Qrator Labs
Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила отчет о состоянии сетевой безопасности в 2018-2019 гг.
Ключевые наблюдения 2018 г.: средняя длительность DDoS-атак упала до 2,5 ч; 2018-й год показал наличие вычислительной силы, способной генерировать атаки интенсивностью сотни гигабит в секунду внутри одной страны или региона; интенсивность DDoS-атак продолжает расти вместе с одновременным ростом доли атак с использованием HTTPS (SSL); большая часть современного трафика генерируется на мобильных устройствах, представляя собой задачу для организаторов DDoS и следующий вызов для компаний, занимающихся защитой сетей; протокол BGP стал вектором атаки на два года позже ожидаемого срока; манипуляции DNS по-прежнему являются наиболее разрушительным вектором атаки; ожидается появление новых амплификаторов, таких, как memcached (ПО, реализующее сервис кэширования данных в оперативной памяти на основе хэш-таблиц) и CoAP; все отрасли одинаково уязвимы перед кибератаками любого рода.
Прошедший год начался с рекордных по интенсивности атак с memcached амплификацией, ознаменовавших начало новой эры DDoS-атак. 2018 г. продемонстрировал, что, помимо манипуляций с BGP, терабитные DDoS-атаки способны вывести из строя интернет-провайдеров среднего уровня, если не самых крупных.
Серьезную угрозу представляют высокоинтенсивные DDoS-атаки, сосредоточенные в одном регионе. Подобные атаки интенсивностью в 500 Гбит/сек, сгенерированные на 100% внутри одного региона, уже были зафиксированы в прошедшем году. Такие события будут происходить все чаще во многих странах и регионах, чьи сети стали быстрыми и эффективными. Европа, Россия, Китай, Америка, Индия — все эти огромные территории уже обладают устойчивыми сетями, готовыми к тому, чтобы быть нацеленными на выведение из строя региональные цели.
Число зашифрованных атак значительно выросло. В предыдущие годы подобные атаки были редки, и злоумышленники использовали в первую очередь старый вектор HTTP. Сегодня же боты, способные к использованию шифров, представляют собой первостепенную опасность, так как обладают широкими способностями к обучению.
Протокол BGP становится всё более востребованным у атакующих, которые все чаще используют его для перехвата трафика и перенаправления пользователей на фальшивые фишинговые страницы. При этом шифрование не защитит пользователей от обмана, так как злоумышленники научились подписывать SSL-сертификаты, а потому такие страницы не вызывают подозрения у рядового посетителя ввиду отсутствия наглядной разницы между настоящей, легитимной веб-страницей и фальшивой.
Манипуляции DNS, такие, как cache poisoning (повреждение целостности данных в системе DNS путём заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника), очень часто сопровождают попытки перехвата с помощью BGP. В 2018 г. Qrator Labs стала свидетелем кражи разнообразных криптовалют, организованных с использованием связки именно этих двух протоколов.
DNS-амплификация была и остается одним из самых известных векторов DDoS-атак канального уровня. В случае атаки интенсивностью в сотни гигабит в секунду существует немалая вероятность перегрузки подключения к вышестоящему провайдеру.
За 2018 г. значительно развились ботнеты, а их владельцы придумали новое занятие — кликфрод. С улучшением технологий машинного обучения и получением в руки headless-браузеров (работающих без сетевых заголовков) занятие кликфродом всего за два года значительно упростилось и удешевилось.
Машинное обучение уже достигло массового рынка и стало вполне доступным. В связи с этим появление первых DDoS-атак, основанных на ML-алгоритмах, ожидается в ближайшее время, особенно учитывая снижающуюся стоимость управления и повышающуюся точность аналитики таких сетей.
Идентификация в современном интернете становится крайне серьезной проблемой и задачей, так как самые продвинутые боты даже не пытаются изображать человека — они им управляют и находятся в одном с ним пространстве. Проблематика ботов-сканеров и многих других подвидов заключается в очень важной экономической компоненте. Если 30% трафика нелегитимны и происходят от нежелательных источников, то 30% затрат на поддержку такого трафика оказываются бесполезны.
Парсеры (ПО для сбора данных и преобразования их в структурированный формат) и сканеры, являющиеся частью широкой проблематики ботов, вышли на горизонт только в 2018 г. Во время эпидемии парсинга, которую в Qrator Labs наблюдали в России и СНГ всю вторую половину прошлого года, стало очевидно, что боты далеко продвинулись в вопросах шифрования. Один запрос в минуту — это вполне нормальная интенсивность для бота, которую очень сложно заметить без анализа запросов и исходящего трафика ответов.
Единственный способ противодействия — снижение поощрения атакующего. Попытка остановить боты не принесет ничего, кроме потраченных времени и средств. Если что угодно кликает на то, что дает прибыль — необходимо отменить эти клики; при парсинге можно включить слой «фальшивой» информации, через которую с легкостью пройдет обычный пользователь в поисках корректной и достоверной информации.
IoT как индустрия за прошедший год не совершил значительного прогресса в сторону улучшения своей общей безопасности. Исследователи обнаружили новый класс индустриального оборудования, которое сейчас массово подключается к сетям и обладает значительными уязвимостями. Недавние открытия относительно протокола CoAP свидетельствуют о том, что подобных незакрытых точек эксплуатации может быть очень много.
Амплификаторы на базе IoT являются очевидным дальнейшим развитием идеи уязвимых сервисов. Более того, домашние подключенные устройства представляют собой лишь статистическую верхушку этого айсберга. Есть и другие группы «подключенных устройств», сообщающихся с помощью протоколов, которые выбраны непредсказуемо и не обеспечивают достаточную защиту устройств.
Незакрытые уязвимости в индустриальном интернете вещей будут эксплуатироваться и дальше при условии неизменности текущего подхода к разработке.
На протяжении уже длительного времени мы живем в мире мультифакторных атак, эксплуатирующих атакующие возможности сразу нескольких протоколов для выведения цели из работоспособного состояния.
DDoS-атаки долгое время были серьезной проблемой лишь для ограниченного числа бизнес отраслей, таких, как электронная коммерция, торговля и биржа, банкинг и платежные системы. Но с продолжающимся развитием интернета наблюдаются DDoS-атаки увеличенной интенсивности и частоты в абсолютно всех частях интернета. Эпоха DDoS началась с определенного порога пропускной способности домашних роутеров, и неудивительно, что с появлением микрочипа в каждой физической вещи вокруг ландшафт атак начал стремительно меняться. 2018-й был годом возможностей для «темной стороны». В Qrator Labs увидели рост атак с одновременным их усложнением и увеличением как объема в сетевых терминах, так и частоты.