В ноябре 2015 года исследовательское агентство 42Future по заказу Qrator Labs провело опрос двадцати крупных онлайн-ритейлеров на тему DDoS-атак. В опросе приняли участие менеджеры компаний среднего и высшего звена, хорошо осведомлённые по данному вопросу.

В данном документе также представлены тренды, касающиеся киберугроз в индустрии онлайн-ритейла, которые были выявлены специалистами Wallarm и Qrator Labs.

1. Результаты опроса 20 крупных онлайн-ритейлеров РФ в ноябре 2015 года

1.1. Сталкивались ли с DDoS-атаками за последний год

Четверть опрошенных 42Future представителей крупных онлайн-ритейлеров сообщили, что подвергались DDoS-атакам за последний год.

40% респондентов допускают, что их атаковали, но их компания атаку не ощутила. В частности, так может происходить потому что компания использует внешние средства противодействия DDoS-атакам, которые работают эфективно. То есть на бизнесе факт атаки никак не сказывается, она проходит незамеченной.

«Мы в Qrator Labs стремимся к тому, чтобы наши клиенты даже не замечали, когда их атакуют. Зачастую об атаках на свои ресурсы они узнают только из квартальных или годовых отчётов нашего сервиса. Именно так, на наш взгляд, и должны работать эффективные средства противодействия DDoS-атакам. У наших клиентов не должна болеть голова по данному поводу, их внимание и ресурсы должны быть направлены на основной бизнес», — говорит Александр Лямин, основатель и глава Qrator Labs.


Помимо этого, клиенты Qrator Labs отмечают значительное сокращение числа атак после того, как начинают пользоваться услугами компании. В частности, об этом сообщают семь из десяти лидеров онлайн-ритейла РФ (по версии журнала Forbes), которые являются клиентами Qrator Labs.

«Киберпреступники понимают что усилия, необходимые для атак на сайты крупных онлайн-ритейлеров, пользующихся нашей услугой фильтрации трафика, будут не оправданными, и не тратят на это ресурсы», — объясняет Александр Лямин.

1.2. Мотивы атакующих

По словам опрошенных представителей крупных онлайн-ритейлеров, DDoS-атаки представляют собой серьёзную угрозу для их бизнеса. Об этом сообщило 65% респондентов. Почти все они использовали формулировку «очень серьёзна» или «серьёзна» при ответе на вопрос о существенности данной киберугрозы.

Те компании, которые ранее подвергались DDoS-атакам и не использовали в тот момент средства противодействия, говорят о существенных финансовых потерях для бизнеса, которые понесли в результате нападения.

У всех опрошенных есть мнение о том, каковы причины организации атаках. Подавляющее большинство считают основным мотивом заказчиков подобных нападений недобросовестную конкуренцию. Одна пятая опрошенных также отмечают, что атаки могут быть инициированы с целью причинить убытки по разным причинам, в том числе по личным мотивам (месть, неприязнь и так далее).

«Даже непродолжительная DDoS-атака с невысокой скоростью может причинить серьёзные убытки бизнесу, если она инициирована в точно выбранный момент, к примеру в период проведения активной рекламной кампании. „Уронить“ сайт конкурента в это время означает вызвать негатив по отношению к нему со стороны многочисленных клиентов, как существующих, так и потенциальных. Итог — впустую потраченные деньги на рекламу, потеря лояльности и ущерб для репутации. Всё это будет работать в минус ещё долгое время после атаки», — рассказывает Александр Лямин.

1.3. Средства противодействия

Все без исключения респонденты сообщили, что их компании используют средства постоянной защиты от DDoS.

У 90% опрошенных — это решения от внешних поставщиков.

Остальные используют собственное решение для данных целей.

Редкие компании полагаются на защиту, предоставляемую провайдером телекоммуникационных услуг. Некоторые из опрошенных уточнили, что специальные средства предоставляет партнёр — системный интегратор, с которым сотрудничает компания по ряду вопросов, связанных с ИТ.

