幾年前,研究機構和資訊安全服務提供者開始報告 DDoS 攻擊的數量。 但到 1 年第一季度,同樣的研究人員報告了他們令人震驚的結果 84%。 然後一切都變得越來越強大。 即使是大流行也沒有促進和平氣氛 - 相反,網路犯罪分子和垃圾郵件發送者認為這是一個極好的攻擊信號,DDoS 數量增加 .
我們相信簡單、容易偵測到的 DDoS 攻擊(以及可以阻止這些攻擊的簡單工具)的時代已經結束。 網路犯罪分子越來越擅長隱藏這些攻擊,並以越來越複雜的方式實施攻擊。 黑暗產業已經從暴力攻擊轉向應用級攻擊。 她收到了破壞業務流程的嚴厲命令,包括相當離線的業務流程。
闖入現實
2017 年,一系列針對瑞典交通服務的 DDoS 攻擊導致長時間的網路癱瘓。 。 2019年,丹麥國家鐵路營運商 銷售系統癱瘓了。 導致車站售票機和自動檢票機無法運作,15萬餘名乘客無法離開。 同樣在2019年,一次強大的網路攻擊導致了停電 .
DDoS 攻擊的後果現在不僅線上用戶會經歷,而且正如人們所說,IRL(現實生活中)也會經歷。 雖然攻擊者歷來只針對線上服務,但現在他們的目標往往是破壞任何業務運作。 我們估計,如今超過 60% 的攻擊都有這樣的目的——敲詐勒索或不公平競爭。 交易和物流尤其容易受到影響。
更聰明、更昂貴
DDoS 仍然被認為是最常見和成長最快的網路犯罪類型之一。 據專家稱,從2020年開始,它們的數量只會增加。 這與多種原因有關——疫情導致的線上業務的更大轉型,網路犯罪影子產業的發展,甚至是 .
DDoS 攻擊因其易於部署且成本低廉而一度變得「流行」:就在幾年前,每天只需 50 美元即可發動攻擊。 如今,攻擊目標和方法都發生了變化,增加了其複雜性,增加了成本。 不,每小時5 美元起的價格仍在價目表中(是的,網路犯罪分子有價目表和資費表),但對於具有保護的網站,他們已經要求每天400 美元起,以及大公司“個人”訂單的成本達到數千美元。
目前DDoS攻擊主要有兩種類型。 第一個目標是使線上資源在一段時間內不可用。 攻擊者在攻擊期間對其進行衝鋒。 在這種情況下,DDoS 業者並不關心任何具體結果,客戶實際上需要預先付費才能發動攻擊。 這些方法非常便宜。
第二種是只有達到一定結果才會付費的攻擊。 和他們在一起更有趣。 它們實施起來更加困難,因此成本也更高,因為攻擊者必須選擇最有效的方法來實現其目標。 在 Variti,我們有時會與網路犯罪分子玩整盤棋,他們會立即改變策略和工具,並嘗試同時突破多個層級的多個漏洞。 這些顯然是團隊攻擊,駭客非常清楚如何反應和反擊防禦者的行為。 與他們打交道不僅很困難,而且對企業來說成本也很高。 例如,我們的一個客戶是一家大型線上零售商,維持了一支 30 人的團隊近三年,其任務是對抗 DDoS 攻擊。
根據Variti 的說法,純粹出於無聊、惡意攻擊或對特定公司不滿而進行的簡單DDoS 攻擊目前佔所有DDoS 攻擊的比例不到10%(當然,未受保護的資源可能有不同的統計數據,我們查看我們的客戶資料) 。 其他的一切都是專業團隊的工作。 然而,四分之三的「壞」機器人都是複雜的機器人,使用大多數現代市場解決方案都難以檢測。 它們模仿真實使用者或瀏覽器的行為,並引入難以區分「好」和「壞」請求的模式。 這使得攻擊不那麼引人注目,因此更加有效。
數據來自 GlobalDots
新的 DDoS 目標
報告 GlobalDots 分析師表示,機器人現在產生了所有網路流量的 50%,其中 17,5% 是惡意機器人。
機器人知道如何以不同的方式毀掉公司的生命:除了讓網站「崩潰」之外,它們現在還從事增加廣告成本、點擊廣告、解析價格以使其少一分錢和引誘買家,並出於各種不良目的竊取內容(例如,我們最近 關於含有被盜內容並迫使用戶解決其他人的驗證碼的網站)。 機器人極大地扭曲了各種業務統計數據,導致決策是基於不正確的數據做出的。 DDoS 攻擊通常是駭客和資料竊取等更嚴重犯罪的煙幕彈。 現在我們看到增加了一種全新的網路威脅 - 這會破壞公司某些業務流程的工作,通常是離線的(因為在我們這個時代,沒有什麼可以完全「離線」)。 我們尤其經常看到物流流程和與客戶的溝通中斷。
“沒送到”
物流業務流程對於大多數公司來說至關重要,因此經常受到攻擊。 以下是可能的攻擊場景。
無法使用
如果您從事線上商務工作,那麼您可能已經熟悉假訂單問題。 當受到攻擊時,機器人會導致物流資源超載,導致其他買家無法獲得商品。 為此,他們下了大量虛假訂單,數量相當於庫存產品的最大數量。 然後,這些貨物不再付款,並在一段時間後退回現場。 但事情已經完成:它們被標記為“缺貨”,一些買家已經轉向競爭對手。 這種策略在航空票務行業中眾所周知,機器人有時幾乎在所有機票一出現就立即「售空」。 例如,我們的一個客戶,一家大型航空公司,就遭受了中國競爭對手組織的此類攻擊。 在短短兩個小時內,他們的機器人就 100% 訂購了前往某些目的地的機票。
運動鞋機器人
