Борьба с гидрой DDoS-атак (Спойлер: стало еще хуже)

Никогда не было лучшего или худшего времени для того, чтобы быть в сети.

Бесконечная изобретательность человечества в оцифровке большего количества аспектов нашей жизни и финансов расширила возможности и объединила людей и сообщества. Это также сделало нас беспомощно зависимыми от наших машин, поэтому акт потери или поломки вашего компьютера более ужасен, чем потеря кошелька и ключей одновременно.

Взлом вашего компьютера хакером — это одна из самых больших неудач. Мы все знакомы с глобальными атаками программ-вымогателей на предприятия малого и среднего бизнеса, но как насчет DDoS-атак? Они все еще беспокоят?

Link11, ведущий европейский поставщик ИТ-безопасности в области киберустойчивости, публикует двухгодичный отчет о DDoS-атаках. Недавно они выпустили Отчет DDoS за 2021 год.

TL;DR — DDoS-атаки стали сложнее, мощнее, чаще и часто являются частью более сложной атаки.

Согласно отчету, количество атак выросло на 40% в годовом исчислении по сравнению с 2020 годом, было много крупномасштабных атак, а 71% DDoS-атак были идентифицированы как многовекторные.

Под многовекторной атакой они подразумевают, что хакерская организация использовала несколько путей доступа, методов и протоколов для проведения DDoS-атаки. Они сравнивают эту атаку с мифической гидрой, что передает почти безнадежность борьбы с диверсифицированной атакой. Многовекторные DDoS-атаки более сложны в реализации, но их гораздо сложнее поймать и защитить от них. **
**

Отчет также показал рост ковровых бомбардировок — крупномасштабных DDoS-атак, которые используют небольшой объем трафика со многих IP-адресов, чтобы избежать обнаружения. Возможно, хуже всего то, что DDoS-атаки используются в качестве дымовой завесы для сокрытия более сложных атак. Бедная ИТ-команда среднего бизнеса будет вытирать брови после восстановления онлайн-сайта или службы, думая, что они добились успеха, хотя на самом деле через несколько месяцев им предстоит атака программы-вымогателя.

Мы поговорили с Кеном Макинтайром, директором по продажам, и Марком Вилчеком, главным операционным директором Link11, о состоянии DDoS-атак.

Почему сегодня DDoS-атаки вызывают такое большое беспокойство?

«Поэтому сразу после программ-вымогателей вашей проблемой номер два как организации в эти дни является DDoS. И то, что в основном делает DDoS, — это создает цунами данных, которое высвобождается и отключает организацию на часы, а возможно, и на дни.

Мы думаем об удаленной работе в больших масштабах. Все работают из дома… В результате DDoS-атаки вся организация может быть отключена на несколько часов, что нанесет ущерб репутации, приведет к снижению производительности, снижению доходов и т. д.», — сказал Вильчек.

Почему растет число DDoS-атак?

«Я думаю, что есть по крайней мере две основные движущие силы: одна — внедрение общедоступного облака. API-интерфейсы скомпрометированы. Мощность и пропускная способность глобальных провайдеров используются не по назначению или злоупотребляют для проведения массовых DDoS-атак. частью этого уравнения является массовое появление Интернета вещей с миллиардами и миллиардами всех этих красивых устройств IoT.Но, к сожалению, в значительной степени они не защищены, и их можно собрать, чтобы сформировать армию ботов для Все это открывает и расширяет поверхность атаки… Так что у вас есть что-то вроде идеального шторма. Идеальная среда, которая позволяет DDoS-атакам процветать и расти в геометрической прогрессии», — сказал Вильчек.

А как насчет угрозы со стороны государственных субъектов, таких как хакерские группы в Китае, Северной Корее и России? Представляют ли они особую угрозу?

«Много внимания уделяется субъектам, поддерживаемым государством... Но дело в том, что более 90% атак по-прежнему связаны с финансовыми мотивами. Таким образом, на самом деле киберпреступления, мотивированные финансовыми соображениями, являются движущей силой повседневных атак.

Поддерживаемые государством субъекты вносят свой вклад в проблему, но они, как правило, преследуют более престижные цели, такие как поставщики критической инфраструктуры. Тем не менее, некоторые из этих банд киберпреступников преследуют крупные хостинговые компании, и может произойти эффект домино, потому что, если они будут отключены от сети, они просочатся вниз ... Они представляют собой серьезную проблему сегодня и в будущем», — Вильчек. сказал.

Что заставило Link11 сосредоточиться именно на DDoS?

