我们认为,简单易检测的DDoS攻击(以及可以阻止它们的简单工具)的时间已经过去。网络犯罪分子已学会更好地掩盖这些攻击,并以越来越复杂的方式进行攻击。黑暗行业已经从蛮力转向了应用层攻击。她收到了严重的订单,要求销毁业务流程,包括相当离线的流程。
闯入现实
2017年,针对瑞典运输服务的一系列DDoS攻击导致火车延误很长。 2019年,丹麦国家铁路运营商Danske Statsbaner下线。结果,售票机和自动登机口无法在车站工作,超过15,000名乘客无法前往任何地方。在同一2019年,强大的网络攻击导致委内瑞拉断电。
现在,DDoS攻击的后果不仅会受到在线用户的影响,还会受到人们所说的IRL(现实生活中)的影响。攻击者历来只针对在线服务,但现在他们通常承担破坏任何业务活动的任务。根据我们的估计,今天,超过60%的攻击具有这样的目标-勒索或无良竞争。交易和物流尤其脆弱。
更智能,更昂贵
DDoS仍然被认为是最广泛和增长最快的网络犯罪类型之一。根据专家的说法,从2020年起,他们的人数只会增加。这归因于各种原因-以及由于大流行而导致的业务向在线的更大过渡,以及网络犯罪行业的发展,甚至是5G的普及。
DDoS攻击由于易于部署且成本低廉,因此在适当的时候流行起来:几年前,每天可以花费50美元来发起DDoS攻击。今天,目标和攻击方法都已改变,这导致其复杂性增加,结果导致成本增加。否,每小时5美元起的价格仍在价目表中(是的,网络犯罪分子有价格和关税等级),但对于具有保护功能的站点,每天的价格已从400美元起,大型公司的“个人”订单成本达到数千美元美元。
现在有两种主要类型的DDoS攻击。第一个目标是使在线资源在一定时间内不可用。网络犯罪分子会在攻击本身时向他们收费。在这种情况下,DDoS运营商不会在意任何特定结果,并且客户端实际上会为攻击的开始支付预付款。这些方法很便宜。
第二类是仅在达到特定结果时才进行的攻击。对他们来说更有趣。由于攻击者必须选择最有效的方法来实现其目标,因此执行起来更加困难,因此成本也大大增加。在Variti,我们有时会与网络犯罪分子一起玩整个国际象棋游戏,在这种游戏中,他们会立即改变战术和工具,并试图一次分解成多个级别的多个漏洞。这些显然是团队攻击,黑客知道如何做出反应并抵抗防御者的行动。与它们抗衡不仅困难,而且对公司而言也非常昂贵。例如,我们的一个客户(一家大型网络零售商)拥有一支由30人组成的团队,历时近三年,其任务是对抗DDoS攻击。
根据Variti的说法,仅出于无聊,拖钓或对某家公司不满而进行的简单DDoS攻击,目前仅占所有DDoS攻击的不到10%(当然,未受保护的资源可能会有不同的统计数据,我们查看了客户的数据)。其他一切都是专业团队的工作。同时,所有“不良”机器人中有四分之三是复杂的机器人,使用大多数现代市场解决方案都很难检测到。它们模仿真实用户或浏览器的行为,并实施使难以区分“好”和“坏”请求的模式。这使得攻击不太明显,因此更有效。
来自GlobalDots的数据
新的DDoS目标
GlobalDots分析师 的Bad Bot报告显示,僵尸程序现在生成所有Web流量的50%,其中17.5%是恶意僵尸程序。
机器人能够以不同的方式破坏公司的生命:除了它们“铺设”网站的事实外,他们现在还参与到这样的事实中:它们增加了广告成本,点击了广告,争夺价格以使它们少赚一点钱并吸引买家,以及出于各种不良目的窃取内容(例如,我们最近写了有关内容被盗的网站,迫使用户解决他人的验证码)。僵尸程序极大地扭曲了各种业务统计信息,结果,决策是根据错误的数据做出的。DDoS攻击通常是烟幕的掩盖对象,可用于更严重的犯罪,例如黑客攻击和数据盗窃。现在,我们看到已经添加了一类全新的网络威胁-这是对公司某些业务流程的破坏,这些业务流程通常是脱机的(因为在我们这个时代,没有什么可以完全“脱机”)。特别是我们经常发现物流流程和与客户的沟通中断了。
“没送到”
物流业务流程是大多数公司的关键,并且经常受到攻击。以下是一些可能发生的攻击情形。
无法使用
如果您从事在线贸易领域,那么您可能已经熟悉虚假订单的问题。发生攻击时,漫游器会超载物流资源,并使其他买家无法获得商品。为此,他们下达大量假订单,数量等于库存的最大数量。这些商品将不付款,过一会儿将被退回现场。但是工作已经完成:它们被标记为“缺货”,并且一些买家已经进入竞争对手。这种策略在航空业是众所周知的,有时机器人会在出现票后立即立即“购买”所有票。例如,我们的客户之一-一家大型航空公司-遭受了中国竞争对手的这种攻击。在短短两个小时内,他们的漫游器就订购了前往某些目的地的100%的门票。
运动鞋机器人
