نعتقد أن وقت هجمات DDoS البسيطة التي يمكن اكتشافها بسهولة (والأدوات البسيطة التي يمكن أن تمنعها) قد انتهى. لقد تعلم مجرمو الإنترنت إخفاء هذه الهجمات بشكل أفضل وتنفيذها بتزايد التعقيد. انتقلت الصناعة المظلمة من القوة الغاشمة إلى هجمات طبقة التطبيق. تتلقى أوامر خطيرة لتدمير العمليات التجارية ، بما في ذلك العمليات غير المتصلة بالإنترنت تمامًا.
اقتحام الواقع
في عام 2017 ، أدت سلسلة من هجمات DDoS التي استهدفت خدمات النقل السويدية إلى تأخيرات طويلة في القطار . في عام 2019 ، أصبحت شركة السكك الحديدية الوطنية الدنماركية Danske Statsbaner غير متصلة بالإنترنت. ونتيجة لذلك ، لم تعمل آلات التذاكر والبوابات الآلية في المحطات ، ولم يتمكن أكثر من 15 ألف مسافر من الذهاب إلى أي مكان. في نفس عام 2019 ، تسبب هجوم سيبراني قوي في انقطاع التيار الكهربائي في فنزويلا .
إن عواقب هجمات DDoS تواجه الآن ليس فقط من قبل المستخدمين عبر الإنترنت ، ولكن أيضًا من قبل الأشخاص ، كما يقولون ، IRL (في الحياة الواقعية). في حين أن المهاجمين استهدفوا تاريخياً الخدمات عبر الإنترنت فقط ، إلا أنهم غالبًا ما يتم تكليفهم بتعطيل أي نشاط تجاري. وفقًا لتقديراتنا ، اليوم أكثر من 60٪ من الهجمات لديها مثل هذا الهدف - للابتزاز أو المنافسة عديمة الضمير. المعاملات والخدمات اللوجستية معرضة بشكل خاص.
أذكى وأكثر تكلفة
لا يزال DDoS يعتبر من أكثر أنواع الجرائم الإلكترونية انتشارًا وأسرعها نموًا. وفقا للخبراء ، من عام 2020 سوف ينمو عددهم فقط. ويعزى ذلك إلى أسباب مختلفة - ومع انتقال أكبر للأعمال إلى الإنترنت بسبب الوباء ، ومع تطور صناعة الجرائم الإلكترونية الغامضة ، وحتى مع انتشار 5G .
أصبحت هجمات DDoS شائعة في الوقت المناسب بسبب سهولة نشرها وانخفاض تكلفتها: قبل بضع سنوات ، كان يمكن إطلاقها مقابل 50 دولارًا في اليوم. اليوم ، تغيرت الأهداف وأساليب الهجوم ، مما أدى إلى زيادة تعقيدها ، ونتيجة لذلك ، التكلفة. لا ، الأسعار من 5 دولارات للساعة لا تزال في قوائم الأسعار (نعم ، للمجرمين الإلكترونيين أسعار ومقاييس تعريفة) ، لكنهم بالفعل يتطلبون من 400 دولار في اليوم لموقع مع حماية ، وتصل تكلفة الطلبات "الفردية" للشركات الكبيرة إلى عدة آلاف دولار.
هناك الآن نوعان رئيسيان من هجمات DDoS. الهدف الأول هو جعل مورد عبر الإنترنت غير متوفر لفترة زمنية معينة. مجرمو الإنترنت تهمة لهم خلال الهجوم نفسه. في هذه الحالة ، لا يهتم عامل DDoS بأي نتيجة محددة ، ويقوم العميل بالفعل بدفع دفعة مسبقة لبدء الهجوم. هذه الطرق رخيصة للغاية.
النوع الثاني هو الهجمات التي يتم دفعها فقط عند تحقيق نتيجة معينة. إنها أكثر إثارة للاهتمام معهم. هم أكثر صعوبة في التنفيذ وبالتالي أكثر تكلفة بكثير ، حيث يتعين على المهاجمين اختيار أكثر الأساليب فعالية لتحقيق أهدافهم. في Variti ، نلعب أحيانًا ألعاب شطرنج كاملة مع مجرمي الإنترنت ، حيث يغيرون على الفور التكتيكات والأدوات ويحاولون اختراق العديد من نقاط الضعف على عدة مستويات في وقت واحد. من الواضح أن هذه هجمات جماعية يعرف فيها المتسللون كيفية الرد والتصدي لأفعال المدافعين. محاربتهم ليست صعبة فحسب ، بل مكلفة للغاية بالنسبة للشركات. على سبيل المثال ، كان لدى أحد عملائنا ، وهو بائع تجزئة كبير للشبكة ، فريقًا مكونًا من 30 شخصًا لمدة ثلاث سنوات تقريبًا ، وكانت مهمتها مكافحة هجمات DDoS.
