Компании Qrator Labs и Wallarm представили отчет об основных тенденциях и проблемах за 2015 год в области доступности и безопасности корпоративных сайтов, связанные с угрозами DDoS и «взлома».
Сегодня хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений. Главное наблюдение 2015 года — понижение пиковых скоростей DDoS-атак, что, впрочем, не придает оптимизма, поскольку компенсируется ростом их сложности.
Если ранее злоумышленники чаще всего ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер, то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры. Хакеры наращивают сложность и объединяют DDoS со взломом, то есть атаками на уязвимости приложения. В 84% случаев атака DDoS сопровождается попытками взлома сайта. Таким образом, средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными для обеспечения доступности интернет-ресурса. Тем не менее компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается нейтрализовать данные риски вполне успешно.
DDoS-атака сегодня стоит от 5 долларов в час. Как результат, по сравнению с 2014 годом среднее количество атак на один сайт в 2015 году увеличилось в два раза. Злоумышленники активно используют облачных провайдеров для быстрого получения ресурсов, в том числе бесплатно, с использованием бонусных и триальных программ.
Схожая картина с хакерскими атаками. Благодаря доступности инструментов для поиска и эксплуатации уязвимостей успешные атаки во многих случаях уже не требуют серьезной экспертизы: за атаками все чаще стоят не профессиональные хакеры, а «середнячки», которые ищут и эксплуатируют известные уязвимости готовыми инструментами, руководствуясь статьями и видеоинструкциями.
В 2015 году участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. При этом хакеры используют интеллектуальные автоматизированные средства, которые исключают возможность противодействия отдельным специалистом на стороне обороны. Сегодня можно говорить о том, что эффективно противостоят DDoS только системы, работающие на основе алгоритмов машинного обучения. Системы, работающие под контролем человека-оператора не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользовательского трафика.
Наиболее популярными атаками по-прежнему являются атаки на уязвимости типа SQL-инъекций (37,75% от общего числа атак), когда из-за специальным образом сформированного запроса можно выполнить произвольный запрос к базе данных приложения. Простые в реализации за счет автоматизированных инструментов, они открывают злоумышленникам прямой доступ к базам данных ресурса. Для обхода защитных решений все чаще используют различные способы обфускации (маскировки) вредоносных запросов, что оказывается эффективным в случае WAFов, не учитывающих структуру и специфику приложений. В прошедшем году серьезно увеличилось количество атак перебора, в том числе направленных на перебор паролей (21,85%). В России это особенно коснулось интернет-ритейлеров, где злоумышленники в массовых количествах получали доступ к учетным записям, используя базы «логин-пароль», утекшие из других ресурсов.
Зачастую не нужно обладать специальными знаниями для того, чтобы реализовать успешную атаку. Для любой критической уязвимости в известных продуктах вскоре появляется публичный эксплойт — весь процесс эксплуатации в этом случае сводится к банальному указанию домена или IP-адреса уязвимого ресурса. Снижаются и требования к разработчикам, минимально необходимые для начала работы над веб-приложениями, что непременно влияет на качество кода систем.
«Главный итог 2015 года заключается в том, что в отрасли созрело понимание — сегодня стала невозможной защита собственными средствами. Для противодействия сложным комплексным DDoS-атакам и взломам необходимо использовать профессиональные решения, которые постоянно обновляются и используют алгоритмы машинного обучения», — прокомментировал Александр Лямин, глава Qrator Labs.