«В доступе отказано»

Акторы DoS-атак («отказ в обслуживании») стремятся сделать сервер или сетевой ресурс недоступным для пользователей, блокируя на какое-то время предоставление услуг через Интернет. Обычно это достигается созданием лавины запросов, чтобы вызвать перегрузку системы.

Распределенная (DDoS) атака задействует как можно больше сторонних компьютеров, которые создают перегрузку полосы пропускания или ресурсов атакуемого хоста, — это могут быть тысячи систем, инфицированных вредоносным ПО. Поскольку входящий трафик, затопляющий сервер жертвы, приходит из разных источников, становится трудно распознать его вредоносный характер.

В рамках своей традиционной «Недели кибербезопасности» CRN/США побеседовал с представителями десяти вендоров об эволюции DDoS-атак, которые прошли путь от «идейного» оружия хактивистов до легко монетизируемых сервисов, используемых киберпреступниками. От атак на различную инфраструктуру и использования новых протоколов до взлома незащищенных IoT-устройств и захвата в ботнеты — CRN/США рассматривает самые опасные сегодняшние тренды DDoS-атак.

Захват устройств в ботнет Mozi

Ботнеты, такие как Mozi, стараются инфицировать устройства вредоносным ПО и взять их под свой контроль, чтобы использовать для злонамеренных действий, говорит Пол Николсон (Paul Nicholson), старший директор по маркетингу продуктов A10 Networks.

В частности, ботнет Mozi использует хорошо известные уязвимости в оставшихся не защищенными устройствах Netgear или D-Link, которые затем служат для атак на другие устройства. Хакеры стремятся распространить вредоносный код, чтобы скомпрометировать как можно больше систем, говорит Николсон. DDoS-атаки через ботнет Mozi могут привести к денежным потерям для пострадавшей организации, так как скомпрометированные системы будут недоступны, когда злоумышленники их захватят, сказал он.

Акторы атак обычно пытаются захватить контроль над системой, действуя через несколько разных протоколов и сетей, при этом им достаточно добиться успеха лишь в одном месте, чтобы достичь своей цели, говорит Николсон. Часто хакеры прибегают к амплификации DDoS-атак, используя специфику работы служб DNS и аутентификации, добавил он.

Новые протоколы, затрудняющие защиту

Хакеры используют также асимметрию процесса DDoS-атак, когда, обнаружив уязвимость устройства, можно сравнительно легко запустить атаку, но защититься от нее стоит немалых средств, особенно для компаний с большим парком оборудования в локальной среде, говорит Патрик Донаху (Patrick Donahue), директор по управлению продукцией Cloudflare. При этом платежи часто делаются в криптовалюте, чтобы их труднее было проследить.

Злоумышленники освоили новые типы DDoS-атак, используя новые протоколы, от которых сложнее защититься, и обмен данными с веб-сервером через браузер, чтобы получить самый последний контент с веб-страниц, говорит Донаху. Кроме того, DDoS-атаки доступны для более широкого круга взломщиков, поскольку запустить их проще, чем проникнуть в корпоративную сеть и внедрить вредоносное ПО.

97% DDoS-атак длятся менее часа, так что компаниям нужна защита, мгновенно реагирующая на такие попытки, говорит Донаху. Организации могут сэкономить немало денег, отражая DDoS-атаки как можно ближе к источнику, добавил он.

Слабость аккаунтов IoT-устройств

Многие из IoT-устройств изначально имеют уязвимости, а компании даже не подозревают, что к ним можно получить доступ напрямую из Интернета, говорит Ник Бьязини (Nick Biasini), руководитель отдела по работе с клиентами Cisco Talos. К примеру, многие организации и потребители могут даже не осознавать, что интеллектуальное устройство, которое они последний раз использовали три года назад, всё еще подключено к Интернету, сказал он.

Злоумышленники создали ботнеты, которые могут использоваться как платный сервис для запуска DDoS-атак против кого угодно, говорит Бьязини. Особенно легко взломать устройства со слабой комбинацией логина и пароля (зачастую это заводские значения по умолчанию), действуя методом «грубой силы», сказал он.

