para sa pagpigil sa mga pag-atake ng DDoS, ay magkakaroon ng mga built-in na system laban sa pandaraya, pagnanakaw ng data, proteksyon ng nilalaman, at iba pa.
Pangatlo, dapat silang gumana nang real time mula sa pinakaunang kahilingan - ang kakayahang agad na tumugon sa mga insidente ng seguridad ay lubos na nagpapataas ng mga pagkakataong pigilan ang isang pag-atake o bawasan ang mapanirang kapangyarihan nito.
Malapit na: pamamahala ng reputasyon at pagkolekta ng malaking data gamit ang mga bot
Ang kasaysayan ng DDoS ay umunlad mula sa simple hanggang sa kumplikado. Sa una, ang layunin ng mga umaatake ay pigilan ang site mula sa paggana. Nakikita na nila ngayon na mas mahusay na i-target ang mga pangunahing proseso ng negosyo.
Ang pagiging sopistikado ng mga pag-atake ay patuloy na tataas, ito ay hindi maiiwasan. At kung ano ang ginagawa ngayon ng mga masasamang bot - pagnanakaw at palsipikasyon ng data, pangingikil, spam - mangongolekta ang mga bot ng data mula sa maraming source (Big Data) at gagawa ng "matatag" na mga pekeng account para sa pamamahala ng impluwensya, reputasyon o mass phishing.
Sa kasalukuyan, ang mga malalaking kumpanya lamang ang kayang mamuhunan sa DDoS at proteksyon ng bot, ngunit kahit na hindi nila palaging ganap na masubaybayan at ma-filter ang trapiko na nabuo ng mga bot. Ang tanging positibong bagay tungkol sa katotohanan na ang mga pag-atake ng bot ay nagiging mas kumplikado ay ang pagpapasigla nito sa merkado upang lumikha ng mas matalino at mas advanced na mga solusyon sa seguridad.
Ano sa palagay mo - paano bubuo ang industriya ng proteksyon ng bot at anong mga solusyon ang kailangan sa merkado ngayon?
Pinagmulan: www.habr.com