Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
Skip navigation

Akamai: DDoS атаките намаляват, но това не намалява риска

30% годишен спад на DDoS атаките през първото тримесечие на 2017 и 17% по-малко атаки спрямо последното тримесечие на 2016. 89% намаление на атаките с големина над 100 Gbps - 2 през първото тримесечие на тази година срещу 19 мащабни атаки година по-рано, докато броят на нападенията на 100 Gbps е 12. Това са част от данните на Akamai в най-новия доклад на компанията за сигурността в интернет.
150 прочитания, 0

Смесване на лични и корпоративни профили

Корпоративната и „домашната“, потребителска употреба на информация вече са доста размити. Докато сте на работа в офиса, използвате корпоративен софтуер, а след това, когато се приберете у дома си, си служите със съвсем друг софтуер на домашния си компютър. Или поне така бе доскоро. Днес имате корпоративно име и парола и лично име и парола към един и същ доставчик на SaaS услуги, ползвайки едни и същи приложения и на своя телефон (като Gmail, Dropbox, LastPass и др.). Освен ако не работите в изключително сегментирана среда, се очаква, че ще използвате приложения и за двете цели, но едва ли всеки път се съобразявате към коя мрежа сте свързани в момента.

Някои организации вече са прегърнали масовата употреба в офиса на лични устройства, а други все още не са се „примирили“ с тенденцията BYOD. Става все по-трудно обаче да се запази политика, неприемаща BYOD, тъй като и крайните точки (таблети, смартфони), и ресурсите, които използват, са извън корпоративния периметър. Неуправляемите лични устройства разширяват спектъра от рискове, които варират от непоправени уязвимости до изисквания за електронно откриване, включващо търсене на телефоните на служителите. И това става, без да се се взема предвид нахлуването на носимата електроника и на другите IoT „неща“.

- Парола за политиките. Доскоро трябваше да помним десетина имена и пароли. Но днес типичният онлайн потребител вече ползва буквално стотици пароли за онлайн акаунти, някои от които се управляват от специални програми. Под натиска на увеличаващите се кражби на онлайн акаунти и заради регулаторните изисквания за съвместимост собственикът на всяка система днес иска все по-дълги, сложни и уникални пароли. Но дните на правилата за тези пароли като „малки и главни букви, една цифра, един специален символ, два емотикона“ са към края си, тъй като потребителите отказват да се съобразяват с абсурдността им. Накрая ще се наложат устойчиви и лесно използваеми мениджъри на пароли, които ще бъдат вградени в интерфейса на приложенията и ще защитават всеки ден хората от напастта на усложняващите се пароли.

Взаимодействието с интернет еволюира до използването му по всяко време, на всяко място, през кое да е устройство и софтуер и за всякакви цели. Това означава, че предприятията трябва да адресират проблемите със сигурността така, че да не разчитат само на традиционните граници (нашата мрежа, нашият софтуер, нашият хардуер). И те трябва да успеят да разграничат корпоративните данни от личните, които са създадени по същото време, на същото място и с помощта на същите приложения, съхранявани са в същите формати на един и същ хардуер или облачна услуга.

Потребителите очакват същото изживяване, без да се налага да жертват функционалност всеки път, когато превключат между корпоративен и личен контекст. Самоличността е новата защитна граница заедно с контекста. Когато се логвате в Gmail с личното си име и парола, вие носите отговорност за защитните изисквания, които сте настроили за достъп до вашите данни. Когато използвате корпоративното си име и парола за логване, вашият работодател трябва да определи какво се изисква за достъп до бизнес данните, например комбинация от име, парола, други автентифициращи фактори и управляващо устройство. Това е същата услуга, същият софтуер, същата личност, но различни участници на базата на собствеността върху данните.

Адаптирайки се към тази нова граница, Google създаде работна рамка за своя вътрешна употреба, наречена BeyondCorp. Независимо дали го наричат „нулево доверие“ или „без периметър“, много организации търсят как да адаптират тази рамка за свои нужди. Важното е, че сигурността не трябва да разчита само на традиционния периметър, а да се адаптира към нуждите и на потребителя, и на предприятието.

Тенденции при DDoS

Средният размер на DDoS атаките спада леко в началото на 2017 г. В началото на 2015 г. средната DDoS атака е била 4 Gbps. Две години по-късно, в началото на 2017 г., средният размер на атаката бе около 500 Mbps. Това не означава, че няма огромни по мащаб атаки, мегаатаки с над 100 Gbps се засичат всяко тримесечие, но половината от всички атаки са с размер между 250 Mbps и 1,25 Gbps.

Но дори тези по-малки атаки могат да „ударят“ лошо неподготвените организации, предупреждават от Akamai. Атаките към уеб приложения са се пренасочили към САЩ както като източник, така и като мишена. Този тип атаки са важни не само заради размера им, но защото те атакуват базовата структура на сайтовете, било то чрез ограничаване на ресурсите им или чрез изтегляне на информация от базата данни, подхранваща сайтовете.

Въздействието на IoT устройствата и на дузината атаки от бот мрежите Mirai от септември 2016 г. досега оказа сериозен практически ефект върху нуждите от ИТ защита на организациите.

