Зафиксирована самая длительная хакерская DDoS-атака на российского производителя беспилотников в I квартале 2024 г., она длилась почти сутки. Самыми атакуемыми секторами за отчетный период стали ИТ-компании в России и телеком, почти 40% от всех инцидентов. Эксперты отмечают, что растет не только частота и продолжительность атак, но и уровень подготовки тех, кто их организует. Это говорит о растущей необходимости усиления мер безопасности и бдительности.
DDoS-атаки ресурсов в России
...Так в марте хакеры пытались вывести из строя в течение 21 часа веб-сайт компании-производителя беспилотных летательных аппаратов (БПЛА), сообщили в МТС изданию Forbes, не конкретизируя производителя. Всего было отражено 6,2 тыс. атак на ресурсы заказчиков.
Раскрытые данные указывают на то, что самая сильная атака достигла 207 ГБ/с, что вдвое превосходит интенсивность предыдущего наиболее мощного инцидента, зарегистрированного в декабре 2023 г. По данным Forbes, в первом квартале 2024 г., ИТ-компании и телекоммуникационные компании стали основной целью для атак, составив 39,5% всех зафиксированных кибератак. Государственный сектор занял второе место с 29,9%, промышленные предприятия - 9,3%, в то время как финансовые организации стали жертвами атак редко, всего в 1,7% случаев... В последнее время наблюдается увеличение длительности, интенсивности и технической компетентности DDoS-атак, что делает их все более сложными для предотвращения и противодействия. Хакеры ставят более точные и стратегические цели, например, атакуя роутеры для полного отключения интернет-доступа и максимального воздействия на ресурсы в целом.
Как уже сообщали на СNews, в первом квартале 2024 г., эксперты зафиксировали более 2,5 тыс. DDoS-атак на сферу энергетики. Это в три раза превышает показатель предыдущего квартала и почти в 10 раз – показатель аналогичного периода за 2023 г. Такой рост связан в том числе с увеличением бюджетов на атаки и арендой мощностей дата-центров для усиления DDoS-атак. Данные предоставлены на основе анализа атак, отраженных сервисом Anti-DDoS одной из платформ с января по март 2024 г. В выборку на апрель 2024 г. попало 470 организаций из различных отраслей.
Работа DDoS
Веб-сайт может быть способен обрабатывать определенное количество запросов в минуту. Если это число превышено, то производительность сайта снижается, или он может стать полностью недоступным. Такая перегрузка может быть вызвана DDoS-атакой или даже законным использованием, например, сайт электронной коммерции перегружен в «черную пятницу» или платформа для продажи билетов не работает, когда открываются продажи на популярное мероприятие.
DDoS-атаки способны перегрузить ИТ-сервис на разных уровнях. Например, веб-приложение может иметь максимальное количество запросов, которое оно может обработать. Кроме того, сервер, на котором оно работает, может иметь ограничение на количество одновременных соединений, которые он может обслуживать. Корпоративная сеть, скорее всего, имеет ограничения по пропускной способности, которые могут быть превышены злоумышленником.
В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (определение маршрута и логическая адресация, атаки с отражением UDP-пакетов), транспортном уровне (связь между конечными пунктами и надежность, SYN-флуд), уровне представления (представление и шифрование данных, SSL-нарушение) и уровне приложений (сетевой процесс в адрес приложения, флуд DNS-запросов или же HTTP-флуд).
Защита от DDoS-атак
Лучший способ борьбы с угрозой DDoS - это глубокая защита. Сочетание локальных и облачных решений по снижению уровня DDoS позволит организации выявлять и блокировать широкий спектр DDoS-атак, включая объемные, прикладные, отражательные и ресурсозатратные атаки.
Быстрое обнаружение и реагирование также важны для снижения воздействия DDoS-атак. Проактивное обнаружение и предотвращение DDoS в сочетании с командой реагирования на инциденты, способной развернуть дополнительные ресурсы по мере необходимости, может свести к минимуму перебои в работе и затраты на DDoS-атаки.
Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.
Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак ИБ-специалисты внутри компании должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д.
Для того чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов из компаний, которые специализируются на информационной безопасности (ИБ), для изучения характеристик трафика и создания индивидуальной защиты компании.
По материалам Cnews