وفقًا لـ Variti ، فإن هجمات DDoS البسيطة ، التي تتم فقط من الملل أو التصيد أو الاستياء من شركة معينة ، تمثل حاليًا أقل من 10 ٪ من جميع هجمات DDoS (بالطبع ، قد تحتوي الموارد غير المحمية على إحصاءات مختلفة ، ونحن ننظر إلى بيانات عملائنا ). كل شيء آخر هو عمل الفرق المهنية. في الوقت نفسه ، فإن ثلاثة أرباع جميع الروبوتات "السيئة" هي روبوتات معقدة يصعب اكتشافها باستخدام معظم حلول السوق الحديثة. تحاكي سلوك المستخدمين أو المتصفحات الحقيقية وتطبق أنماطًا تجعل من الصعب التمييز بين الطلبات "الجيدة" و "السيئة". هذا يجعل الهجمات أقل وضوحا وبالتالي أكثر فعالية.
البيانات من GlobalDots
أهداف DDoS جديدة
يُظهر تقرير Bad Bot من المحللين في GlobalDots أن برامج التتبُّع تُولِّد الآن 50٪ من جميع زيارات الويب ، 17.5٪ منها هي برامج ضارة.
الروبوتات قادرة على إفساد حياة الشركات بطرق مختلفة: بالإضافة إلى حقيقة أنها "تكمن" في المواقع ، فهي الآن منخرطة في حقيقة أنها تزيد من تكلفة الإعلان ، والنقرات على الإعلانات ، وتدفق الأسعار لجعلها أقل نقودًا وإغراء المشترين ، سرقة المحتوى لأغراض سيئة مختلفة (على سبيل المثال ، كتبنا مؤخرًاحول المواقع ذات المحتوى المسروق التي تجبر المستخدمين على حل اختبار CAPTCHA لأشخاص آخرين). تشوه الروبوتات بشكل كبير إحصاءات الأعمال المختلفة ، ونتيجة لذلك ، يتم اتخاذ القرارات بناءً على بيانات غير صحيحة. غالبًا ما يكون هجوم DDoS عبارة عن شاشة دخان للجرائم الأكثر خطورة مثل القرصنة وسرقة البيانات. ونرى الآن أنه تمت إضافة فئة جديدة كاملة من التهديدات السيبرانية - وهذا هو تعطيل بعض العمليات التجارية للشركة ، غالبًا في وضع عدم الاتصال (نظرًا لأنه في عصرنا لا شيء يمكن أن يكون "غير متصل" تمامًا). غالبًا ما نرى أن العمليات اللوجستية والتواصل مع العملاء ينهار.
"لم يتم تسليمها"
عمليات الأعمال اللوجستية هي المفتاح لمعظم الشركات وغالبا ما تتعرض للهجوم. فيما يلي بعض سيناريوهات الهجوم التي يمكن أن تحدث.
غير متوفر
إذا كنت تعمل في مجال التجارة عبر الإنترنت ، فربما تكون على دراية بمشكلة الطلبات المزيفة. في حالة وقوع هجمات ، تفرط البوتات في الموارد اللوجستية وتجعل السلع غير قابلة للوصول إلى مشترين آخرين. للقيام بذلك ، يضعون عددًا كبيرًا من الطلبات المزيفة تساوي الحد الأقصى لعدد العناصر الموجودة في المخزون. ثم لا يتم دفع ثمن هذه السلع وبعد فترة من الوقت يتم إرجاعها إلى الموقع. لكن المهمة تم إنجازها بالفعل: فقد تم تمييزها على أنها "نفذت من المخزون" ، وقد ذهب بعض المشترين بالفعل إلى المنافسين. هذا التكتيك معروف جيدًا في صناعة الخطوط الجوية ، حيث يقوم البوت أحيانًا "بشراء" جميع التذاكر فور ظهورها تقريبًا. على سبيل المثال ، عانى أحد عملائنا - شركة طيران كبيرة - من مثل هذا الهجوم من قبل المنافسين الصينيين. في ساعتين فقط ، طلبت برامج الروبوت الخاصة بهم 100 ٪ من التذاكر إلى وجهات معينة.