另一个流行的情况是,机器人立即购买了整个产品线,后来他们的所有者以高价出售了它们(平均加价200%)。这些机器人被称为运动鞋机器人,因为此问题在运动鞋行业中众所周知,特别是在限量版中。僵尸程序在将近几分钟的时间内购买了新出现的新产品线,同时又阻塞了资源,使真实用户无法突破。当机器人出现在时尚杂志上时,这种情况很少见。但是,通常来说,像足球比赛这样的酷炫事件的售票经销商都使用相同的场景。
其他情况
但这还不是全部。物流攻击的形式更为复杂,可能造成严重损失。如果服务具有“收货时付款”选项,则可以执行此操作。机器人会为此类商品留下虚假订单,表明虚假甚至真实的不知所措的人的地址。并且公司为交付,存储和澄清细节承担巨额费用。目前,这些商品对其他客户不可用,甚至占用了仓库中的空间。
还有什么?僵尸程序会留下大量关于产品的虚假不良评论,妨碍“退款”功能,阻止交易,窃取客户数据,向真实客户发送垃圾邮件-有很多选择。一个很好的例子是最近对DHL,Hermes,AldiTalk,Freenet和Snipes.com的攻击。黑客假装他们正在“测试DDoS防护系统”,并最终关闭了公司的业务客户端门户和所有API。结果,给客户的货物交付受到了很大的干扰。
明天打电话
去年,联邦贸易委员会(FTC)报告称,企业和用户对垃圾邮件和欺诈性电话漫游程序的投诉增加了一倍。据估计,它们占所有通话的近50%。
与DDoS一样,TDoS的目标(在电话上进行大规模的僵尸攻击)从恶作剧到犯规竞争不等。僵尸网络能够使联络中心超载,并且不会错过真正的客户。这种方法不仅对有现场话务员的呼叫中心有效,而且在使用AVR系统的地方也有效。僵尸网络还可能大规模攻击与客户的其他沟通渠道(聊天,电子邮件),破坏CRM系统,甚至在某种程度上对人力资源管理产生负面影响,因为运营商不堪重负试图应对危机。攻击还可以与受害者的在线资源上的传统DDoS攻击同步。
最近,一次类似的袭击中断了911紧急服务。在美国,急需帮助的普通民众根本无法解决。大约在同一时间,都柏林动物园遭受了同样的命运:至少有5,000人收到了以短信形式发送的垃圾邮件,促使他们紧急拨打动物园的电话号码并要求虚构的人。
Wi-Fi将不会
网络犯罪分子还可以轻松地阻止整个公司网络。IP阻止通常用于抵抗DDoS攻击。但这不仅无效,而且非常危险。IP地址很容易找到(例如,通过资源监视),也很容易替换(或伪造)。加入Variti之前,我们的客户遇到了这样的情况,即导致阻塞某个IP只是在他们自己的办公室中关闭了Wi-Fi。在某些情况下,客户端“滑移”了所需的IP,并且他阻止了整个区域的用户对其资源的访问,而且很长一段时间没有注意到这一点,因为否则整个资源都可以正常运行。
什么是新的?
新的威胁需要新的安全解决方案。但是,这个市场上的新利基才刚刚形成。有许多解决方案可以有效地抵制简单的bot攻击,但是对于复杂的bot攻击,一切都不那么简单。许多解决方案仍然采用IP阻止技术。其他人则需要时间来收集主要数据才能上手,而这10至15分钟可能会成为漏洞。有一些基于机器学习的解决方案,可让您根据机器人的行为来识别它。同时,来自“另一方”的团队吹嘘他们已经拥有了可以模仿真实的,与人类模式无异的机器人。目前尚不清楚谁会赢。
如果您必须同时应对多个级别的专业机器人团队和复杂的多阶段攻击,该怎么办?
我们的经验表明,您需要专注于过滤非法请求而不阻塞IP地址。复杂的DDoS攻击需要同时在多个层进行过滤,包括传输层,应用程序层和API。这样甚至可以偏转低频攻击,这些攻击通常是不可见的,因此经常被跳过。最后,即使攻击处于活动状态,也必须让所有真实用户通过。
其次,公司需要具有创建自己的多阶段保护系统的能力,在该系统中,除了用于防止DDoS攻击的工具之外,还将内置针对欺诈,数据盗窃,内容保护等的系统。
第三,它们必须从最初的请求开始就实时工作-即时响应安全事件的能力大大增加了预防攻击或降低其破坏力的机会。
不久的将来:借助机器人进行信誉管理和大数据收集
DDoS的历史已经从简单演变为复杂。最初,攻击者的目标是停止该站点的运行。他们现在发现定位核心业务流程更加有效。
攻击的复杂性将继续增长,这是不可避免的。加上不良的僵尸程序现在正在做的事情-数据盗窃和篡改,勒索,垃圾邮件程序-将从大量资源(大数据)中收集数据,并创建“受信任的”假帐户来管理影响力,声誉或大规模网络钓鱼。
当前,只有大型公司可以负担得起在DDoS和僵尸程序保护方面的投资,但即使它们不能始终完全跟踪和过滤由僵尸程序产生的流量。关于僵尸攻击变得更加复杂的唯一积极的事情是,它鼓励市场创建更智能,更好的安全解决方案。
您如何看待-机器人防护行业将如何发展以及目前市场上需要哪些解决方案?