Крупные производители внесли множество усовершенствований в защиту своих IoT-устройств, но мелкие игроки заметно отстают, говорит Бьязини. Камеры видеонаблюдения, маршрутизаторы или сетевые устройства хранения данных — хакеры пытаются взломать всё что угодно с доступом к Интернету, когда для взлома нужно лишь подобрать логин и пароль.

Атаки на другую инфраструктуру

Более продвинутые хакеры всё чаще нацеливают свои DDoS-атаки на инфраструктуру, которая, скорее всего, не обладает отказоустойчивостью, — это сервер приложений, файловый сервер, сетевое хранилище данных или виртуальный серверный кластер, говорит Мэтт Радолек (Matt Radolec), руководитель группы реагирования на ИБ-инциденты фирмы Varonis. Взломав гипервизор, а не просто пару серверов, хакеры могут взять под контроль всю инфраструктуру резервного копирования организации, сказал он.

Серверы приложений по умолчанию разрешают входящие и исходящие соединения, а виртуальные серверные кластеры традиционно рассматривались как часть инфраструктуры, но не точка возможной атаки, говорит Радолек. Если после атаки вируса-вымогателя окажется захвачена вся виртуальная серверная среда, то с большой вероятностью организации придется платить выкуп, сказал он.

Компаниям, которые не уверены, что смогут самостоятельно вновь запустить свой сервер приложений без потерь, зачастую легче заплатить выкуп, чтобы избежать такого сценария, говорит Радолек. И всё же, более 70% DDoS-атак нацелены на данные: злоумышленники шифруют и крадут данные, а затем угрожают опубликовать их в Интернете, если не получат выкуп, сказал он.

Запугивание жертвы

Злоумышленники стали запускать небольшую DDoS-атаку, длящуюся лишь несколько секунд, а затем пытаться вымогать у жертвы выкуп, угрожая крупномасштабной атакой, если не получат деньги в течение недели, говорит Майя Хоровиц (Maya Horowitz), вице-президент по исследованиям Check Point Software Technologies. Она впервые встретилась с этой тактикой несколько лет назад в атаке против банков в Греции — так хакеры стремились доказать серьезность своих угроз.

Акторы таких атак могут заявить, что являются членами известных группировок вроде Lazarus или Fancy Bear, чтобы монетизировать свои угрозы, что трудно сделать, не блокировав работу тех или иных служб или веб-сайтов, говорит Хоровиц. Как следствие, DDoS-атаки становятся масштабнее, но реже, поскольку злоумышленникам не нужно доводить их до конца, если можно выманить деньги без этого, сказала она.

Помимо вымогательства, DDoS-атаки часто служат способом удовлетворить свое эго или свести счеты с конкурентами, говорит Хоровиц. Многие атаки стартуют с IoT-ботнета Mirai, «услуги» которого можно купить за биткоины в даркнете и провести DDoS-атаку нужного масштаба, добавила она.

Атаки на корпоративную сеть, а не веб-сайт

Всё чаще ситуация такова, что всевозможное вредоносное ПО уже сидит на ноутбуках пользователей, что дает ботнетам гораздо больше точек входа для начала DDoS-атак, говорит Джонатан Куч (Jonathan Couch), старший вице-президент по стратегии и корпоративному развитию ThreatQuotient. Как результат, размер ботнетов и объем создаваемого ими трафика значительно вырос, сказал он.

Прогоняя разные типы запросов, акторы DDoS-атак могут теперь ударить по коммерческим организациям с большей силой, что увеличивает вероятность долгосрочных последствий, говорит Куч. Рост возможностей DDoS-атак означает, что хакеры могут направить удар на корпоративную сеть жертвы, а не просто на веб-сайт, сказал он.

Блокирование веб-страницы в ходе DDoS-атаки, как правило, не влияет на бизнес-операции компании, говорит Куч. Но, атаковав корпоративную сеть, злоумышленники могут препятствовать взаимодействию компании с контрагентами. Такая смена стратегии помогла киберпреступникам вымогать деньги у более широкого круга жертв, сказал он.