Половина опрошенных компаний (50%) использует программные средства противодействия DDoS, и 35% — аппаратные. Остальные 15% опрошенных не уточнили, какого рода решения используются для данных целей.

При этом 95% заявляют, что удовлетворены выбранными решениями и уровнем защиты, которую они обеспечивают.

«Мы сотрудничаем с несколькими десятками крупных поставщиков ИТ-услуг, которые предоставляют технологии Qrator своим клиентам. Недавно мы выбрали самых продуктивных партнёров 2015 года. Ими стали компании КРОК, Group IB и DataLine. Специалисты выбирают облачное решение фильтрации трафика Qrator, потому что считают именно такой способ противодействия DDoS-самым эффективным», — говорит Александр Лямин.

2. DDoS в сегменте малых и средних компаний онлайн-ритейла РФ

По наблюдениям специалистов Qrator Labs, в сегменте малого онлайн-ритейла ситуация сложилась противоположная: небольшие интернет-магазины в большинстве своём не используют средства противодействия DDoS-атакам.

При этом данный инструмент нечестной конкурентной борьбы активно применяется в этой среде в силу своей эффективности и доступности.

В связи с этим, во время сезонов пиковых продаж, в Qrator Labs наблюдается наплыв новых клиентов данной категории, которые подключаются к сервису фильтрации трафика Qrator как правило под атакой.

Поведение таких компаний чаще всего складывается по следующему алгоритму:

  • атака началась
  • компании требуется время, чтобы понять это (рассматриваются варианты типа падения сети провайдера, ошибок на сайте и т.д.)
  • паника и поиск вариантов самостоятельного решения проблемы
  • поиск внешних поставщиков средств противодействия DDoS-атакам

Некоторые компании небольшого размера, испытав DDoS-атаку и потеряв деньги, пытаются заниматься разработкой собственных средств противодействия. При этом, как правило, используются устаревшие алгоритмы и неэффективные приёмы фильтрации, которые ведут к отключению реальных клиентов вместо ботов.

2. Тренды, замеченные Qrator Labs в 2015 году

2.1. Регулярность атак

Крупные онлайн-ритейлеры, по наблюдениям Qrator Labs, относительно редко подвергаются DDoS-атакам — -в среднем не более десятка раз за текущий год. Однако, рост их количества в среднем на одного клиента Qrator Labs в 2015 году по сравнению с 2014 составил около 50%.

Исключение составляют периоды сезонной активности и распродаж. В это время нагрузки на сетевые ресурсы ритейлеров растут и без нападений в результате наплыва покупателей. По данным Qrator Labs, объёмы «живого» трафика в среднем вырастают в такие дни в два раза.

Нечистоплотные конкуренты организуют атаки в это время в надежде, что удастся пробить брешь в защите на фоне естественного роста трафика. По наблюдениям Qrator Labs, в результате таких нападений в период распродаж или активной рекламной кампании объёмы трафика могут увеличиваться в четыре и более раз.

Наибольший риск подвергнуться DDoS-атаке наблюдается у крупных онлайн-ритейлеров, отличающихся агрессивным маркетинговым поведением (ценовая конкуренция, массированная реклама, многочисленные акции и т.д.).

Во время BlackFriday график, демонстрирующий динамику входящего трафика, может выглядеть следующим образом

На графике красной линией обозначены запросы от клиентов, которым пришлось ждать ответа сервера более 1 секунды.

«Как видно, Black Friday и без атак — это по-настоящему „чёрная“ пятница для ИТ-специалистов. При этом, как мы видим прямо сейчас, в период рождественских распродаж, атакующие не снижают напора и после главного дня года для онлайн-ритейла, когда клиентам предлагаются максимальные скидки», — говорит Александр Лямин, основатель и глава Qrator Labs.

2.2. Атаки уровня L7 и способы борьбы

Онлайн-ритейлеры наиболее подвержены риску стать жертвой DDoS-атаки типа L7 (Application Layer). Это атаки на веб-приложения сайтов, которым приходится обрабатывать запросы как от реальных клиентов, так и фейковые от ботов.