下一個流行的場景是:機器人立即購買整個系列的產品,然後它們的所有者以高價出售它們(平均加價 200%)。 這類機器人被稱為運動鞋機器人,因為這個問題在時尚運動鞋產業,尤其是限量系列中眾所周知。 機器人買下了幾乎幾分鐘後才出現的新線路,同時封鎖了資源,讓真正的使用者無法通過那裡。 當時尚雜誌上報道機器人時,這種情況很少見。 不過,一般來說,足球比賽等精彩賽事門票的經銷商也會使用相同的場景。
其他場景
但這還不是全部。 還有一種更複雜的物流攻擊形式,可能會造成嚴重損失。 如果該服務具有「收到貨物後付款」選項,則可以完成此操作。 機器人會留下此類商品的虛假訂單,顯示毫無戒心的人的虛假甚至真實地址。 公司在交付、儲存和尋找細節方面承受著巨大的成本。 這時,貨物就無法提供給其他顧客,也佔用倉庫的空間。
還有什麼? 機器人留下大量關於產品的虛假負評、堵塞「付款退貨」功能、阻止交易、竊取客戶資料、向真實客戶發送垃圾郵件——有很多選擇。 一個很好的例子是最近對 DHL、Hermes、AldiTalk、Freenet、Snipes.com 的攻擊。 駭客 ,他們正在“測試 DDoS 防護系統”,但最終他們放下了公司的業務客戶端入口網站和所有 API。 結果,向客戶的貨物交付出現了嚴重中斷。
明天打電話
去年,美國聯邦貿易委員會 (FTC) 報告稱,企業和用戶對垃圾郵件和欺詐性電話機器人電話的投訴增加了一倍。 根據一些估計,它們相當於 所有通話。
與 DDoS 一樣,TDoS(對手機進行大規模機器人攻擊)的目標範圍從「惡作劇」到不擇手段的競爭。 機器人可能會使聯絡中心超載,並防止錯過真正的客戶。 這種方法不僅對於有「現場」接線員的呼叫中心有效,而且對於使用 AVR 系統的呼叫中心也有效。 機器人程式還可以大規模攻擊與客戶的其他溝通管道(聊天、電子郵件),擾亂 CRM 系統的運行,甚至在某種程度上對人員管理產生負面影響,因為營運商在應對危機時不堪重負。 這些攻擊還可以與對受害者線上資源的傳統 DDoS 攻擊同步。
最近,類似的襲擊擾亂了救援服務的工作 在美國,急需幫助的一般民眾根本無法度過難關。 大約在同一時間,都柏林動物園也遭遇了同樣的命運,至少有 5000 人收到垃圾短信,鼓勵他們緊急撥打動物園的電話號碼,詢問一個虛構的人。
不會有 Wi-Fi
網路犯罪分子還可以輕鬆阻止整個公司網路。 IP 封鎖通常用於對抗 DDoS 攻擊。 但這不僅是無效的,而且是非常危險的做法。 IP位址很容易找到(例如,透過資源監控)並且很容易替換(或欺騙)。 在來到 Variti 之前,我們就遇到一些客戶,他們封鎖特定 IP 只是關閉他們自己辦公室的 Wi-Fi。 曾經有一個案例,當一個客戶端「溜」到所需的IP 時,他阻止了整個區域的用戶對其資源的訪問,並且很長一段時間沒有註意到這一點,因為否則整個資源都可以完美運行。
什麼是新的?
新的威脅需要新的安全解決方案。 然而,這個新的市場利基才剛開始出現。 有很多解決方案可以有效抵禦簡單的機器人攻擊,但對於複雜的機器人攻擊,事情就沒那麼簡單了。 許多解決方案仍然採用 IP 封鎖技術。 其他人需要時間來收集初始資料才能開始,而這 10-15 分鐘可能會成為一個漏洞。 有一些基於機器學習的解決方案可以讓您透過機器人的行為來識別機器人。 同時,「另一方」的團隊吹噓他們已經擁有可以模仿真實模式的機器人,與人類的模式沒有區別。 目前尚不清楚誰會獲勝。
如果您必須同時應對專業的機器人團隊和複雜的多層攻擊,該怎麼辦?
我們的經驗表明,您需要專注於過濾非法請求而不封鎖 IP 位址。 複雜的 DDoS 攻擊需要同時在多個層級進行過濾,包括傳輸層級、應用程式層級和 API 介面。 因此,甚至可以抵禦通常不可見且經常被錯過的低頻攻擊。 最後,即使攻擊處於活動狀態,也必須允許所有真實使用者通過。
其次,企業需要有能力創造自己的多層保護系統,除了防止DDoS攻擊的工具外,還需要內建防詐欺、資料竊取、內容保護等系統。
第三,它們必須從第一個請求開始就即時工作——立即回應安全事件的能力大大增加了防止攻擊或降低其破壞力的機會。
不久的將來:使用機器人進行聲譽管理和大數據收集
DDoS 的歷史經歷了從簡單到複雜的演變。 最初,攻擊者的目標是阻止該網站運作。 他們現在發現以核心業務流程為目標更有效。
攻擊的複雜性將繼續增加,這是不可避免的。 再加上壞機器人現在正在做的事情——數據盜竊和偽造、敲詐勒索、垃圾郵件——機器人將從大量來源(大數據)收集數據,並創建「強大」的虛假帳戶,以進行影響力管理、聲譽或大規模網路釣魚。
目前,只有大公司才有能力投資 DDoS 和機器人防護,但即使他們也無法始終完全監控和過濾機器人產生的流量。 機器人攻擊變得越來越複雜,唯一積極的一點是它刺激市場創造更智慧、更先進的安全解決方案。
您認為機器人防護產業將如何發展以及目前市場上需要哪些解決方案?
來源: www.habr.com