几年前,研究机构和信息安全服务提供商开始报告 DDoS 攻击的数量。 但到 1 年第一季度,同样的研究人员报告了他们令人震惊的结果 84%。 然后一切都变得越来越强大。 即使是大流行也没有促进和平气氛 - 相反,网络犯罪分子和垃圾邮件发送者认为这是一个极好的攻击信号,DDoS 数量增加 .
我们相信简单、容易检测到的 DDoS 攻击(以及可以阻止这些攻击的简单工具)的时代已经结束。 网络犯罪分子越来越擅长隐藏这些攻击,并以越来越复杂的方式实施攻击。 黑暗产业已经从暴力攻击转向应用级攻击。 她收到了破坏业务流程的严厉命令,包括相当离线的业务流程。
闯入现实
2017 年,一系列针对瑞典交通服务的 DDoS 攻击导致长时间的网络瘫痪。 。 2019年,丹麦国家铁路运营商 销售系统瘫痪了。 导致车站售票机和自动检票机无法工作,15万余名乘客无法离开。 同样是在2019年,一次强大的网络攻击导致了停电 .
DDoS 攻击的后果现在不仅在线用户会经历,而且正如人们所说,IRL(现实生活中)也会经历。 虽然攻击者历来只针对在线服务,但现在他们的目标往往是破坏任何业务运营。 我们估计,如今超过 60% 的攻击都有这样的目的——敲诈勒索或不公平竞争。 交易和物流尤其容易受到影响。
更智能、更昂贵
DDoS 仍然被认为是最常见和增长最快的网络犯罪类型之一。 据专家称,从2020年开始,它们的数量只会增加。 这与多种原因有关——疫情导致的在线业务的更大转型,网络犯罪影子产业的发展,甚至是 .
DDoS 攻击因其易于部署且成本低廉而一度变得“流行”:就在几年前,每天只需 50 美元即可发起攻击。 如今,攻击目标和方法都发生了变化,增加了其复杂性,从而增加了成本。 不,每小时 5 美元起的价格仍在价目表中(是的,网络犯罪分子有价目表和资费表),但对于具有保护的网站,他们已经要求每天 400 美元起,以及大公司“个人”订单的成本达到几千美元。
目前DDoS攻击主要有两种类型。 第一个目标是使在线资源在一段时间内不可用。 攻击者在攻击期间对其进行冲锋。 在这种情况下,DDoS 运营商并不关心任何具体结果,客户实际上需要预先付费才能发起攻击。 这些方法非常便宜。
第二种是只有达到一定结果才付费的攻击。 和他们在一起更有趣。 它们实施起来更加困难,因此成本也更高,因为攻击者必须选择最有效的方法来实现其目标。 在 Variti,我们有时会与网络犯罪分子玩整盘棋,他们会立即改变策略和工具,并尝试同时突破多个级别的多个漏洞。 这些显然是团队攻击,黑客非常清楚如何反应和反击防御者的行为。 与他们打交道不仅很困难,而且对企业来说成本也很高。 例如,我们的一个客户是一家大型在线零售商,维持了一支 30 人的团队近三年,其任务是对抗 DDoS 攻击。
根据 Variti 的说法,纯粹出于无聊、恶意攻击或对特定公司不满而进行的简单 DDoS 攻击目前占所有 DDoS 攻击的比例不到 10%(当然,未受保护的资源可能有不同的统计数据,我们查看我们的客户数据) 。 其他的一切都是专业团队的工作。 然而,四分之三的“坏”机器人都是复杂的机器人,使用大多数现代市场解决方案都难以检测到。 它们模仿真实用户或浏览器的行为,并引入难以区分“好”和“坏”请求的模式。 这使得攻击不那么引人注目,因此更加有效。
数据来自 GlobalDots
新的 DDoS 目标
报告 GlobalDots 分析师表示,机器人现在产生了所有网络流量的 50%,其中 17,5% 是恶意机器人。
机器人知道如何以不同的方式毁掉公司的生命:除了让网站“崩溃”之外,它们现在还从事增加广告成本、点击广告、解析价格以使其少一分钱和引诱买家,并出于各种不良目的窃取内容(例如,我们最近 关于含有被盗内容并迫使用户解决其他人的验证码的网站)。 机器人极大地扭曲了各种业务统计数据,导致决策是基于不正确的数据做出的。 DDoS 攻击通常是黑客和数据盗窃等更严重犯罪的烟幕弹。 现在我们看到增加了一种全新的网络威胁 - 这会破坏公司某些业务流程的工作,通常是离线的(因为在我们这个时代,没有什么可以完全“离线”)。 我们尤其经常看到物流流程和与客户的沟通中断。
“没送到”
物流业务流程对于大多数公司来说至关重要,因此经常受到攻击。 以下是可能的攻击场景。
不适用
如果您从事在线商务工作,那么您可能已经熟悉假订单问题。 当受到攻击时,机器人会导致物流资源超载,导致其他买家无法获得商品。 为此,他们下了大量虚假订单,数量相当于库存产品的最大数量。 然后,这些货物不再付款,并在一段时间后被退回现场。 但事情已经完成:它们被标记为“缺货”,一些买家已经转向竞争对手。 这种策略在航空票务行业中众所周知,机器人有时几乎在所有机票一出现就立即“售空”。 例如,我们的一个客户,一家大型航空公司,就遭受了中国竞争对手组织的此类攻击。 在短短两个小时内,他们的机器人就 100% 订购了前往某些目的地的机票。
运动鞋机器人
下一个流行的场景是:机器人立即购买整个系列的产品,然后它们的所有者以高价出售它们(平均加价 200%)。 此类机器人被称为运动鞋机器人,因为这个问题在时尚运动鞋行业,尤其是限量系列中众所周知。 机器人买下了几乎几分钟后才出现的新线路,同时封锁了资源,使真正的用户无法通过那里。 当时尚杂志上报道机器人时,这种情况很少见。 不过,一般来说,足球比赛等精彩赛事门票的经销商也会使用相同的场景。
其他场景
但这还不是全部。 还有一种更为复杂的物流攻击形式,可能会造成严重损失。 如果该服务具有“收到货物后付款”选项,则可以完成此操作。 机器人会留下此类商品的虚假订单,显示毫无戒心的人的虚假甚至真实地址。 公司在交付、存储和查找细节方面承受着巨大的成本。 这时,货物就无法提供给其他顾客,而且还占用仓库的空间。
