Киберугрозы: статистика, практика и прогноз

Несмотря на то, что у индустрии есть заметные успехи в борьбе с DDoS-атаками, обусловленные общими усилиями операторов и игроков рынка информационной безопасности, стоит констатировать, что общая сумма угроз продолжает расти. И ликвидация одних лазеек для злоумышленников приводит к тому, что они переключаются на менее изученные области и технологии.

Можно выделить четыре класса DDoS. Первый класс – это атаки на входящий канал провайдера с целью забить его "паразитным" трафиком, не позволяя проходить полезной информации. Специалисты называют эти атаки "скоростными", "объемными", или Volumetric-атаками.

Volumetric-атаки

Согласно статистике Qrator, с сентября 2014 г. существенно поменялся график объемных атак, их число растет очень существенно. В 2014 г. число атак мощнее 10 Гбит/с выросло более чем в 5 раз (с 47 до 259). То есть они наблюдались примерно каждый рабочий день. Атаки мощнее 100 Гбит/с происходили в среднем еженедельно, их число выросло в 11 раз (с 7 за год до 80). Нападениям подверглись СМИ, крупные компании финансового сектора (платежные системы, банки, Forex и аналоги) и интернет-магазины. Массовому распространению способствовало упрощение технологии организации, а также снижение себестоимости Volumetric-атак, в том числе за счет возможности привлекать низкоквалифицированных специалистов. Кроме того, стоимость одной такой атаки снизилась до $10–50 в сутки за полосу в 1 Гбайт. Одной из самых нашумевших атак такого типа стало обрушение сайтов компании Sony и сетей PlayStation Network.

Атака на сетевую инфраструктуру

Второй класс – атака на сетевую инфраструктуру, когда злоумышленники пытаются заставить неправильно функционировать сетевые узлы оператора или вывести их из строя. Отметим, что они являются очень эффективными в плане воздействия на инфраструктуру жертвы, но требуют высокой квалификации злоумышленников. Это пока относительно новый и малоизученный вектор угроз, и число сознательных атак такого типа относительно невелико, но в мировых масштабах мы регулярно слышим о них.

Например, напомним, как турецкие власти в 2013 г. заблокировали определенные ресурсы на DNS-серверах турецких операторов, что можно рассматривать как вариант DDoS-атаки данного класса. Тогда турецкие пользователи стали массово мигрировать на публичные DNS Google. Следующим шагом правительства Турции стало развертывание в глобальной системе маршрутизации трафика DNS-серверов компании Google на свои поддельные DNS-сервера. Эта вторая часть также является примером DDoS-атаки второго класса.

Атака на сервер и операционную систему

Третий класс – атака на сервер и операционную систему с целью исчерпания ресурсов сервера, например оперативной памяти. Атаки такого типа часто осуществляются с использованием ботнетов. Согласно данным аналитической системы Qrator Radar, в 2014 г. средние и максимальные размеры наблюдаемых ботнетов выросли: возвратились ботнеты-монстры. Так, средний размер ботнета вырос с 1540 до 1961 машины, а максимальный, который наблюдался в этом году, – 420 489. В 2013 г. размер самого большого ботнета составил 281 060 зараженных компьютеров. В 2015 г. ожидается их дальнейший рост.

Атака на приложение

Четвертый класс – атака на само приложение, когда злоумышленники, проанализировав, какие запросы будут наиболее опасными, пытаются перегрузить сервис "мусорными" запросами, в результате чего обращения легитимных пользователей остаются без ответа или требуют неоправданно большого количества времени. В 2014 г. среди самых громких появились истории, связанные с уязвимостями типа Heartbleed. Но и до 2014 г. самыми популярными были атаки на четвертый уровень.

Изощренность злоумышленников

Два уровня посередине, а именно атаки на инфраструктуру, например на коммутаторы и маршрутизаторы и на уровень протокола TCP/IP, по большей части оставались вне фокуса атакующих. Однако поскольку у индустрии появились наработки, то акценты атакующих будут смещаться. Например, в последнее время мы часто наблюдаем объединение в одной атаке инструментов разных классов.

В среднем количество наблюдаемых инцидентов, связанных с DDoS-атаками, за последние 5 лет растет ежегодно на 25%. Если посмотреть, откуда сегодня приходят DDoS-атаки, то в ТОП 3 стран входят: Китай (25%), Россия (15%), Казахстан (12%), на остальные страны приходится меньше 10%. При этом необходимо оговориться, что откуда идут сами атаки, например в случае Amplification, выяснить крайне сложно, а только на уровне атакуемого – просто невозможно. Долю страны в этом рейтинге определяют уровень проникновения Интернета, общий уровень информационной безопасности в стране. Частично влияет то, что атакующие используют российские адреса, поскольку защита требует большей аналитики, и атака труднее отбивается.

С сентября 2014 г. выросла не только суммарная мощность DDoS-атак, но и частота нападений. В результате, если раньше мощные атаки были связаны с конкретными событиями или компаниями (например, Олимпиада Сочи 2014 или сбитый малазийский Боинг), то сейчас они стали массовыми и используются в обычной конкурентной борьбе. Рынок DDoS продолжает коммерционализироваться, и злоумышленники работают в том же режиме, что и остальной бизнес. Спады активности по DDoS-атакам наблюдаются в летние периоды и в выходные дни.

В завершившемся году, как ни парадоксально, сложных, красивых атак, которые могли бы стать настоящим вызовом для специалистов по защите от DDoS, не было. Наиболее распространенной технологией организации объемных атак оставался метод усиления (Amplification), используемый для отправки длинных запросов ошибки в конфигурации серверов служб DNS, NTP, SSDP и других. Однако если раньше для организации объемной атаки требовалось формировать ботнет, то теперь возможность подделать IP-адрес жертвы и отправить запрос на уязвимый сервер позволяет злоумышленникам тратить значительно меньше ресурсов, в том числе времени, на организацию атаки. Для сравнения – в 2013 г. наиболее популярным инструментом для Volumetric-атак были DNS-амплификаторы. В 2014 г. киберпреступники чаще использовали NTP- и SSDP-амплификаторы.

Вместе с тем, в 2015 г. прогнозируется спад количества атак на полосу (первый класс по классификации), которые были актуальны в 2013–2014 гг. Во многом это результат усилий со стороны сетевого сообщества, в первую очередь, поставщиков решений для противодействия DDoS-атакам, направленных на повышение информированности рынка о природе рисков. В результате мы видим, что операторы связи предпринимают усилия по закрытию уязвимостей в собственной инфраструктуре, что снижает количество уязвимых серверов, которые могут использоваться для организации DDoS-атак.

Поэтому, возможно, в обозримом будущем мы увидим снижение или неувеличение числа таких атак. Но если активность интернет-провайдеров станет вялой или угаснет, то есть вероятность, что в 2015 г. эта тенденция сохранится.