Volumeric-атаку легко заметить и просто отразить, если иметь достаточное количество ресурсов и специальное оборудование. Как видно на графике, злоумышленники попытались «положить» ресурс, но у них не получилось, и они оставили попытки.

В случае атаки типа L7 график выглядит естественным и гладким, без пиков.

Киберпреступники направляют фейковые запросы при атаках L7 на такие приложения, где не требуется авторизация, и которые отвечают за сложные расчёты (склад, логистика, скидочные программы, рекомендуемые товары).

Большинство жертв предполагает, что данную проблему можно решить «в лоб», отсекая запросы с подозрительных IP-адресов. Но отличить реальных пользователей от ботов не так просто. Это требует анализа по сложным алгоритмам, разработкой которых Qrator Labs занимается уже около десяти лет.

На крупнейшей конференции Highload++ по веб-разработке Qrator Labs провёл конкурс среди лучших специалистов в этой области. Задачей было отфильтровать реальные запросы от фейковых.

Участникам предлагалось изучить лог реальной атаки на новостной сайт. В выборке было 1443 запроса от ботов, работающих по трем разным сценариям и логике (456 запроса по сценарию 1, 626 — по второму сценарию, 361 — по третьему). А также 10403 запросов от реальных пользователей. Лучшие разработчики два дня занимались решением задачи, и троим из них удалось приблизиться к правильному результату. Но ни один из них не сумел выявить все фейковые запросы. Более того, 3634 реальных пользователя были заблокированы. Задача при отражении атак L7 не только выявить фейковые запросы, но не отфильтровать реальных клиентов. Неаккуратная фильтрация приведёт к потерям для бизнеса.

«Атаки типа L7 — это серьезная проблема, которой Qrator Labs занимается уже десять лет. Её не решить без применения сложных математических алгоритмов. Именно поэтому в команде моей компании работают профессиональные математики», — говорит Александр Лямин.

3. Безопасность ресурсов онлайн-коммерции

Компания Wallarm разрабатывает решения для защиты нагруженных веб-ресурсов от сложных хакерских атак. Ее услугами пользуются крупнейшие интернет-ритейлеры Рунета.

Статистика говорит о том, что злоумышленники пытаются взломать интернет-магазины по следующим основным мотивам:

  1. Мошенничество с целью получения товаров.
  2. Кража всей пользовательской базы.
  3. Доступ к отдельным учетным записям.
  4. Нарушение работоспособности магазина.
  5. Шантаж.

Прямая материальная выгода от получения бесплатных товаров или товаров по цене ниже рыночной была главной мотивацией для злоумышленников в этом году. Большинство из них — не профессионалы. С проблемой столкнулись 9 из 10 клиентов компании — крупнейших магазинов интернет-торговли.

На черном рынке востребованы отдельные аккаунты с положительным внутренним балансом (чаще всего бонусными балами программ лояльности), из-за чего брутфорс-атаки стали трендом этого года. Это атаки, в которых применяются специальные инструменты для перебора паролей.

Второй по популярности целью для взлома интернет-ритейлеров по-прежнему является кража пользовательской базы. Злоумышленники могут действовать как по конкретному заказу конкурентов, так и абсолютно независимо, зная, что база пользователей — чрезвычайно ликвидный товар, которые всегда можно продать по хорошей цене.

Стремление навредить и вывести ресурсы из строя — частый сценарий в случае неудавшейся DDoS-атаки. Злоумышленники организуют атаки, используя уязвимости самого приложения, а также устраивают таргетированные атаки на конкретных сотрудников компании.

Брутфорс-атаки — тренд 2015 года

Массовые переборы паролей к учетным записям пользователей в 2015 стали проблемой практически для всех крупных интернет-ритейлеров с программами лояльности.

Для перебора также используются многочисленные базы, включающие себя пары емейл-пароль, от других взломанных ресурсов — как те, которые есть в публичном доступе, так и приватные. Техника оказалось невероятно эффективной, ведь 30% пользователей применяют один и тот же пароль на всех сервисах, которые они используют.

