Cách đây vài năm, các cơ quan nghiên cứu và nhà cung cấp dịch vụ bảo mật thông tin đã bắt đầu báo cáo số vụ tấn công DDoS. Nhưng đến quý 1 năm 2019, chính các nhà nghiên cứu đó đã báo cáo kết quả kinh ngạc của họ bằng 84%. Và rồi mọi thứ diễn ra ngày càng mạnh mẽ. Ngay cả đại dịch cũng không góp phần tạo nên bầu không khí hòa bình - ngược lại, tội phạm mạng và kẻ gửi thư rác coi đây là tín hiệu tuyệt vời để tấn công, và số lượng DDoS ngày càng tăng .
Chúng tôi tin rằng thời của các cuộc tấn công DDoS đơn giản, dễ phát hiện (và các công cụ đơn giản có thể ngăn chặn chúng) đã qua. Tội phạm mạng ngày càng giỏi che giấu các cuộc tấn công này và thực hiện chúng với mức độ tinh vi ngày càng tăng. Ngành công nghiệp đen tối đã chuyển từ tấn công vũ phu sang tấn công cấp ứng dụng. Cô nhận được lệnh nghiêm trọng để phá hủy các quy trình kinh doanh, bao gồm cả những quy trình khá ngoại tuyến.
Đột nhập vào thực tế
Năm 2017, hàng loạt vụ tấn công DDoS nhắm vào các dịch vụ vận tải của Thụy Điển đã gây ra hậu quả kéo dài. . Năm 2019, nhà điều hành đường sắt quốc gia Đan Mạch Hệ thống bán hàng đã đi xuống. Kết quả là máy bán vé và cổng tự động tại các nhà ga không hoạt động, hơn 15 nghìn hành khách không thể rời đi. Cũng trong năm 2019, một cuộc tấn công mạng mạnh mẽ đã gây ra sự cố mất điện ở .
Hậu quả của các cuộc tấn công DDoS giờ đây không chỉ người dùng trực tuyến mà còn cả những người, như người ta nói, IRL (trong đời thực) phải gánh chịu. Mặc dù trước đây những kẻ tấn công chỉ nhắm mục tiêu vào các dịch vụ trực tuyến, mục tiêu của chúng hiện nay thường là làm gián đoạn mọi hoạt động kinh doanh. Chúng tôi ước tính rằng ngày nay hơn 60% các cuộc tấn công đều có mục đích như vậy - để tống tiền hoặc cạnh tranh không lành mạnh. Giao dịch và hậu cần đặc biệt dễ bị tổn thương.
Thông minh hơn và đắt tiền hơn
DDoS tiếp tục được coi là một trong những loại tội phạm mạng phổ biến nhất và phát triển nhanh nhất. Theo các chuyên gia, từ năm 2020 số lượng của họ sẽ chỉ tăng lên. Điều này có liên quan đến nhiều lý do - với sự chuyển đổi kinh doanh trực tuyến thậm chí còn lớn hơn do đại dịch và với sự phát triển của ngành công nghiệp ngầm của tội phạm mạng, và thậm chí với .
Các cuộc tấn công DDoS đã có lúc trở nên “phổ biến” vì tính dễ triển khai và chi phí thấp: chỉ vài năm trước, chúng có thể được tung ra với giá 50 USD/ngày. Ngày nay, cả mục tiêu và phương pháp tấn công đều đã thay đổi, làm tăng độ phức tạp và kéo theo đó là chi phí. Không, giá từ 5 đô la một giờ vẫn nằm trong bảng giá (vâng, tội phạm mạng có bảng giá và biểu thuế), nhưng đối với một trang web được bảo vệ, chúng đã yêu cầu từ 400 đô la mỗi ngày và chi phí cho các đơn đặt hàng “riêng lẻ” đối với các công ty lớn đạt tới vài nghìn đô la.
Hiện tại có hai loại tấn công DDoS chính. Mục tiêu đầu tiên là làm cho tài nguyên trực tuyến không khả dụng trong một khoảng thời gian nhất định. Những kẻ tấn công tính phí cho họ trong chính cuộc tấn công. Trong trường hợp này, kẻ điều hành DDoS không quan tâm đến bất kỳ kết quả cụ thể nào và khách hàng thực sự trả tiền trước để thực hiện cuộc tấn công. Những phương pháp như vậy khá rẻ.