روبوتات الأحذية الرياضية
السيناريو التالي الشائع هو أن البوتات تشتري على الفور خط الإنتاج بالكامل ، ويقوم أصحابها ببيعها لاحقًا بسعر مبالغ فيه (متوسط الترميز هو 200٪). تسمى هذه الروبوتات بوت أحذية رياضية لأن هذه المشكلة معروفة جيدًا في صناعة الأحذية الرياضية ، خاصة في الإصدارات المحدودة. اشترت الروبوتات خطوطًا جديدة ظهرت حديثًا في دقائق تقريبًا ، بينما تحظر المورد بحيث لا يمكن للمستخدمين الحقيقيين اختراقه. هذه حالة نادرة عندما ظهرت الروبوتات في مجلات الموضة اللامعة. بشكل عام ، على الرغم من ذلك ، يستخدم بائعو التذاكر للأحداث الرائعة مثل مباريات كرة القدم نفس السيناريو.
سيناريوهات أخرى
لكن هذا ليس كل شيء. هناك نسخة أكثر تعقيدًا من الهجمات على الخدمات اللوجستية ، والتي تهدد بخسائر فادحة. يمكن القيام بذلك إذا كان للخدمة خيار "الدفع عند استلام البضائع". تترك البوتات أوامر مزيفة لمثل هذه السلع ، مما يشير إلى عناوين مزيفة أو حتى حقيقية لأشخاص غير مرتكبين. وتتحمل الشركات تكاليف ضخمة للتسليم والتخزين وتوضيح التفاصيل. في الوقت الحالي ، لا تتوفر السلع للعملاء الآخرين ، وحتى تحتل مساحة في المستودع.
ماذا بعد؟ تتسبب برامج الروبوت في ترك مراجعات ضخمة وهمية حول المنتجات ، وتعوق وظيفة "رد المبالغ المدفوعة" ، وتعطيل المعاملات ، وسرقة بيانات العملاء ، والعملاء الحقيقيين للرسائل غير المرغوب فيها - هناك العديد من الخيارات. مثال جيد هو الهجوم الأخير على DHL ، Hermes ، AldiTalk ، Freenet ، Snipes.com. تظاهر قراصنة لأنهم كانوا "يختبرون أنظمة حماية DDoS" ، وفي النهاية أخرجوا بوابة عملاء الشركة التجارية وجميع واجهات برمجة التطبيقات. ونتيجة لذلك ، كانت هناك اضطرابات كبيرة في تسليم البضائع للعملاء.
استدعاء غدا
في العام الماضي ، أبلغت لجنة التجارة الفيدرالية (FTC) عن زيادة مزدوجة في الشكاوى المقدمة من الشركات والمستخدمين بشأن الرسائل غير المرغوب فيها ومكالمات روبوت الهاتف الاحتيالية. وفقًا لبعض التقديرات ، تمثل حوالي 50 ٪ من جميع المكالمات.
كما هو الحال مع DDoS ، تتراوح أهداف TDoS - هجمات الروبوتات الضخمة على الهواتف - من المقالب إلى المنافسة الخبيثة. البوتات قادرة على زيادة التحميل على مراكز الاتصال ولا تفوت عملاء حقيقيين. هذه الطريقة فعالة ليس فقط لمراكز الاتصال مع المشغلين المباشرين ، ولكن أيضًا حيث يتم استخدام أنظمة AVR. يمكن للبوتات أيضًا أن تهاجم بشكل كبير قنوات أخرى للتواصل مع العملاء (الدردشات ورسائل البريد الإلكتروني) وتعطيل أنظمة CRM وحتى تؤثر سلبًا على إدارة الموارد البشرية إلى حد ما ، لأن المشغلين يشعرون بالإرهاق وهم يحاولون التعامل مع الأزمة. يمكن أيضًا مزامنة الهجمات مع هجوم DDoS تقليدي على موارد الضحية عبر الإنترنت.
في الآونة الأخيرة ، أدى هجوم مماثل إلى تعطيل 911 خدمة طوارئ.في الولايات المتحدة ، لا يستطيع الناس العاديون الذين هم في أمس الحاجة للمساعدة. في نفس الوقت تقريبًا ، واجهت حديقة حيوان دبلن نفس المصير: تلقى ما لا يقل عن 5000 شخص رسائل غير مرغوب فيها في شكل رسائل نصية قصيرة SMS تطالبهم بالاتصال على وجه السرعة برقم هاتف حديقة الحيوانات وطلب شخص خيالي.
