Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представляет отчет о состоянии сетевой безопасности в 2018-2019 годах.

Ключевые наблюдения 2018 года:
• Средняя длительность DDoS-атак упала до 2,5 часов;
• 2018 год показал наличие вычислительной силы, способной генерировать атаки интенсивностью сотни гигабит в секунду внутри одной страны или региона;
• Интенсивность DDoS-атак продолжает расти вместе с одновременным ростом доли атак с использованием HTTPS (SSL);
• Большая часть современного трафика генерируется на мобильных устройствах, представляя собой задачу для организаторов DDoS и следующий вызов для компаний, занимающихся защитой сетей;
• Протокол BGP стал вектором атаки, на 2 года позже ожидаемого срока;
• Манипуляции DNS по-прежнему являются наиболее разрушительным вектором атаки;
• Ожидается появление новых амплификаторов, таких как memcached и CoAP;
• Все отрасли одинаково уязвимы перед кибератаками любого рода.

2018 год начался с рекордных по интенсивности атак с memcached амплификацией, ознаменовавших начало новой эры DDoS-атак. Прошедший год продемонстрировал, что, помимо манипуляций с BGP, терабитные DDoS-атаки способны вывести из строя интернет-провайдеров среднего уровня, если не самых крупных.
Серьезную угрозу представляют высокоинтенсивные DDoS-атаки, сосредоточенные в одном регионе. Подобные атаки интенсивностью в 500 Гбит/сек, сгенерированные на 100% внутри одного региона, уже были зафиксированы в прошедшем году. Такие события будут происходить все чаще во многих странах и регионах, чьи сети стали быстрыми и эффективными. Европа, Россия, Китай, Америка, Индия - все эти огромные территории уже обладают устойчивыми сетями, готовыми к тому, чтобы быть нацеленными на выведение из строя региональные цели.

Число зашифрованных атак значительно выросло. В предыдущие годы подобные атаки были редки, и злоумышленники использовали в первую очередь старый вектор HTTP. Сегодня же боты, способные к использованию шифров, представляют собой первостепенную опасность, так как обладают широкими способностями к обучению.
Протокол BGP становится всё более востребованным у атакующих, которые все чаще используют его для перехвата трафика и перенаправления пользователей на фальшивые фишинговые страницы. При этом шифрование не защитит пользователей от обмана, так как злоумышленники научились подписывать SSL-сертификаты, а потому такие страницы не вызывают подозрения у рядового посетителя ввиду отсутствия наглядной разницы между настоящей, легитимной веб-страницей и фальшивой.

Манипуляции DNS, такие как cache poisoning (повреждение целостности данных в системе DNS путём заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника), очень часто сопровождают попытки перехвата с помощью BGP. В 2018 году Qrator Labs стала свидетелем кражи разнообразных криптовалют, организованных с использованием связки именно этих двух протоколов.

DNS амплификация была и остается одним из самых известных векторов DDoS-атак канального уровня. В случае атаки интенсивностью в сотни гигабит в секунду существует немалая вероятность перегрузки подключения к вышестоящему провайдеру.

Ботнеты значительно развились за 2018 год, а их владельцы придумали новое занятие - кликфрод. С улучшением технологий машинного обучения и получением в руки headless-браузеров (работающих без сетевых заголовков) занятие кликфродом значительно упростилось и удешевилось всего за два года.

Машинное обучение уже достигло массового рынка и стало вполне доступным. В связи с этим появление первых, основанных на ML-алгоритмах, DDoS-атак ожидается в ближайшее время, особенно учитывая снижающуюся стоимость управления и повышающуюся точность аналитики таких сетей.

Боты
Идентификация становится крайне серьезной проблемой и задачей в современном интернете, так как самые продвинутые боты даже не пытаются изображать человека – они им управляют и находятся в одном с ним пространстве. Проблематика ботов-сканеров и многих других подвидов заключается в очень важной экономической компоненте. Если 30% трафика нелегитимны и происходят от нежелательных источников, то 30% затрат на поддержку такого трафика оказываются бесполезны.

Парсеры и сканеры, являющиеся частью широкой проблематики ботов, вышли на горизонт только в 2018 году. Во время эпидемии парсинга, которую в Qrator Labs наблюдали в России и СНГ всю вторую половину прошлого года, стало очевидно, что боты далеко продвинулись в вопросах шифрования. Один запрос в минуту – это вполне нормальная интенсивность для бота, которую очень сложно заметить без анализа запросов и исходящего трафика ответов.

Снижение поощрения атакующего – единственный способ противодействия. Попытка остановить ботов не принесет ничего, кроме потраченных времени и средств. Если что угодно кликает на то, что дает прибыль – необходимо отменить эти клики; при парсинге можно включить слой “фальшивой” информации, через которую с легкостью пройдет обычный пользователь в поисках корректной и достоверной информации.

Интернет Вещей
IoT как индустрия не совершил значительного прогресса в сторону улучшения своей общей безопасности за прошедший год. Исследователи обнаружили новый класс индустриального оборудования, которое сейчас массово подключается к сетям и обладает значительными уязвимостями. Недавние открытия относительно протокола CoAP свидетельствуют, что подобных незакрытых точек эксплуатации может быть очень много.

Амплификаторы на базе IoT являются очевидным дальнейшим развитием идеи уязвимых сервисов. Более того, домашние подключенные устройства представляют собой лишь статистическую верхушку этого айсберга. Есть и другие группы “подключенных устройств”, сообщающихся с помощью протоколов, которые выбраны непредсказуемо и не обеспечивают достаточную защиту устройств.
Незакрытые уязвимости в индустриальном интернете вещей будут эксплуатироваться и дальше при условии неизменности текущего подхода к разработке.

На протяжении уже длительного времени мы живем в мире мультифакторных атак, эксплуатирующих атакующие возможности сразу нескольких протоколов для выведения цели из работоспособного состояния.

DDoS-атаки долгое время были серьезной проблемой лишь для ограниченного числа бизнес отраслей, таких как электронная коммерция, торговля и биржа, банкинг и платежные системы. Но с продолжающимся развитием интернета наблюдаются DDoS-атаки увеличенной интенсивности и частоты в абсолютно всех частях интернета. Эпоха DDoS началась с определенного порога пропускной способности домашних роутеров и, неудивительно, что с появлением микрочипа в каждой физической вещи вокруг ландшафт атак начал стремительно меняться. 2018 год был годом возможностей для «темной стороны». В Qrator Labs увидели рост атак с одновременным их усложнением и увеличением как объема в сетевых терминах, так и частоты.