Loại thứ hai là các cuộc tấn công chỉ được trả tiền khi đạt được một kết quả nhất định. Nó thú vị hơn với họ. Chúng khó thực hiện hơn nhiều và do đó đắt hơn đáng kể, vì những kẻ tấn công phải chọn các phương pháp hiệu quả nhất để đạt được mục tiêu của chúng. Tại Variti, đôi khi chúng tôi chơi toàn bộ ván cờ với tội phạm mạng, nơi chúng ngay lập tức thay đổi chiến thuật và công cụ, đồng thời cố gắng xâm nhập vào nhiều lỗ hổng ở nhiều cấp độ cùng một lúc. Đây rõ ràng là những cuộc tấn công đồng đội trong đó tin tặc biết rất rõ cách phản ứng và chống lại hành động của những người phòng thủ. Việc giải quyết chúng không chỉ khó khăn mà còn rất tốn kém cho các công ty. Ví dụ: một trong những khách hàng của chúng tôi, một nhà bán lẻ trực tuyến lớn, đã duy trì một nhóm gồm 30 người trong gần ba năm, có nhiệm vụ chống lại các cuộc tấn công DDoS.
Theo Variti, các cuộc tấn công DDoS đơn giản được thực hiện hoàn toàn vì sự nhàm chán, troll hoặc không hài lòng với một công ty cụ thể hiện chiếm chưa đến 10% tổng số các cuộc tấn công DDoS (tất nhiên, các tài nguyên không được bảo vệ có thể có số liệu thống kê khác nhau, chúng tôi xem xét dữ liệu khách hàng của mình) . Mọi thứ khác là công việc của các đội chuyên nghiệp. Tuy nhiên, XNUMX/XNUMX số bot “xấu” là những bot phức tạp, khó phát hiện bằng hầu hết các giải pháp thị trường hiện đại. Chúng bắt chước hành vi của người dùng hoặc trình duyệt thực và đưa ra các mẫu khiến việc phân biệt giữa các yêu cầu “tốt” và “xấu” trở nên khó khăn. Điều này làm cho các cuộc tấn công ít được chú ý hơn và do đó hiệu quả hơn.
Dữ liệu từ GlobalDots
Mục tiêu DDoS mới
Báo cáo từ các nhà phân tích từ GlobalDots nói rằng các bot hiện tạo ra 50% tổng lưu lượng truy cập web và 17,5% trong số đó là các bot độc hại.
Bot biết cách hủy hoại cuộc sống của các công ty theo nhiều cách khác nhau: ngoài việc “làm hỏng” các trang web, giờ đây chúng còn tham gia vào việc tăng chi phí quảng cáo, nhấp vào quảng cáo, phân tích giá để kiếm được ít hơn một xu và thu hút người mua và đánh cắp nội dung cho nhiều mục đích xấu khác nhau (ví dụ: gần đây chúng tôi về các trang web có nội dung bị đánh cắp buộc người dùng phải giải mã xác thực của người khác). Bot làm sai lệch rất nhiều số liệu thống kê kinh doanh khác nhau và kết quả là các quyết định được đưa ra dựa trên dữ liệu không chính xác. Một cuộc tấn công DDoS thường là bình phong cho những tội ác thậm chí còn nghiêm trọng hơn như hack và đánh cắp dữ liệu. Và bây giờ chúng tôi thấy rằng một loại mối đe dọa mạng hoàn toàn mới đã được thêm vào - đây là sự gián đoạn công việc của một số quy trình kinh doanh nhất định của công ty, thường là ngoại tuyến (vì trong thời đại của chúng ta không có gì có thể hoàn toàn “ngoại tuyến”). Đặc biệt chúng ta thường thấy rằng các quy trình hậu cần và liên lạc với khách hàng bị trục trặc.
"Chưa giao"
Quy trình kinh doanh logistics là chìa khóa của hầu hết các công ty nên thường xuyên bị tấn công. Dưới đây là các kịch bản tấn công có thể xảy ra.
Hết hàng
Nếu bạn làm việc trong lĩnh vực thương mại trực tuyến thì chắc hẳn bạn đã quen với vấn đề đơn hàng giả. Khi bị tấn công, bot sẽ làm quá tải nguồn lực hậu cần và khiến hàng hóa không có sẵn cho những người mua khác. Để làm được điều này, họ đặt một số lượng lớn đơn đặt hàng giả, tương đương với số lượng sản phẩm tối đa trong kho. Những hàng hóa này sau đó không được thanh toán và sau một thời gian sẽ được trả lại địa điểm. Nhưng hành động đó đã được thực hiện: chúng được đánh dấu là "hết hàng" và một số người mua đã đến tay đối thủ cạnh tranh. Chiến thuật này rất phổ biến trong ngành bán vé máy bay, nơi mà các bot đôi khi ngay lập tức “bán hết” tất cả vé gần như ngay khi chúng có sẵn. Ví dụ, một trong những khách hàng của chúng tôi, một hãng hàng không lớn, đã phải hứng chịu một cuộc tấn công như vậy do các đối thủ cạnh tranh Trung Quốc tổ chức. Chỉ trong hai giờ, bot của họ đã đặt mua 100% vé đến một số điểm đến nhất định.
