Тренды DDoS-атак в 2021 и как мы защищаем наших клиентов

DDoS-атаки становятся доступными все более широкому кругу, их стоимость падает, а ущерб растет. Они просты в освоении и не требуют высокой технической подготовки атакующего. В интернете можно скачать пакеты инструментов ready-to-use, которыми может воспользоваться даже школьник. Можно купить или арендовать специальные инструменты для создания собственного ботнета, взять в аренду готового ботнета со всеми средствами управления.

Согласно предположениям Пьерлуиджи Паганини, члена Европейского агентства по сетевой и информационной безопасности, эволюция кибератак приведет к четырем трендам:
 

  • Запуск точечных вирусов-вымогателей. Хакеры будут стараться нападать прицельно, чтобы максимизировать свою прибыль. Причем большинство перейдет к модели двойного вымогательства: сначала жертву отфильтровывают по взломанной системе, затем требуют выкуп. А в случае отказа — могут угрожать обнародовать данные.
     
  • Использование уязвимостей IoT. Пандемия подстегнула интеграцию IoT в обыденную жизнь: медицинские устройства, умные офисы и удаленный мониторинг активностей. Это приведет увеличению к количества устройств, используемых ботнетами.
     
  • Кибератаки как сервис. Группы хакеров предлагают кибератаки как услугу для других организаций. Появится простой доступ к сложным и скоординированным атакам. В результате шансы на успешную атаку и ее урон повысятся.
     
  • Атаки на основе технологий ИИ. Благодаря возможности моделировать ситуации и предсказывать действия защиты, хакеры будут ускользать от идентификации в реальном времени или использовать контрмеры. С помощью ИИ хакеры смогут запускать масштабные дезинформационные кампании.

 

В июле 2020 года Национальное управление телекоммуникаций и информации Министерства торговли Соединенных Штатов провело исследование ботнетов и пришло к выводам о том, что хакеры будут активно привлекать новые устройства IoT, сделают ботнеты меньше и сложнее, чтобы охранным системам было сложнее их обнаружить и ликвидировать.

Активное развитие ботнетов будет происходить благодаря взлому принтеров, роутеров и использованию поисковой системы Shodan.

 

Взлом принтеров и роутеров

Принтеры — идеальный инструмент для взлома корпоративных сетей. В каждом офисе есть принтеры и об их безопасности, скорее всего, мало кто задумывается. Хакеры могут получить доступ благодаря простому подбору паролей и использованию небезопасных протоколов и портов.

Большинство принтеров сохраняют информацию о последних страницах, которые на них распечатывали. И злоумышленники могут легко получить доступ к этим данным. Это дает возможности для промышленного шпионажа.

Подобные проблемы с безопасностью часто встречаются также и у роутеров. Причины: заводские настройки, незащищенные сети. Такие уязвимости дают возможность проникнуть в корпоративную сеть, а также использовать роутеры в ботнетах.

Кнопка WPS на домашнем роутере

 

Домашние роутеры на оборотной стороне могут иметь кнопку WPS. Эта кнопка позволяет подключить любое устройство без пароля.

Благодаря этой уязвимости практически любой ПК можно подключить к домашнему роутеру и получить доступ в его сеть.

Если у вас роутер с кнопкой WPS, мы советуем зайти в настройки роутера и программно отключить эту функцию. Лучше всегда использовать ввод обычного пароля для подключения к собственной домашней WI-FI-сети.

 

Взлом с помощью поисковой системы Shodan

«Shodan — самая страшная поисковая система в интернете», — так описал свое детище Джон Матерли, создатель Shodan, в интервью репортеру CNN Дэвиду Голдману.

Принципиальное отличие Shodan от классических поисковиков, таких как Google и Яндекс, состоит в том, что Shodan индексирует информацию, собранную из ответных баннеров, тогда как Google, Яндекс индексируют контент веб-сайтов.

