Атаките с DDoS няма да умрат, напротив – те стават все повече, все по-сложни, все по-добре прицелени и все по-бързи. Не могат да бъдат избегнати нито от малките, нито от големите мишени – жертва стават дори платформи като Azure, Amazon, ChatGPT, OneDrive, Outlook. Атакуващите използват инструменти за автоматизация от арсенала на генеративните алгоритми и успяват да нанесат своите удари там, където „най-много боли”, разказаха специалисти от Radware по време на форума InfoSEC SEE 2024, организиран от COMPUTER 2000 България в „Hyatt Regency Pravets Golf & SPA Resort”.
Нападателите, които организират DDoS кампании, имат не само парична мотивация. Финансовите придобивки са силен фактор, но много често той не е единствен, дори не е и водещ. Вместо това влияние имат аспекти като политическите убеждения, религиозни вярвания и др. Например, ислямистки екстремисти, които смятат, че някой е обидил вярата им, стоят в основата на много от DDoS атаките в днешно време. Подобна е ситуацията с политическия активизъм, като например „дигиталната армия на Украйна”.
Нефинансовата мотивация е причината, поради която много често ставаме свидетели на DDoS акции, в които жертвата бива известена, че е „наказана” за свое поведение или за конкретно действие. Нападателите действат не заради пари, а заради нещо, в което силно вярват.
Лесен достъп за всички желаещи
В немалко случаи DDoS атаката може да бъде купена или поръчана – по модела „като услуга”. Това може да означава ангажиране на хора да изпълнят нападението. По този метод множество кибервойни се водят предимно на идеологическа основа.
Средствата за реализацията на DDoS атака са лесно достъпни в интернет. Най-често те могат да се вземат от GitHub – популярен портал за споделяне на софтуерни инструменти. Той не е изграден с подобна идея, но уви, оказва се най-удобен за размяна на програмни средства. В него могат да се открият готови програми за DDoS, дори и такива, които се „рекламират” с лъскави маркетингови диаграми колко много различни видове корпоративни защити могат да преодолеят, разкри Хаим Халперин, регионален мениджър на Radware.
Според него, днес можем да говорим за три основни тенденции в света на DDoS. Това са изнасяне в „облака”, използване на GPT средства и големи езикови модели, както и прилагане на принципа „удряй там, където най-много боли”.
Двоен проблем
Малко организации си дават сметка, че атаката с DDoS има двойна цена за тях, сподели Халперин. От една страна, всеки срив на услуга е драматичен – това, че дадена система не работи, ощетява организацията. Услугата може да остане в състояние на отказ различно време – от 2-3 часа до няколко дена или дори седмица. Толкова дълго време може да означава отлив на поръчки, невъзможност за обслужване на клиенти и др.
От друга страна обаче, в края на отчетния период организацията-жертва трябва да плати пари за техническото „обслужване” на случилото се: за сървърите, за свръх-трафика. Второто е паралелен удар, „скрита” щета от атаката.
Удряй там, където най-много боли
Налице е ясна тенденция DDoS атаките да се насочват към такава част от ИТ средата на дадена организация, където причиняват най-много вреди, посочи Лиор Хаймовиц, ръководител на екипа по системен инженеринг в Radware. Той споделя, че ако допреди година DDoS нападенията са били прицелени главно към ниво 3/4 от ИТ инфраструктурата на всяка организация-мишена, то сега нападенията са насочени главно към ниво 7 (Layer 7), тоест приложния слой от инфраструктурата.
В съвременния силно дигитализиран начин на живот нефункционирането на приложенията коства много: който има „паднала” система, на практика трябва да се примири, че всичко спира да работи в организацията.
Предизвикателство е нарастването на сложността на DDoS. Всяка атака имитира множество кликвания в даден сайт, сякаш има много заявки от много места. Това задръства уебсайта, но блокирането чрез наличните технологии е трудно, защото съвременните DDoS механизми позволяват използване на множество източници с различни IP адреси. Задръстващият трафик изглежда съвсем „легитимен”, нормален.
Генеративни инструменти
Както може да се очаква, атакуващите използват активно генеративни инструменти на т.нар. изкуствен интелект: GPT системи, големи езикови модели и др. Нападателите са, в общия случай, млади, иновативно мислещи, обичайно са и добре финансирани, следователно могат да си позволят всички средства. Разчитат на генеративни инструменти най-вече за писането на кода, с който автоматизират и разгръщат в мащаб нападението си. Това им позволява да изпълняват пъклените си планове светкавично.
Ако случайно генерираният от AI код не сработи според очакваното, инициаторите могат много бързо да го редактират и пуснат в действие отново. Това прави атаките им много по-ефективни.
Очаквания за защитата
През следващата година защитата от DDoS ще зависи до голяма степен от способността за поведенчески анализ на атаките, смятат специалистите на Radware. Трафикът все повече ще изглежда съвсем легитимен и организациите ще трябва да разпознават съмнителното поведение, за да разграничат реалните заявки от злонамерените. Това е единственият начин да се защитим – да познаваме поведението на легитимните потребители в детайл и да разпознаваме малките нюанси, които са характерни за атаката.
Картината е подобна на група чужденци в зала, където всички говорят на един език, например английски, но всеки има различен акцент; ако в залата влезе някой, който е с различен акцент, ние трябва да го разпознаем, обясни Халперин.
Също така можем да очакваме атакуващите да се хвалят с подвига си. Водени от непаричните си мотиви, те искат да се знае за тяхното дело. Затова публикуват „новини” из социалните мрежи. Най-често се представят за случайни хора, които са „забелязали”, че дадена услуга на дадена организация е „паднала”. Склонни са дори да повтарят хвалбата си през час-два, изтъквайки, че дадената платформа „все още не работи”.
DDoS атаките няма да умрат, макар някога да се надявахме, че ще залязат, призна Халперин. До неотдавна такива атаки се случваха по 2-3 пъти в годината за дадено предприятие. А сега се реализират често, през ден, а може би дори всеки ден. Това се дължи на генеративните инструменти, които автоматизират работата на атакуващите.