По мере все большего распространения интернета и новых цифровых технологий увеличивается количество инцидентов кибербезопасности. От DDoS теперь могут пострадать практически все отрасли во всех регионах мира.
По данным отчета компаний Qrator и Wallarm — поставщиков средств информационной безопасности, 2016 год стал годом фундаментальных изменений в сфере сетевой безопасности. Радикально увеличилась как мощность, так и сложность атак. Например, хорошо организованная атака может достигать сегодня мощности 1 Тбит/с и выше. Современную сетевую инфраструктуру становится все тяжелее защищать от кибератак. Ее построение и поддержание обходится бизнесу все дороже.
В 2016 году заметно активизировались инциденты, связанные с DDoS. Раньше самую опасную разновидность атак, с амплификацией (с усилием — когда злоумышленник посылает запросы от подделанного IP-сервера, который отвечает пакетами большего размера; соответственно, чем больше обращений, тем мощнее атака), крупный провайдер мог устранить даже в случаях мощности до 100–300 Гбит/с. Другие сложные атаки (к примеру, L7 — деградация веб-приложений из-за атак, многократно повторяющих запросы на поиск и извлечение конкретной информации с сервера, пока у него просто не закончатся ресурсы) в последние годы случались редко. Сегодня они составляют все более серьезную угрозу. За последнее время эксперты Wallarm регистрировали линейный рост пиковой мощности DDoS. В самых различных устройствах — веб- камерах, серверах видеозаписи, некоторых устройствах с сим-картами — были выявлены уязвимости, которыми воспользовались в крупном масштабе за короткие сроки.
Взрослые риски
Злоумышленники ищут уязвимости и бэкдоры, в том числе изучая код свежей прошивки устройства. Бум стартапов и рост числа подключенных устройств — это новые риски для бизнеса с точки зрения появления крупных ботнетов. Их используют для высокочастотных атак, которые крайне сложно остановить, даже используя специализированные инструменты безопасности. В результате такой атаки резко снижается производительность интернет-ресурсов из-за аномально высокой нагрузки.
Еще одна проблема — масштабные утечки пользовательских баз самых разных компаний, включая крупнейшие интернет-проекты. В руки злоумышленникам попали консолидированные базы с указанием логинов (часто электронной почты) и паролей миллионов пользователей. В результате под ударом оказались учетные записи этих пользователей на любом другом сервисе в интернете.
Для увеличения мощности атак злоумышленники амплифицируют атаки. Атакующий увеличивает объем отсылаемого «мусорного» трафика путем эксплуатации уязвимостей в сторонних сервисах, а также маскирует адреса реального ботнета. Другой вектор — WordPress. В этой платформе есть функция Pingback, с помощью которой автономные блоги обмениваются информацией о комментариях и упоминаниях. Уязвимость в Pingback позволяет специальным XML-запросам запросить любую веб-страницу из интернета. Амплификация на WordPress Pingback или DNS — уже отработанные примеры. В будущем появится эксплуатация более молодых протоколов, в первую очередь игровых.
Небезопасный IoT
По результатам тестирования нескольких устройств интернета вещей в 2016 году Wallarm отмечает их достаточно высокую уязвимость. При этом в мире количество подключенных устройств уже превышает 6,5 млрд (по оценке компании Gartner), а к 2020 году составит от 20 млрд до 30 млрд.
В конце 2016 года был обнаружен первый ботнет на основе интернета вещей — Mirai. С него пришла атака в 1 Тбит/с на OVH, французского облачного хостинг-провайдера, одного из крупнейших в своем классе. Затем сотни тысяч маршрутизаторов, камер, серверов DVR и других подключенных устройств (вплоть до кофеварок с Wi-Fi) атаковали одного из крупнейших провайдеров DNS-серверов в мире — Dyn. Ряд самых посещаемых глобально веб-сайтов не открывался часами, продемонстрировав урон от продуманной атаки на инфраструктуру.
Быстрая эволюция
Сегодня растет не только число атак, но и их качество. Повзрослели как методы защиты DNS, так и векторы и инструменты, используемые атакующими. При этом заметно упал уровень необходимого опыта и знаний для организации DDoS-атак, а также их стоимость (как правило, в криптовалюте).
Взлом и сетевое сканирование уже достигли небывалого масштаба. Все больше злоумышленников используют предварительно отсканированные диапазоны IP-адресов, сегментированных по используемым технологиям и продуктам — к примеру, «все серверы WordPress».
К 2017 году злоумышленники стали более профессиональными и оперативными. В 2013 году средним сроком между отчетами и реальными взломами считалась неделя, но сейчас этот «отклик» значительно ускорился и может составить от двух до четырех часов в зависимости от уязвимости. По прогнозам Wallarm, этот интервал может сократиться до двух и менее часов уже в ближайшем будущем.
Параллельно в Qrator отмечают продолжающуюся эволюцию инструментов, техник и сетей для атаки. В 2017 году ожидается более быстрое обнаружение уязвимостей у предприятий.
К 2018–2019 годам прогнозируется увеличение числа атак на новые технологические стеки: микроконтейнеры, приватные и публичные облака (AWS, Azure, OpenStack). Wallarm ожидает рост ядерного типа атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы. Выстоять против рекордных нападений смогут лишь грамотно построенные геораспределенные облачные системы, резюмируют эксперты Wallarm.