Мегаатаките са извънредно събитие, което представлява максимумът, срещу който предприятията трябва да бъдат подготвени да се защитават. Огромният брой по-малки атаки обаче означава, че тези мегаатаки имат малко влияние върху тенденциите, и средният размер на атаката е по-добър показател за това, с което една организация най-вероятно ще се сблъска.

По-голямата част от атаките са все още малки в сравнение с най-големите нападения с Mirai, но не се налага да са по-големи, за да са ефективни. Като имаме предвид, че много фирми наемат интернет линии от 1 до 10 Gbps, всяка атака, надвишаваща 10 Gbps, може да бъде „достатъчно голяма“ и повече от способна да прехвърли в офлайн режим операциите на средния незащитен бизнес. Същевременно ефектите на Интернет на нещата не трябва да бъдат подценявани и IoT екосистемата привлича все по-широка аудитория.

Неотдавнашен пример е злонамереният софтуер, който компрометира тостери (!) с възможност за достъп до интернет, които, вместо да пекат филии, бяха накарани да ровят за биткойни. Друга тенденция е бот мрежата BrickerBot, която атакува системите, „изложени на показ“ директно в интернет заради пароли по подразбиране за протокола Telnet, очевидно в опит да се предотврати използването им от бот мрежата Mirai. Ако тази бот мрежа не успее да прекъсне връзката на мишената с интернет, тя поврежда конфигурацията, като окончателно блокира устройствата. Нито един от тези примери не е сериозна заплаха, но те показват значително нарастване на вниманието както на хакерите, така и на общността на специалистите по сигурността.

Арестите като дразнител и ограничител

Има един фактор, който се отразява на днешния „пейзаж“ на DDoS атаките – действията на правоохранителните органи.

Ранните атаки на бот мрежите Mirai, изглежда са, били предизвикани от обявения арест на двама тийнейджъри в Израел, които са отговорни за ботнета vDos - DDoS инструмент под наем, който е добавил в сметките им стотици хиляди долари. Съвсем наскоро Европол координира ареста на 34 души в 13 държави като част от операция Tarpit. Подобни операции са насочени към най-големите хакерски услуги, отговорни за DDoS атаки към банки, геймърски компании и онлайн търговци. Това може да има значителен ефект за намаляване на броя на атаките срещу тези организации, добавят от Akamai.

В перспектива

Броят на DDoS атаките е спаднал през последната година, показват данните на Akamai, но дали и рисковете намаляват? Отговорът очевидно е не. Рисковете в интернет като цяло и насочените спрямо бизнеса атаки са нараснали. Като се вземат предвид и увеличаващите се способности на нападатели от висок клас, щетите от устойчива DDoS атака също нарастват ежедневно. Все по-често са засегнати не само компаниите, директни мишени на мащабна DDoS атака, а и техни партньори, сътрудници, а и организации, които нямат нищо общо с тях.

Размерът на големите DDoS атаки скочи през 2016 г. Преди това най-големите подобни атаки бяха с интензитет 100 Gbps, нараствайки до 300 Gbps през първата половина на 2016 г., а през третото тримесечие достигнаха до 500 - 600 Gbps, основно „благодарение“ на Mirai. Освен атаките, засечени от Akamai, други организации отчетоха и DDoS нападения с над 1 Tbps.

Атаките с такъв размер лесно претоварват мрежите на техните мишени. Освен това те създават проблем за мрежи нагоре по веригата, които може да не са в състояние да се справят с трафика, което води до претоварване на множество организации. Това е като претъпкан вход за концерт. Нормалното натоварване може да причини главоболия, но най-голямата аудитория не само препълва мястото на концерта, но и „прелива“ към пътищата и магистралите около района, засягащи бизнеса и домакинствата на километър наоколо. Вместо големите магистрали се претоварват и локалните мрежи и междинните интерконект връзки на доставчици са претоварени, те не могат да пренасят мрежовия трафик към организации, които и без това са недоволни, че са в същия регион като мишената.

Въпреки цялостното намаление на обемистите DDoS атаки Akamai отчита значително показване на трафика в т.нар. атаки в сянка (reflection attacks). Възползвайки се от естеството на DNS, NTP и другите протоколи, нападателите правят на пръв поглед легитимни заявки към сървъри, което ги кара да изпращат трафик към истинската мишена на нападателя. Атаките в сянка са много по-трудни за проследяване от бот мрежите, които ги предизвикват.

Като цяло DDoS атаките ще растат както по честота, така и по размер. Akamai смята, че най-често ще се сблъскваме с малки по мащаб атаки, но големите със сигурност ще продължат да растат.

И накрая, трябва да се знае, че DDoS и другите заплахи от Интернет на нещата са само един от аспектите на заплахите към сигурността. Все по-опасни стават атаките през приложните програмни интерфейси (API) на уеб сървърите. Организациите следят логовете за влизане в техните сайтовете, но дали наблюдават трафика за техните API? Приложните програмни интерфейси между уеб сайтове и фирми могат да бъдат по-голяма мишена, отколкото повечето хора осъзнават.

(28.06.2017)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Akamai: DDoS атаките намаляват, но това не намалява риска"



    

© Ай Си Ти Медиа ЕООД 1997 - 2017 съгласно общи условия за ползване