Уязвимости в механизме применения скидочных кодов также играют на руку злоумышленников. Из-за недостаточной энтропия значения кода, эти коды можно подобрать.

Чаще всего для приобретения материальной выгоды злоумышленники используют функционал различных бонусных и скидочных кодов. Далее бонусные баллы используются для приобретения товаров со скидкой (иногда 100%). Полученные таким образом товары далее перепродаются по рыночной стоимости. Как следствие компании терпят как прямые убытки и косвенные убытки из-за увеличивающегося объема трафика, заявок в службу поддержки и т.д.

Инициативы отдельных групп со временем стали организованным рынком, на котором одни люди продают базы пользователей, другие разрабатывают и продают лицензию на скрипты и программы для перебора, третьи предоставляют прокси-серверы для обхода защитных механизмов, четвертые продают уже взломанные аккаунты за 10-20% от их баланса.

Злоумышленники использую те части сайта, где реализовать защиту CAPTCHA довольно затруднительно, в том числе API для мобильных приложений.


Главная уязвимость 2015 года

Масштабная инфраструктура, меняющиеся команды разработчиков, сложный и разношерстный технологический стек приводят к тому, что практически у каждого интернет-ритейлереа есть уязвимости на сетевом периметре.

На основе нашей практике аудитов безопасности, восемь из десяти интернет-ритейлеров взламываются не через основной сайт, а через вспомогательные ресурсы — «админки» и т.д. Компании уделяют внимание тестированию и проверкам безопасности основных ресурсов, забывая про второстепенные, где есть те же самые данные.

Черным днем для большого количества онлайн-магазинов (прежде всего небольших и средних) стала критическая уязвимость в движке Magento, который используется в более 200,000 ресурсов по всему миру и так же популярен в России. С помощью так называемой «shoplift bug» уязвимости, позволяющей удаленное выполнение кода (RCE) можно было получить полный доступ к любому из них.

Разделение атак по типам

Один из интернет-ритейлеров — самый атакуемый ресурс, который стоит под защитой Wallarm’а.

Распределение атак по типа уязвимостей:

  • SQLi-инъекции: 37.3%
  • XSS: 28.5%
  • Другие серверные уязвимости (RCE, XXE, Path Traversal) 16.1%
  • Перебор паролей/кодов: 15.3%
  • Прочие: 2,8%

Как и в прошлом году, на долю атак SQL-инъекций приходится больше всего вредоносных запросов. Такой тренд обусловлен наличием в открытом доступе множества инструментов для автоматизированного тестирования веб-приложений на этот тип уязвимости. Кроме того, риск уязвимости крайне высок — успешная эксплуатация сразу же открывает перед злоумышленником возможность получения полного доступа к базе данных, включая персональную информацию о клиентах, их счетах и прочие важные данные.

Второе место занимают атаки направленные на клиентские уязвимости, так называемый межсайтовый скриптинг или «XSS». Успешная эксплуатация дает возможность получения несанкционированного доступа к конкретной учетной записи пользователя-жертвы или их группы. Эти уязвимости гораздо более распространены в веб-приложениях и считаются разработчиками менее критичными, так как требуют взаимодействия с браузером атакуемого пользователя. Тем не менее, ущерб от успешных атак может быть очень велик, например в случаях, когда компрометации подвергается не рядовой пользователь магазина, а администратор или менеджер.

На втором и третьем месте с практически одинаковыми показателями частоты идут атаки на перебор паролей и кодов, вместе с атаками на прочие серверные уязвимостями, за исключением SQL-инъекций. В последнюю группу мы объединили различные попытки компрометации сервера, включая чтение файлов, атаки на XML парсеры, выполнение команд и другие. Успешная атака на этот класс обладает самым высоким риском среди прочих, однако распространенность инструментов для поиска уязвимостей на такая широкая, как в случае SQL-инъекций.

Источник: Пресс-служба Qrator Labs

Версия для печати (без изображений)   Все новости