Компания Qrator Labs предоставила данные исследования* по DDOS и интернет-безопасности в России и в мире, в котором описываются основные тенденции и проблемы за 2015 г. в области доступности и безопасности корпоративных сайтов, связанные с угрозами DDoS и “взлома”.
Аналитики отмечают ряд устойчивых трендов в этой области.
1. Сложность атак растет. Хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений.
Главное наблюдение 2015 г. — понижение пиковых скоростей DDoS-атак, что, впрочем, не придает оптимизма, поскольку компенсируется ростом их сложности.
Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (т. е. могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.
Хакеры наращивают сложность и объединяют DDoS со “взломом”, т. е. атаками на уязвимости приложения. В 84% случаев атака DDoS сопровождается попытками взлома сайта. Таким образом, средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными для обеспечения доступности интернет-ресурса.
Тем не менее компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается нейтрализовать данные риски вполне успешно.
2. Минимальная стоимость и простота реализации атак.
Устроить DDoS атаку еще никогда не было так дешево: это мероприятие сегодня стоит от $5 в час. Как результат — по сравнению с 2014 г. среднее количество атак на один сайт в 2015 г. увеличилось в два раза. Злоумышленники активно используют облачных провайдеров для быстрого получения ресурсов, в том числе бесплатно, с использованием бонусных и триальных программ.
Схожая картина с хакерскими атаками. Благодаря доступности инструментов для поиска и эксплуатации уязвимостей, успешные атаки во многих случаях уже не требуют серьезной экспертизы: за атаками все чаще стоят не профессиональные хакеры, а “середнячки”, которые ищут и эксплуатируют известные уязвимости готовыми инструментами, руководствуясь статьями и видеоинструкциями.
3. Основным вызовом с точки зрения защиты от DDoS стали атаки на уровне приложений (L7)
В 2015 г. участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. При этом хакеры используют интеллектуальные автоматизированные средства, которые исключают возможность противодействия отдельным специалистом на стороне обороны. Сегодня можно говорить о том, что эффективно противостоят DDoS только системы, работающие на основе алгоритмов машинного обучения. Системы, работающие под контролем человека-оператора, не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользовательского трафика.
4. Наиболее частым вектором хакерских атак, направленных на “взлом” сайта, по-прежнему являются уязвимости типа “SQL-инъекции”. Массовые атаки перебора стали новым вызовом.
Наиболее популярными атаками по-прежнему являются атаки на уязвимости типа SQL-инъекций (37,75% от общего числа атак), когда из-за специальным образом сформированного запроса можно выполнить произвольный запрос к базе данных приложения. Простые в реализации за счет автоматизированных инструментов, они открывают злоумышленникам прямой доступ к базам данных ресурса. Для обхода защитных решений все чаще используют различные способы обфускации (маскировки) вредоносных запросов, что оказывается эффективным в случае WAF’ов, не учитывающих структуру и специфику приложений. В прошедшем году серьезно увеличилось количество атак перебора, в том числе направленных на перебор паролей (21,85%). В России это особенно коснулось интернет-ритейлеров, где злоумышленники в массовых количествах получали доступ к учетным записям, используя базы “логин-пароль”, утекшие из других ресурсов.
5. Различные группы используют техники массового сканирования интернета.
Массовые сканирования всего интернета перестали быть уделом Google и других поисковых гигантов, и теперь с различными целями осуществляются разными группами людей. Злоумышленники пытаются найти веб-ресурсы, маршрутизаторы, устройства IoT с известными уязвимостями для быстрого и автоматизированного захвата контроля. Эти ресурсы в дальнейшем активно используются для реализации мощных DDoS-атак, анонимизации, майнинга криптовалют и т. д.
Главный итог 2015 г. заключается в том, что в отрасли созрело понимание — сегодня защита собственными средствами стала невозможной. Для противодействия сложным комплексным DDoS-атакам и взломам необходимо использовать профессиональные решения, которые постоянно обновляются и используют алгоритмы машинного обучения, отмечают в Qrator Labs.
Прогнозы на 2016 год
1. Упрощение взлома и продолжение смещения людей, стоящих за атаками — от профессионально понимающих предметную область к новичкам, которые ищут и эксплуатируют уязвимость, руководствуясь статьями и видеоинструкциями.
2. Взлом и заражение всевозможных IoT-устройств. Веб-интерфейсы, API в бытовой̆ технике, машинах, гаджетах построены на базе тех же технологий — и потому страдают теми же проблемами, что и многие веб-ресурсы. Не исключены массовые DDoS-атаки с использованием таких устройств.
3. Увеличение количества атак на облачные инфраструктуры (AWS, Azure). Стремительное распространение облачных сервисов и отсутствие устоявшихся практик по их управлению создает новые возможности для хакеров
* Отчет на базе исследования подготовлен специалистами компаний Qrator Labs и Wallarm на основе мониторинга ситуации в отрасли (как в России, так и в мире), а также на основе статистики, собранной по своим клиентам в 2015 г. Также использованы данные исследований независимых компаний, сделанных по заказу Qrator Labs.