Bot giày thể thao
Kịch bản phổ biến tiếp theo: bot ngay lập tức mua toàn bộ dòng sản phẩm và chủ sở hữu của chúng bán chúng sau đó với giá tăng cao (trung bình tăng 200%). Những bot như vậy được gọi là bot giày thể thao, vì vấn đề này rất phổ biến trong ngành giày thể thao thời trang, đặc biệt là các bộ sưu tập giới hạn. Bot mua lại các dòng mới vừa xuất hiện trong gần vài phút, đồng thời chặn tài nguyên khiến người dùng thực không thể truy cập được. Đây là một trường hợp hiếm hoi khi bot được viết trên các tạp chí thời trang hào nhoáng. Mặc dù nhìn chung, những người bán lại vé xem các sự kiện hấp dẫn như các trận bóng đá đều sử dụng kịch bản tương tự.
Các tình huống khác
Nhưng đó không phải là tất cả. Có một phiên bản thậm chí còn phức tạp hơn của các cuộc tấn công vào hậu cần, đe dọa gây ra tổn thất nghiêm trọng. Điều này có thể được thực hiện nếu dịch vụ có tùy chọn “Thanh toán khi nhận hàng”. Bot để lại các đơn đặt hàng giả cho những hàng hóa đó, chỉ ra địa chỉ giả hoặc thậm chí là địa chỉ thật của những người không nghi ngờ. Và các công ty phải chịu chi phí rất lớn cho việc giao hàng, lưu trữ và tìm hiểu chi tiết. Lúc này, hàng hóa không có sẵn cho khách hàng khác và chúng cũng chiếm chỗ trong kho.
Còn gì nữa? Bot để lại những đánh giá xấu giả mạo về sản phẩm, làm cản trở chức năng “hoàn trả thanh toán”, chặn giao dịch, đánh cắp dữ liệu khách hàng, spam khách hàng thật - có nhiều lựa chọn. Một ví dụ điển hình là cuộc tấn công gần đây vào DHL, Hermes, AldiTalk, Freenet, Snipes.com. tin tặc , rằng họ đang “thử nghiệm các hệ thống bảo vệ DDoS”, nhưng cuối cùng họ đã đóng cổng thông tin khách hàng doanh nghiệp của công ty và tất cả các API. Kết quả là đã có sự gián đoạn lớn trong việc giao hàng cho khách hàng.
Gọi vào ngày mai
Năm ngoái, Ủy ban Thương mại Liên bang (FTC) đã báo cáo số lượng khiếu nại từ các doanh nghiệp và người dùng về các cuộc gọi điện thoại spam và gian lận từ bot điện thoại đã tăng gấp đôi. Theo một số ước tính, chúng lên tới tât cả cuộc gọi.
Cũng như DDoS, mục tiêu của TDoS—các cuộc tấn công bot quy mô lớn vào điện thoại—từ “trò lừa bịp” đến cạnh tranh vô đạo đức. Bot có thể làm quá tải các trung tâm liên lạc và khiến khách hàng thực sự không bị bỏ lỡ. Phương pháp này không chỉ hiệu quả đối với các trung tâm cuộc gọi có nhân viên vận hành “trực tiếp” mà còn hiệu quả ở những nơi sử dụng hệ thống AVR. Bot cũng có thể tấn công ồ ạt các kênh liên lạc khác với khách hàng (trò chuyện, email), làm gián đoạn hoạt động của hệ thống CRM và thậm chí, ở một mức độ nào đó, ảnh hưởng tiêu cực đến việc quản lý nhân sự, do các nhà điều hành đang quá tải khi cố gắng đối phó với khủng hoảng. Các cuộc tấn công cũng có thể được đồng bộ hóa với cuộc tấn công DDoS truyền thống nhằm vào tài nguyên trực tuyến của nạn nhân.
Gần đây, một cuộc tấn công tương tự đã làm gián đoạn công việc của dịch vụ cứu hộ. ở Hoa Kỳ - những người bình thường đang rất cần sự giúp đỡ không thể vượt qua được. Cùng thời gian đó, Sở thú Dublin cũng chịu chung số phận, với ít nhất 5000 người nhận được tin nhắn SMS rác khuyến khích họ gọi khẩn cấp vào số điện thoại của sở thú và yêu cầu một người hư cấu.
