Лучше учиться на чужом опыте

Тренды в сфере сетевой безопасности в 2019 году от Qrator Labs

14.02.2020
13:30

По оценкам специалистов Qrator Labs общее количество DDoS-атак за 2019 год выросло примерно в 1,5 раза. Такое увеличение числа инцидентов было достигнуто за счет роста атак на отдельные индустрии: банки, платежные системы, криптобиржи, онлайн-ритейл, сайты знакомств.

По мнению Артема Гавриченкова, технического директора Qrator Labs, крупный бизнес может выдержать атаки злоумышленников, а для среднего бизнеса это большая проблема: у небольших компаний часто нет свободных финансовых ресурсов для использования внешних решений по защите на постоянной основе, поэтому они чаще других становятся жертвами DDoS-атак.

Новые векторы атак

В течение 2019 года были выявлены новые амплификаторы (PCAP), а также на практике был зафиксирован уже давно известный вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд).

Техника атаки типа Amplification (“усиление”) заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP.

Одна из первых громких атак с использованием техники SYN-ACK амплификации была организована на международную хостинговую платформу Servers.com. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой “мусорным” трафиком составил 11,5 часов.

Наиболее часто использовавшийся в прошлом метод реакции в виде сброса всего UDP-трафика, виртуально нейтрализующего большую долю атак с использованием амплификации, совсем не помогает нейтрализовать вектор SYN-ACK. Меньшие интернет-компании испытывают огромные трудности при нейтрализации подобных угроз, так как она требует задействования более комплексных мер по борьбе с DDoS-атаками.
 
BGP-оптимизаторы

В 2019 году был выявлен новый класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи. Так, в январе 2020 года на одну из точек обмена трафиком в Санкт-Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой Народной Республики, который занимался оптимизацией трафика. Подобные инциденты опасны не только возникновением ошибок в сети, но злонамеренным перехватом трафика (атаки Man-in-the-middle). В последнее время из-за закупки BGP-оптимизаторов такие ситуации происходят регулярно и может дать очень неприятный кумулятивный эффект.

  Chrome 

Производители мобильных устройств стараются поддерживать как можно больше версий современных приложений, в 2019 году стало заметно, что многие из них всё же перестают обновляться на старых устройствах. На данный момент существуют целые парки устройств, на которых работают старые версии браузера Chrome, а новые – становятся не доступны.

Эти старые версии браузеров содержат в себе уязвимости, которые могут привести к утечке персональных данных и финансовой информации. С другой стороны, на многих устройствах Chrome продолжает активно обновляться, за счет чего компания Google предположительно проводит A/B тестирование браузера на пользователях.
Google одновременно выпускает две минорные версии браузера Chrome (затрагивающие менее значительные улучшения и доработки) и часть пользовательских устройств обновляет до одной, половину – до другой. Вероятнее всего, это делается для тестирования новой версии протокола QUIC, который уже поддерживается в Google Chrome.

QUIC (Quick UDP Internet Connections) — новый экспериментальный интернет-протокол, разработанный Google для замены старого стека протоколов WWW. Уязвимость QUIC состоит в том, что его непродуманное внедрение в интернет-сервисах может ослабить их защиту от DDoS-атак. Популярные у злоумышленников наборы инструментария для организации DDoS-атак обладают встроенной поддержкой UDP, что может представлять большую угрозу для QUIC, чем для традиционных WWW-протоколов, основанных на TCP.

Для пользователей такая ситуация существенна с той точки зрения, что у двух отдельно взятых людей сайты могут начать открываться немного по-разному. Также это показатель того, как быстро Google (или другие компании, например, Telegram) может развернуть новый протокол, например, для обхода блокировок, на всех устройствах мира.

 В центре атак масс-медиа и порталы госуслуг

Несмотря на то, что по формальным данным Qrator Labs, атаки на сектор СМИ уменьшились на 7,59%, ситуация несколько сложнее. В конце 2019 – начале 2020 года нападения на масс-медиа выросли на порядок, т.к. в последние годы большинство российских СМИ начали использовать бесплатные или недорогие средства защиты от DDoS, в частности, зарубежные. В итоге злоумышленники поняли, что большинство сайтов СМИ можно легко обрушить даже минимальными усилиями, и в последнее время они начали делать это просто ради развлечения.

В большинстве случаев объектом кибератаки в течение года оставались компьютеры, серверы и сетевое оборудование целевых компаний. Наиболее подверженными атакам оказались государственные учреждения и, в частности, порталы государственных и муниципальных услуг.