Особенности DDoS-атак в 2022 году. На смену атакующим кондиционерам и музыкальным колонкам пришли люди
2022 год изменил многие базовые принципы, которые лежали в основе проведения DDoS-атак. В итоге вынуждены были перестраиваться и те, кто от них защищается, и те, кто эту защиту обеспечивает.
У подавляющего большинства DDoS-атак на онлайн-ресурсы российских организаций до начала 2022 года был ряд общих черт. Используя эти особенности, можно было выстроить эффективный контур защиты, с чем успешно справлялись разработчики решений в сфере ИБ, провайдеры услуг защиты и интеграторы. К таким типовым чертам относятся следующие.
- Большинство вредоносного трафика шло из-за рубежа, главным образом с территории США, Германии и Азии.
- Источники — простейшие боты и скрипты. Генерируемый такими алгоритмами трафик относительно легко отделим от пользовательского.
- Генераторы трафика — серверы за прокси-сетями и IoT, в частности арендованные вычислительные мощности в облаках, дешёвые роутеры, камеры, телевизоры и даже кондиционеры или музыкальные колонки, которые имеют выход в интернет.
- Явные всплески трафика — большинство атак создавали явные статистические аномалии, на порядки превышая по объёму нормальную загрузку атакуемых ресурсов.
Рисунок 1. Пример DDoS-атаки — пик 21.03.2022. Клиент из сектора СМИ
В первом квартале 2022 года ситуация изменилась. Начала прослеживаться более чёткая и масштабная координация атак на онлайн-ресурсы, в том числе сайты и мобильные приложения компаний разных сфер бизнеса, СМИ, госструктур. Кроме того, выросли компетенции тех, кто организует, проводит и координирует эти атаки, а также появилась поддержка гос. органов и ряда крупных международных ИТ-компаний. Благодаря этому широкое распространение получил доступный пользователю любой подготовки инструментарий для участия в атаках, в том числе атакующие сайты с казуальными играми.
Список целей обновлялся ежедневно, при этом явная логика в его формировании отсутствовала. Таким образом организаторы атак воздействовали не только на ИT-инфраструктуру организаций, но и на психологию их владельцев и руководителей: пусть сегодня нас не атаковали, но нервы потрачены всё равно.
НОВОЕ В DDОS
В итоге привычные для DDoS-атак черты сменились новыми. В частности, источники вредоносного трафика в значительной степени стали локализованы на территориях Украины, а также России, откуда к ресурсам обращаются обычные пользователи. Это делает невозможным ограничение доступа к ресурсам по географическому признаку и сильно затрудняет блокировку атак, поскольку системы фильтрации создавались для распределённых по миру источников и были рассчитаны на фильтрацию меньших объёмов паразитной нагрузкой в каждой локации (рис. 2).
Рисунок 2. Паразитный трафик не балансируется по всей структуре фильтрации, а мощностей отдельных узлов может не хватить для его блокировки. Следом за отказом ближайших к источникам локаций может произойти «веерный» эффект и отказ всей инфраструктуры. Блокировки по geo неприменимы, так как источник атак находится внутри РФ
Сегодня непосредственными исполнителями атак стали чаще становиться люди, а не боты, точнее, к ботам добавились люди, добровольно предоставляющие свои устройства и для их генерации. При этом некоторые из ботов стали убедительнее имитировать поведение реальных людей, что усложняет их фильтрацию. Простота и удобство инструментов позволяют принять участие в атаках любому. Исполнителей ищут через массовую рассылку в соцсетях плюс собирают группы в телеграм-каналах и помимо финансовой составляющей подключают идеологическую. Выросла и длительность атак, которые теперь могут длиться до нескольких суток, при этом к ранее атакованным целям возвращаются повторно. Блокировки по IP потеряли эффективность, так как с одного устройства обычного пользователя может идти и легитимный, и паразитный трафик одновременно на один ресурс.
ПО НОВЫМ ПРАВИЛАМ
Эти изменения привели к тому, что применяемая защита на базе привычных зарубежных решений стала неэффективна. Контур безопасности необходимо выстраивать с прицелом на то, что сейчас происходит смена направления атак с недоступности ресурсов на финансовый ущерб бизнесу, также есть тренд на использование DDoS как прикрытия целевых атак, направленных на взлом.
Для противодействия внешним угрозам теперь необходимо использовать более продвинутые решения, которые способны максимально точно блокировать паразитный трафик, не касаясь легитимных пользователей. В реестре российского ПО недавно появилась технология DosGate, разработанная с учётом новых реалий. В зоне повышенного риска сейчас находятся те организации, для которых сайт и приложения — это основной способ коммуникации с пользователями и покупателями. В первую очередь это маркетплейсы, финтех-организации, сетевые и онлайн-ретейлеры, туроператоры (рис. 3). Таким компаниям следует провести аудит безопасности, создать или актуализировать план реагирования на атаки с учётом новых реалий и устранить хотя бы критичные для бизнеса уязвимости и слабые места в периметре защиты.
Рисунок 3. Онлайн-ретейл растёт из года в год. Мы всё чаще вводим свои данные в интернете — и тем чаще они попадают в руки мошенников
.png)