Баннер представляет собой структурированный текст, описывающий серверный софт, который функционирует на соответствующем IoT-устройстве. Shodan индексирует серверы, веб-камеры, принтеры, маршрутизаторы и другое оборудование, подключенное к интернету. Все, что подключено к интернету, легкодоступно через поисковые запросы в Shodan.

В августе 2020 года, чтобы показать уязвимость принтеров, команда Cybernews нашла 418 968 «открытых» принтеров в интернете с помощью Shodan. Сделав выборку из 50 тысяч, специалисты взломали 27 944 из них: распечатали руководство по защите от взлома на каждом.

С помощью Shodan также находили: автомойку, которую можно включать и выключать прямо из интернета, без авторизации доступа; хоккейный каток в Дании, который можно разморозить одним кликом мыши. Даже удалось найти АЭС и получить доступ к ее панели управления.

 

Как мы защищаем от самых мощных и изощренных DDoS-атак

Наш сервис защиты от DDoS-атак, Internet Umbrella, основан на решениях Arbor Networks от NETSCOUT.

По данным глобальной исследовательской компании Omdia, NETSCOUT является ведущим поставщиком на рынке устройств для предотвращения DDoS-атак с долей рынка 22%. Значительная доля рынка и гибкость продуктов Arbor обеспечивают преимущества, о которых мы расскажем в следующих статьях.
 

Круглосуточный анализ DDoS-атак во всем мире

Мы используем базу данных о кибератаках команды исследователей безопасности Arbor. Они обновляют базу круглосуточно: собирают и анализируют данные об атаках из различных источников, включая информацию от партнеров — более 300 клиентов во всем мире, которые согласились делиться анонимными данными о трафике. Объем этого трафика равен 1/3 от всего объема трафика в мире. Кроме сбора и аналитики трафика, Arbor проводит историческое отслеживание ботнетов, их местоположения и методов атак.

 

Кейс «Как мы сделали сеть банка в 25 раз быстрее и защитили от DDoS-атак»

Задачи: помочь увеличить пропускную способность интернет-портов к внутренним ИТ-системам для удаленных сотрудников и обеспечить защиту сервисов от DDoS-атак.

Читать

 

Регулярное обновление политик безопасности

Группа реагирования Arbor на основе анализа данных создает и постоянно обновляет политики безопасности ATLAS Intelligence Feed (AIF). В них содержатся данные о новых DDoS методах и атаках. Они автоматически доставляются в продукты Arbor через подписку по защищенному SSL-соединению. Эти данные помогают нашим специалистам предотвращать сложнейшие DDoS-атаки.
 

Динамическая репутационная разведка

Одна из ключевых технологий в основе AIF — динамическая репутационная разведка, которая позволяет оценить, скомпрометирован конкретный IP, DNS, URL или нет. Результаты оценки автоматически добавляются к политикам безопасности AIF и помогают точно оценивать значимость угроз.
 

Пользовательский личный кабинет

Чтобы сотрудникам ИТ- и ИБ-отделов было удобно работать с данными аналитики трафика и систем защиты, мы готовим детализированные отчеты.

С их помощью аналитикам проще детально анализировать эффективность существующей системы защиты от DDoS-атак, а также улучшать и ускорять расследование каждого инцидента.

 

Источники:

Cybernews.com
USA. The Departments of Commerce and Homeland Security. Botnet Road Map 2021
Money.cnn.com. Shodan: The scariest search engine on the Internet

Андрей Головин

Менеджер по развитию бизнеса направления «Кибербезопасность», Orange Business Services.

Опыт в ИТ — 14 лет, из которых 7 лет в ИБ. Прошел путь от инженера хелпдеска, ведущего специалиста по внедрению и разработке АСУ до менеджера по развитию бизнеса. Понимаю тренды и потребности рынка ИБ, требования и боли заказчиков. Ко мне можно обращаться по вопросам обеспечения кибербезопасности в вашей компании.