«Изначально Link11 была хостинговой компанией в игровой индустрии, и мы подверглись атаке. Следовательно, мы перешли от работы с DDoS как способом защиты нашего собственного бизнеса к тому, чтобы стать ведущей компанией по смягчению последствий DDoS. началось. И с тех пор эта тенденция нарастает», — сказал Вильчек.

Как защититься от DDoS-атаки?

«Подход, основанный на правилах, который мы использовали, заключается в том, чтобы смотреть на профили клиентов — то, что мы называем их отпечатками пальцев — и смотреть на форму данных. намного ближе. Если это явно злонамеренная атака, то мы смягчаем ее. Таким образом, технологический подход представляет собой эволюцию традиционных подходов, которые используют многие организации, которые вручную смотрят на атаки и пытаются понять, что происходит… Мы делаем это, используя машинное обучение, и мы смотрим на это в режиме реального времени», — сказал Вильчек.

В чем реальная опасность DDoS-атаки помимо отключения вашего сайта или службы?

«DDoS-атаки часто используются для маскировки или маскировки других атак. Если кто-то хочет проникнуть в корпоративную сеть с помощью программ-вымогателей, очень просто запустить DDoS-атаку, чтобы занять ИТ-команду, чтобы они не заметили, что происходит. происходит... И, к сожалению, организации могут потребоваться месяцы, если не годы, чтобы понять, что то, что казалось DDoS-атакой, на самом деле было частью чего-то гораздо большего...

Мы можем наблюдать то, что выглядит как DDoS-атака, и, очевидно, она существует, но маскирует что-то еще. И это действительно высокий риск, потому что это может быть буквально лазейкой, чтобы попытаться получить банковские реквизиты, кредитные данные и тому подобное. И это не редкость, и, очевидно, это также может быть основой для атаки программ-вымогателей», — сказал Вильчек.

Есть ли какие-либо отрасли, которые особенно боролись с этой проблемой?

«Банковское дело претерпело масштабный переход, потому что это больше не розничный разговор. Это больше не кирпич и миномет — это приложения и мобильные устройства. это также может подорвать доверие. DDoS-атаки используются, чтобы вызвать хаос и, возможно, привести к банкротству банков. И это то, что DDoS может сделать, потому что он вызывает панику. Если все отключено, если вы больше не можете получить доступ к своим мобильным приложениям, это вызывает массовую волну хаоса.

Это интересно, потому что вы увидите секторы, которые атакуются одновременно, или группы организаций, которые будут атакованы одновременно. Коммунальные услуги, например, за последние несколько месяцев… Это очень хорошо структурировано. Это очень хорошо продумано. А несчастных, у которых нет надлежащей защиты, сбивают», — сказал Вильчек.

DDoS-атаки становятся опаснее?

«Атаки становятся все более изощренными. И то, что может пошатнуть организацию, — это не просто крупномасштабная лобовая атака. Существуют более изощренные формы атак. Вспомните, например, ковровые бомбардировки. пропускная способность, вы на самом деле получаете крошечный всплеск трафика на отдельный IP-адрес, но поскольку все происходит одновременно, это перегружает всю систему и останавливает все. И, к сожалению, менее сложные инструменты действительно с трудом обнаруживают эти шаблоны трафика. потому что они выглядят или кажутся обычным трафиком», — сказал Вильчек.

Как вы защищаете компании от DDoS-атак?

«Когда приходят наши клиенты, мы хотим получить представление об их структуре трафика. И это может быть довольно подробно. А затем мы делаем свою работу, и машинное обучение делает то, что делает в режиме реального времени, отслеживая эти профили. Мы проверяем - в отношении алгоритмов, шаблонов трафика от похожих клиентов, в зависимости от отрасли и т. д. И как только мы уверены, что обнаружили вредоносную атаку, мы фактически блокируем трафик для клиентов», — сказал Макинтайр.

Если бы у вас был один совет для компаний, которые могут быть уязвимы, каким бы он был?

«Во-первых, определите свои критически важные ИТ-активы. Когда вы в последний раз проверяли или тестировали свою защиту? Часто компании приобретали решение много-много лет назад, а затем не проводили пожарных учений. Они не практиковались. Они не проводят аудиты, не проводят пентесты и просто верят, что все в порядке и работает до тех пор, пока не произойдет атака, и, к сожалению, они учатся на горьком опыте Вот почему я настоятельно рекомендую спросить, когда вы проводили аудит. "Когда вы проходили пентест? Когда была ваша последняя пожарная тренировка, а она действительно требует практики, и практики, и практики, потому что в противном случае, может быть, будет пару месяцев или полгода без какой-либо атаки. Вы думаете, что находитесь в хорошее место, и все это происходит посреди ночи», — сказал Макинтайр.

Изображение Elchinator из Pixabay