24 мая 2016

DDoS в 1-м квартале 2016 года: смена тенденций

Бизнес

Securelist выпустил новый отчёт о DDoS-атаках в первом квартале 2016 года. Несмотря на то, что документ этот, главным образом, основывается на статистике и отмечает чрезвычайную серьёзность DDoS-атак, некоторые подробности превращают его в увлекательное чтиво.

Основные вехи корпоративной безопасности в 1-м квартале

  • Рекордная DDoS-атака с «отражением» произошла в начале этого года, достигнув показателя в 602 Гб/с. Несмотря на то, что она был запущена политически мотивированными хактивистами, сама возможность такого нападения с целью простой наживы выглядит очень реальной и пугающей.
  • Самая продолжительная DDoS-атака в 1-м квартале 2016 года длилась 197 часов (или 8,2 дня), что гораздо меньше максимума предыдущего квартала (13,9 дня). Многочисленные атаки на одну и ту же цель участились (до 33 нападений на один ресурс за отчётный период).
  • Число UDP-атак продолжает снижаться, в то время как число других методов нападения остаётся более или менее постоянным из квартала в квартал. Похоже, UDP-атаки скоро совсем уйдут со сцены.
  • SYN DDoS-атаки остаются наиболее популярным типом, за ними следуют TCP с большим отрывом. Число ICMP-атак внезапно выросло до 9% (с 3,6%), но это мало повлияло на общую расстановку.
  • Злоумышленники, по-видимому, переходят от простых и дешёвых, но длительных атак к сложным и изощрённым, нападая на одну и ту же цель многократно. Это говорит о том, что продуманность и узкая направленность являются общей тенденцией в киберпреступности.
  • Сайты на CMS WordPress опять пострадали от Pingback-атак. Эта проблема никуда не денется, пока функцию Pingback не отключат по умолчанию. А такое вряд ли произойдёт.
  • Вендоры безопасности, особенно те, что предлагают услуги противодействия DDoS, стали подвергаться регулярным нападениям, и похоже, будто преступники просто проверяют свои инструменты.

Защитники как тестовые стенды

«Анализ переписок на подпольных форумах позволяет сделать предположение, что в преступном киберсообществе принято использовать сайты ИБ-компаний в качестве испытательных целей, для тестирования новых методов и инструментов. «, — пишет Securelist.

Однако, подобная активность нападающих представляет собой палку о двух концах, потому что, пока они таким образом испытывают новые методы и приёмы, эксперты по безопасности тоже следят, учатся и собирают аналитические данные, чтобы предсказать следующие шаги злоумышленников.

tidal_main

Атаки уровня приложений снова на подъёме

На сегодняшний день, по-видимому «отборные сливки» киберподполья возвращаются к старым-добрым атакам уровня приложений: в 1-м квартале специалистам «Лаборатории Касперского» пришлось отражать в несколько раз больше HTTP(s)-атак, чем за весь 2015 год:

Что интересно, было отмечено несколько атак уровня приложения одновременно на несколько наших ресурсов. Фактически, мощности DDoS-ресурсов размывались на несколько целей, что снижало эффект, оказываемый на каждую цель. Это можно объяснить тем, что целью злоумышленников было не нарушение работы сайтов «Лаборатории Касперского», а тестирование инструментария и изучение ответной реакции с нашей стороны. Самая длительная атака такого рода продолжалась менее 6 часов.

Атаки уровня приложений требуют задействования больших ботнетов или нескольких высокопроизводительных серверов и широкого выходного канала. Сбор надлежащих разведданных также является трудной задачей. Но если эти атаки выполняются должным образом, им чрезвычайно трудно противостоять, не блокируя доступ легальным пользователям, так как вредоносные запросы выглядят подлинными, то есть это действительно выглядит так, как будто просто слишком много пользователей пытаются получить доступ к одному серверу одновременно, резко повышая уровень запросов.

«Именно такие попытки мы фиксировали в первом квартале. Это говорит о том, что рынок DDoS развился настолько, что сложные и дорогие в исполнении атаки становятся экономически выгодными, и зарабатывать на этом пытаются более квалифицированные киберпреступники». — отметили специалисты «Лаборатории Касперского», добавив, что существует реальная опасность того, что эти атаки станут более-менее распространёнными.

Защита от DDoS

Статистика для отчёта была собрана с помощью собственной системы DDoS Intelligence «Лаборатории Касперского» (кроме всего прочего), которая используется для отслеживания активности крупнейших ботнетов.

Система DDoS Intelligence является частью Kaspersky DDoS Prevention и предназначена для перехвата и анализа команд, отправленных ботам серверами управления (C&C). Для сбора данных DDoS Intelligence не приходится ждать, пока пользовательские устройства будут заражены, или команды злоумышленников будут выполнены.

В общем, Kaspersky DDoS Protection сочетает в себе богатый опыт «Лаборатории Касперского» в противодействии киберугрозам и уникальные собственные разработки компании. Решение защищает от всех типов DDoS-атак вне зависимости от их сложности, мощности и продолжительности. Подробнее о решении можно узнать здесь.