لن تكون شبكة Wi-Fi
يمكن للمجرمين الإلكترونيين أيضًا حظر شبكة شركة بأكملها بسهولة. غالبًا ما يُستخدم حظر IP لمكافحة هجمات DDoS. لكن هذا ليس فقط غير فعال ، ولكنه أيضًا ممارسة خطيرة للغاية. يسهل العثور على عنوان IP (على سبيل المثال من خلال مراقبة الموارد) ويسهل استبداله (أو تزييفه). قبل الانضمام إلى Variti ، كان لدى عملائنا حالات أدى فيها ذلك إلى حقيقة أن حظر IP معين أدى ببساطة إلى إيقاف تشغيل Wi-Fi في مكاتبهم الخاصة. كانت هناك حالة عندما "قام" العميل بإخراج عنوان IP المطلوب ، وحظر الوصول إلى موارده للمستخدمين من المنطقة بأكملها ، ولم يلاحظ ذلك لفترة طويلة ، لأنه بخلاف ذلك يعمل المورد بالكامل بشكل مثالي.
ما هو الجديد؟
تتطلب التهديدات الجديدة حلولاً أمنية جديدة. ومع ذلك ، فإن هذا المكان الجديد في السوق قد بدأ للتو في التكون. هناك العديد من الحلول لصد هجمات البوت البسيطة ، ولكن مع الهجمات المعقدة ، كل شيء ليس بهذه البساطة. لا تزال العديد من الحلول تمارس تقنيات حجب IP. يحتاج البعض الآخر إلى وقت لجمع البيانات الأساسية للبدء ، ويمكن أن تصبح هذه الدقائق 10-15 نقطة ضعف. هناك حلول قائمة على التعلم الآلي تسمح لك بتحديد الروبوت من خلال سلوكه. وفي الوقت نفسه ، تفتخر فرق من "الجانب الآخر" بأن لديهم بالفعل روبوتات يمكنها تقليد حقيقي لا يمكن تمييزه عن الأنماط البشرية. ولم يتضح بعد من سيفوز.
ماذا لو كان عليك التعامل مع فرق الروبوتات المهنية والهجمات المعقدة متعددة المراحل على عدة مستويات في وقت واحد؟
توضح تجربتنا أنك بحاجة إلى التركيز على تصفية الطلبات غير القانونية دون حظر عناوين IP. تتطلب هجمات DDoS المعقدة التصفية في عدة طبقات في وقت واحد ، بما في ذلك طبقة النقل وطبقة التطبيق وواجهات برمجة التطبيقات. وبفضل هذا ، يمكن صد الهجمات ذات التردد المنخفض ، والتي عادة ما تكون غير مرئية وبالتالي يتم تخطيها في كثير من الأحيان. أخيرًا ، من الضروري السماح لجميع المستخدمين الحقيقيين بالمرور ، حتى عندما يكون الهجوم نشطًا.
ثانيًا ، تحتاج الشركات إلى القدرة على إنشاء أنظمة حماية متعددة المراحل خاصة بها ، حيث ، بالإضافة إلى أدوات منع هجمات DDoS ، سيتم إنشاء أنظمة ضد الاحتيال وسرقة البيانات وحماية المحتوى وما إلى ذلك.
ثالثًا ، إنهم بحاجة إلى العمل في الوقت الفعلي من أول طلب - فالقدرة على الاستجابة الفورية للحوادث الأمنية تزيد بشكل كبير من فرص منع هجوم أو تقليل قوته التدميرية.
المستقبل القريب: إدارة السمعة وجمع البيانات الضخمة باستخدام الروبوتات
تطور تاريخ DDoS من البسيط إلى المعقد. في البداية ، كان هدف المهاجمين منع الموقع من العمل. يجدون الآن أنه من الأكثر كفاءة استهداف العمليات التجارية الأساسية.
سيستمر تعقيد الهجمات في النمو ، وهذا أمر لا مفر منه. بالإضافة إلى ما تقوم به الروبوتات السيئة الآن - سرقة وتزوير البيانات ، والابتزاز ، وبرامج الروبوت العشوائية - ستجمع البيانات من عدد كبير من المصادر (البيانات الكبيرة) وإنشاء حسابات وهمية "موثوقة" لإدارة التأثير أو السمعة أو التصيد الجماعي.
في الوقت الحالي ، لا تستطيع سوى الشركات الكبيرة تحمل الاستثمار في DDoS وحماية الروبوت ، ولكن حتى لا يمكنها دائمًا تتبع حركة المرور الناتجة عن برامج الروبوت وتصفيتها بالكامل. الشيء الإيجابي الوحيد في أن تصبح هجمات الروبوت أكثر تعقيدًا هو أنه يشجع السوق على إنشاء حلول أمنية أكثر ذكاءً وأفضل.
ما رأيك - كيف ستتطور صناعة حماية الروبوتات وما هي الحلول المطلوبة في السوق الآن؟