还有什么? 机器人留下大量关于产品的虚假差评、堵塞“付款退货”功能、阻止交易、窃取客户数据、向真实客户发送垃圾邮件——有很多选择。 一个很好的例子是最近对 DHL、Hermes、AldiTalk、Freenet、Snipes.com 的攻击。 黑客 ,他们正在“测试 DDoS 防护系统”,但最终他们放下了公司的业务客户端门户和所有 API。 结果,向客户的货物交付出现了严重中断。
明天打电话
去年,美国联邦贸易委员会 (FTC) 报告称,企业和用户对垃圾邮件和欺诈性电话机器人电话的投诉增加了一倍。 根据一些估计,它们相当于 所有通话。
与 DDoS 一样,TDoS(对手机进行大规模机器人攻击)的目标范围从“恶作剧”到不择手段的竞争。 机器人可能会使联络中心超载,并防止错过真正的客户。 这种方法不仅对于有“现场”接线员的呼叫中心有效,而且对于使用 AVR 系统的呼叫中心也有效。 机器人程序还可以大规模攻击与客户的其他沟通渠道(聊天、电子邮件),扰乱 CRM 系统的运行,甚至在某种程度上对人员管理产生负面影响,因为运营商在应对危机时不堪重负。 这些攻击还可以与对受害者在线资源的传统 DDoS 攻击同步。
最近,类似的袭击扰乱了救援服务的工作 在美国,急需帮助的普通民众根本无法渡过难关。 大约在同一时间,都柏林动物园也遭遇了同样的命运,至少有 5000 人收到垃圾短信,鼓励他们紧急拨打动物园的电话号码,询问一个虚构的人。
不会有 Wi-Fi
Киберпреступники также могут легко заблокировать всю корпоративную сеть. Часто блокировка IP используется в качестве борьбы с DDoS-атаками. Но это не только неэффективная, но и очень опасная практика. IP-адрес легко найти (например, с помощью мониторинга ресурсов) и легко заменить (или подделать). У наших клиентов до прихода в Variti были случаи, когда это привело к тому, что блокировка определенного IP попросту отключила Wi-Fi в их собственных офисах. Был случай, когда клиенту “подсунули” нужный IP, и он заблокировал доступ к своему ресурсу пользователям из целого региона, причем долго этого не замечал, потому что в остальном весь ресурс прекрасно функционировал.
什么是新的?
Новые угрозы требуют новых решений для защиты. Однако эта новая ниша на рынке только начинает формироваться. Решений для эффективного отражения простых атак ботов множество, а вот со сложными все не так просто. Многие решения по-прежнему практикуют методы блокировки IP. Другим нужно время, чтобы собрать первичные данные для начала работы, и эти 10-15 минут могут стать уязвимостью. Есть решения, основанные на машинном обучении, которые позволяют определять бота по его поведению. И одновременно команды с “той” стороны хвастаются, что у них уже есть боты, которые могут имитировать реальные, неотличимые от человеческих паттерны. Кто кого — пока непонятно.
如果您必须同时应对专业的机器人团队和复杂的多级攻击,该怎么办?
我们的经验表明,您需要专注于过滤非法请求而不阻止 IP 地址。 复杂的 DDoS 攻击需要同时在多个级别进行过滤,包括传输级别、应用程序级别和 API 接口。 因此,甚至可以抵御通常不可见且经常被错过的低频攻击。 最后,即使攻击处于活动状态,也必须允许所有真实用户通过。
其次,企业需要有能力创建自己的多级保护系统,除了防止DDoS攻击的工具外,还需要内置防欺诈、数据盗窃、内容保护等系统。
第三,它们必须从第一个请求开始就实时工作——立即响应安全事件的能力大大增加了防止攻击或降低其破坏力的机会。
不久的将来:使用机器人进行声誉管理和大数据收集
DDoS 的历史经历了从简单到复杂的演变。 最初,攻击者的目标是阻止该网站运行。 他们现在发现以核心业务流程为目标更加有效。
攻击的复杂性将继续增加,这是不可避免的。 再加上坏机器人现在正在做的事情——数据盗窃和伪造、敲诈勒索、垃圾邮件——机器人将从大量来源(大数据)收集数据,并创建“强大”的虚假帐户,以进行影响力管理、声誉或大规模网络钓鱼。
目前,只有大公司才有能力投资 DDoS 和机器人防护,但即使他们也无法始终完全监控和过滤机器人产生的流量。 机器人攻击变得越来越复杂,唯一积极的一点是它刺激市场创造更智能、更先进的安全解决方案。
您认为机器人防护行业将如何发展以及目前市场上需要哪些解决方案?
来源: habr.com