Ошибки конфигурации сети

Инженеры ПО умеют анализировать конфигурацию сети, чтобы выявить уязвимые места; теперь это умеют и интеллектуальные боты, говорит Майкл Маджио (Michael Maggio), исполнительный вице-президент по продукции Reciprocity. DDoS-атаки могут быть нацелены на любой уровень стека прикладного ПО, поэтому необходимо, чтобы организации умели определить, где возникает узкое место и кто его создает.

Чтобы предотвращать DDoS-атаки, организациям нужно выработать стратегию киберзащиты, включающую моделирование атак, чтобы понимать, как именно злоумышленник может добраться до критичных активов, и держать под постоянным контролем слабые места, где они могут быть атакованы, чтобы не допустить инцидентов, сказал Маджио.

DDoS-атаки не привлекают столько внимания, как другие типы ИБ-инцидентов, так как обычно не имеют долгосрочных последствий и не наносят ощутимый вред репутации, говорит Маджио. Компании, понимающие, где их слабые места, с гораздо меньшей вероятностью подвергнутся серьезной DDoS-атаке, добавил он.

Атаки на незащищенные активы

Организации могут иметь активы, о которых не знают, и такие не защищенные активы наиболее уязвимы для DDoS-атак, говорит Грег Поллок (Greg Pollock), вице-президент по продукции UpGuard. Растущая цифровизация и запуск дополнительных веб-сайтов и сервисов — это ахиллесова пята систем кибербезопасности, и контроль за поверхностью атаки становится еще более важным, сказал он.

Создание веб-сайтов не требует сегодня специальных знаний, и группа маркетинга в крупной компании может выставить и запустить собственные тесты на странице перехода с баннера без ведома ИТ-отдела или службы безопасности, говорит Поллок. Кроме того, у некоторых компаний отдельные части их веб-сайта могут управляться сторонней организацией, что затрудняет единый подход к безопасности, сказал он.

Активами нужно управлять, иначе их легче будет атаковать, говорит Поллок. Всё важное, что создается, например веб-страница для проведения маркетинговых кампаний или тестов, также требует защиты от DDoS-атак, добавил он.

Комбинирование SaaS-сервисов

DDoS-атаки это многофакторная проблема, и легкость, с которой хакеры могут задействовать сети, позволяющие проводить эти атаки, продолжает оставаться больной темой, говорит Хит Андерсон (Heath Anderson), вице-президент по информационной безопасности и ИТ в компании LogicGate. Растущее число доступных через Интернет конечных устройств в сочетании с комбинированием SaaS-сервисов намного упростило осуществление DDoS-атак, сказал он.

В локальной среде есть специальные инструменты, которые обеспечивают начальную защиту, снижая вероятность того, что DDoS-атака будет успешной, и поставщики общедоступного облака также имеют встроенные средства защиты от таких атак, говорит Андерсон. И всё же, DDoS-атаки продолжают оставаться серьезной проблемой для служб ИТ-безопасности и никуда не исчезнут, поэтому организациям неизбежно придется тратить время и деньги на защиту от них, подчеркнул он.

Новое в оркестрации атак

Сегодняшние DDoS-атаки всё чаще используют вирусы-вымогатели, и злоумышленники задействуют инфраструктуру для оркестрации таких атак, говорит Петко Стоянов (Petko Stoyanov), глобальный директор по технологии Forcepoint. Распределенная структура персонала, возникшая во время пандемии COVID-19, затруднила тактику обычных DDoS-атак, когда жертвы вымогателей готовы были платить, чтобы вернуть свои данные.

Акторы начали использовать частное облако для атак на Amazon Web Services и Microsoft Azure, и количество сигналов защиты значительно выросло, говорит Стоянов. Но широкое принятие облачных услуг означает, что организации по-прежнему имеют доступ к критически важным функциям и сервисам, даже если их веб-сайт упал. Это повышает устойчивость бизнеса и позволяет продолжать работу, сказал он.


Источник: Майкл Новинсон, CRN/США

Версия для печати (без изображений)   Все новости