Sẽ không có Wi-Fi
Tội phạm mạng cũng có thể dễ dàng chặn toàn bộ mạng công ty. Chặn IP thường được sử dụng để chống lại các cuộc tấn công DDoS. Nhưng điều này không những không hiệu quả mà còn rất nguy hiểm. Địa chỉ IP rất dễ tìm thấy (ví dụ: thông qua giám sát tài nguyên) và dễ thay thế (hoặc giả mạo). Chúng tôi đã có khách hàng trước khi đến Variti, nơi việc chặn một IP cụ thể chỉ cần tắt Wi-Fi trong văn phòng của họ. Đã xảy ra trường hợp một khách hàng bị “trượt” IP được yêu cầu và anh ta đã chặn quyền truy cập vào tài nguyên của mình đối với người dùng trong toàn bộ khu vực và không nhận thấy điều này trong một thời gian dài, vì nếu không thì toàn bộ tài nguyên sẽ hoạt động hoàn hảo.
Có gì mới?
Các mối đe dọa mới đòi hỏi các giải pháp bảo mật mới. Tuy nhiên, phân khúc thị trường mới này mới chỉ bắt đầu xuất hiện. Có nhiều giải pháp để đẩy lùi các cuộc tấn công bot đơn giản một cách hiệu quả, nhưng với những giải pháp phức tạp thì không đơn giản như vậy. Nhiều giải pháp vẫn thực hiện kỹ thuật chặn IP. Những người khác cần thời gian để thu thập dữ liệu ban đầu để bắt đầu và 10-15 phút đó có thể trở thành lỗ hổng. Có những giải pháp dựa trên máy học cho phép bạn xác định bot bằng hành vi của nó. Đồng thời, các đội từ phía “bên kia” khoe rằng họ đã có bot có thể bắt chước các mẫu thực, không thể phân biệt được với mẫu của con người. Vẫn chưa rõ ai sẽ thắng.
Phải làm gì nếu bạn phải đối phó với các đội bot chuyên nghiệp và các cuộc tấn công phức tạp, nhiều giai đoạn trên nhiều cấp độ cùng một lúc?
Kinh nghiệm của chúng tôi cho thấy bạn cần tập trung vào việc lọc các yêu cầu bất hợp pháp mà không chặn địa chỉ IP. Các cuộc tấn công DDoS phức tạp yêu cầu lọc ở nhiều cấp độ cùng một lúc, bao gồm cấp độ truyền tải, cấp độ ứng dụng và giao diện API. Nhờ đó, có thể đẩy lùi ngay cả các cuộc tấn công tần số thấp thường vô hình và do đó thường bị bỏ sót. Cuối cùng, tất cả người dùng thực phải được phép đi qua, ngay cả khi cuộc tấn công đang diễn ra.
Thứ hai, các công ty cần có khả năng tạo ra các hệ thống bảo vệ nhiều giai đoạn của riêng mình, ngoài các công cụ ngăn chặn các cuộc tấn công DDoS, sẽ có các hệ thống tích hợp chống gian lận, trộm cắp dữ liệu, bảo vệ nội dung, v.v.
Thứ ba, chúng phải hoạt động trong thời gian thực ngay từ yêu cầu đầu tiên - khả năng phản hồi ngay lập tức các sự cố bảo mật giúp tăng đáng kể cơ hội ngăn chặn một cuộc tấn công hoặc giảm sức công phá của nó.
Tương lai gần: quản lý danh tiếng và thu thập dữ liệu lớn bằng bot
Lịch sử của DDoS đã phát triển từ đơn giản đến phức tạp. Lúc đầu, mục tiêu của những kẻ tấn công là ngăn trang web hoạt động. Giờ đây, họ nhận thấy việc nhắm mục tiêu vào các quy trình kinh doanh cốt lõi sẽ hiệu quả hơn.
Mức độ tinh vi của các cuộc tấn công sẽ tiếp tục gia tăng, đó là điều khó tránh khỏi. Cộng với những gì các bot xấu đang làm hiện nay - đánh cắp và làm sai lệch dữ liệu, tống tiền, spam - các bot sẽ thu thập dữ liệu từ một số lượng lớn các nguồn (Dữ liệu lớn) và tạo các tài khoản giả “mạnh mẽ” để quản lý ảnh hưởng, danh tiếng hoặc lừa đảo hàng loạt.
Hiện tại, chỉ có các công ty lớn mới có đủ khả năng đầu tư vào DDoS và bảo vệ bot, nhưng thậm chí họ không phải lúc nào cũng có thể giám sát và lọc đầy đủ lưu lượng truy cập do bot tạo ra. Điểm tích cực duy nhất cho thấy các cuộc tấn công bằng bot đang trở nên phức tạp hơn là nó kích thích thị trường tạo ra các giải pháp bảo mật thông minh hơn và tiên tiến hơn.
Bạn nghĩ gì - ngành bảo vệ bot sẽ phát triển như thế nào và thị trường hiện nay cần những giải pháp gì?
Nguồn: www.habr.com