Разбор аналитики от одного из крупнейших поставщиков CDN-услуг в мире и некоторых мнений экспертов о том, как действовали злоумышленники в последнее время.
Кибершторм на волне
В апреле мы уже писали о том, как меняются DDoS-атаки и методы борьбы с ними. За прошлый квартал ситуация изменилась, но не глобальным образом. Она продолжила развиваться в направлении, обозначенном на Всемирном экономическом форуме в Давосе в январе: год обещал принести «кибершторм» из атак рекордной мощности.
Прогноз фактически сбывается. В первом квартале произошла крупнейшая DDoS-атака, и в рост идёт и другая статистика. В свежем отчёте один из крупнейших поставщиков CDN-услуг отмечает, что, количество атак на криптовалютные компании увеличилось сразу на 600%. Также в пять раз увеличилось число инцидентов с использованием скомпрометированных IoT-устройств — количество таких ботов достигло планки в миллион гаджетов. Чаще всего ботнеты использовали для нарушения работы телекоммуникационных сетей и другой критически важной инфраструктуры.
Не исчезли и классические методы формирования ботнетов: как выяснилось, один из популярных VPN-сервисов с несколькими миллионами загрузок на Android обладал потенциалом к использованию устройств пользователей для DDoS-атак.
Одна из крупнейших атак в этом квартале произошла с использованием бот-сети и пиковой мощностью в 1,4 Тбит/с. Её удалось автоматически обнаружить и подавить. Атака была недолговечной, поэтому рекорд по мощности DDoS злоумышленники не поставили.
Однако количество атак длительностью более трёх часов во втором квартале увеличилось сразу на 103% по сравнению с предыдущим периодом. Дело в том, что злоумышленники находят больше способов прятать вредоносный трафик среди обычного. Ещё одной особенностью атак становится их многовекторность — ботнеты нацеливают на сайты и внутреннюю инфраструктуру организаций, чтобы нанести максимальный ущерб.
Доработанные методы
Злоумышленники активнее работают над тем, чтобы ботнеты имитировали реальных пользователей. Чтобы сделать маскировку более эффективной, они применяют рандомизацию User Agent, JA3 Fingerprint и других параметров. В большом количестве случаев ботнеты поддерживают относительно низкую частоту атак на продолжительном отрезке времени. При этом все более сложные методы используют не только крупные игроки в этой сфере, но и злоумышленники более низкого уровня.
Наиболее опасными эксперты посчитали случаи, когда ботнеты использовали так называемое «отмывание DNS». Из других типов — отметили объемные DDoS-атаки с применением виртуальных машин и частных серверов, что позволяет мультиплицировать мощность при практически прежних затратах на инфраструктуру. Именно такой подход использовали для проведения рекордной DDoS-кампании с 71 млн запросов в начале года.
Что дальше
В прошлом квартале специалисты по ИБ сделали акцент на совершенствование специализированных моделей машинного обучения, позволяющих выявлять даже замаскированные DDoS-атаки. Пока этот подход остаётся одним из ключевых и перспективных с точки зрения дальнейшего развития. Модели адаптируют под конкретные задачи: например, одни оказываются нацелены на защиту IoT-устройств, а другие — на любителей маскироваться с помощью fast flux DNS.
Новые исследования также посвящают поиску альтернативных методов обучения — например, по федеративной модели: не собирать данные с множества устройств, а проводить обучение непосредственно на них и отсылать на центральный сервер обновлённые параметры модели, а не только поток необработанных данных.
Особенно актуален такой подход для сетей, состоящих из множества слабых по отдельности IoT-устройств. Обучение модели таким способом позволяет снизить нагрузку на каждую отдельную систему, сохранить конфиденциальность передаваемых данных и уменьшить зависимость от непрерывной связи с центральным сервером для обнаружения угроз. Точность обнаружения DDoS-атак при этом достигает почти 90%.
Для того, чтобы усилить эффект федеративной модели, исследователи предложили добавить к ней систему обнаружения и предотвращения вторжений на хост — HIDPS. Она помогает точнее обнаруживать атаки в режиме реального времени. Первая отвечает за анализ данных непосредственно на самих IoT-устройствах, а вторая — за анализ трафика со всех хостов в сети. Таким образом выстраивается распределённая система безопасности, не полагающаяся только на один сервер или отдельные хосты.
Ещё одним трендом можно назвать разработку решений, способных смягчить последствия DDoS-атаки, даже если системе ещё не удалось определить характер вторжения. Адаптивная методика позволяет создавать правила фильтрации трафика для каждого устройства в распределённой сети так, чтобы минимизировать риск ущерба для пользователей в режиме реального времени. Такой подход может быть актуален при защите критической инфраструктуры: например, киберфизических систем вроде «умных» сетей электроснабжения или систем управления беспилотным транспортом.
Дополнительное чтение:
