По оценкам аналитиков, количество DDoS-атак на российские компании за прошлый год выросло на 53%. При этом на каждую компанию в среднем пришлось около 340 атак.
Одна из причин роста количества и мощности атак – распространение «умных» устройств, таких как камеры видеонаблюдения, маршрутизаторы, видеорегистраторы и даже смарт-часы. Как правило, подобные девайсы плохо защищены, и злоумышленники, взламывая их, организуют масштабные ботнеты. В результате, атаки мощностью от 1 Тбит/с становятся все привычнее.
Атака из-под ковра
При этом сами атаки отличаются по своему характеру. Так, сегодня можно выделить два разнонаправленных тренда в их организации: «ковровые» бомбардировки и целевые.
При целевых DDoS-атаках злоумышленники направляют весь вредоносный трафик на один IP-адрес конкретной организации. «Ковровые» же бомбардировки нацелены уже на диапазон подсетей с тысячами IP-адресов. На каждый ресурс в таком случае приходится меньший объем нелегитимных запросов, однако суммарно они способны вывести из строя весь канал, и жертвой в таком случае становится не одна компания, а множество ресурсов подсети.
От целевых атак в большей степени страдают крупные корпорации и в целом заметные игроки любого сектора. Злоумышленники могут атаковать их как по политическим причинам, так и по коммерческим: например, вымогая деньги за остановку атаки или стремясь получить доступ к пользовательским данным и личным кабинетам.
«Ковровые» же бомбардировки могут коснуться любой компании, независимо от ее размера или заметности, ведь атакующие перебирают IP-адреса и направляют вредоносный трафик на наименее защищенные ресурсы.
При целевых DDoS-атаках злоумышленники направляют весь вредоносный трафик на один IP-адрес конкретной организации. «Ковровые» же бомбардировки нацелены уже на диапазон подсетей с тысячами IP-адресов. На каждый ресурс в таком случае приходится меньший объем нелегитимных запросов, однако суммарно они способны вывести из строя весь канал, и жертвой в таком случае становится не одна компания, а множество ресурсов подсети.
От целевых атак в большей степени страдают крупные корпорации и в целом заметные игроки любого сектора. Злоумышленники могут атаковать их как по политическим причинам, так и по коммерческим: например, вымогая деньги за остановку атаки или стремясь получить доступ к пользовательским данным и личным кабинетам.
«Ковровые» же бомбардировки могут коснуться любой компании, независимо от ее размера или заметности, ведь атакующие перебирают IP-адреса и направляют вредоносный трафик на наименее защищенные ресурсы.
Уровень ниже
У целевых и «ковровых» атак есть и общая черта: все большее количество вредоносного трафика идет не на сетевой уровень (L3-4), а на уровень приложений (L7).
Дело в том, что нелегитимные запросы на L7 практически неотличимы от «добросовестных» и потому распознать и заблокировать их гораздо сложнее. И если на сетевом уровне большинство антибот-решений работают более или менее эффективно, то технологии для защиты L7 есть у единичного количества сервисов.
При этом все хуже показывают себя привычные методы детекции ботов. Например, блокировка по IP по сути потеряла свою актуальность, поскольку дешевизна и распространение облачных систем позволяют злоумышленникам организовать атаку из любой точки мира. А развитие искусственного интеллекта сделало практически бесполезной и капчу: боты уже научились разгадывать ее быстрее и лучше людей.
Поэтому для гарантированного распознавания ботов необходимо использовать многофакторный анализ трафика, который применяет Variti. Собственная технология компании позволяет блокировать 99,9% вредоносного трафика на уровнях L3-4 и L7 – что предотвращает не только DDoS (его сложно не заметить из-за всплеска трафика), но и единичные ботовые запросы, которые могут использоваться для подготовки более серьезных атак либо для парсинга данных или попытки взлома личных кабинетов пользователей.