Компании Qrator Labs и Wallarm опубликовал отчет на основе данных первого полугодия 2014 года по результатам исследования угроз, которым подверглись интернет-ресурсы Рунета. В первой половине 2014 года компания Qrator Labs нейтрализовала 2 715 DDoS-атак. В аналогичном периоде 2013 года эта цифра составила 4 375. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, сократилось со 151 в первом полугодии 2013 до 38 в 2014 году. Также уменьшилось и среднее количество DDoS в день — c 23,9 до 14,8 соответственно.
Кроме того, наметился общий тренд по снижению атак класса DNS/NTP Amplification, которые ранее составляли более половины всех атак. Максимальный размер ботнета, задействованного в атаке, вырос со 136 644 до 420 489 машин.
С начала 2014 года наметился тренд к «укрупнению» атак, то есть их стало меньше, но скорости существенно выросли, что стало представлять серьезную проблему для небольших операторов связи и хостинг-компаний.
Максимальная длительность атаки увеличилась с 21 дня в первой половине 2013 года до 90 дней в 2014, а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,83% до 99,87%.
Выявленные в первой половине 2014 года тенденции продолжат свое развитие во втором полугодии. Так, набравший популярность метод атак класса DNS Amplification был полностью вытеснен его «братом близнецом» NTP Amplification. Разница между ними в том, что в атаку вовлекается в первом случае DNS-сервер, который рассылает «мусорные» запросы. Во втором – сервер синхронизации времени, передает cybersecurity.ru.
«В связи с обострением ситуации на Украине мы наблюдали новую волну атак, причем амплитуда этих атак была настолько широкой, что опасности подвергались не только отдельные web-приложения, но целые дата-центры. Мы видели, что в случае политических предпосылок для проведения атаки, атакующая сторона проводила полный анализ топологии дата-центра и атаковала все подключенные к дата-центру каналы связи от сторонних провайдеров (uplink)», — комментирует Александр Лямин, генеральный директор и основатель Qrator Labs.
Глава Qrator Labs также считает, что будет происходить откат к методам менее профессиональным – атакам с помощью ботнетов. Пример такого рода наблюдался в указанном отчетном периоде. Ботнет из почти пяти миллионов голов была задействована для проведения целого ряда атак на сайты российских СМИ.
Также в связи с тем, что с DNS Amplification и NTP Amplification научились успешно бороться, атаки будут происходить на более глубоких уровнях, которые пока не покрыты экспертизой и для которых не разработаны комплексные подходы к защите. Речь идет об инфраструктурном уровне и стеке сетевых протоколов.
Продукты Wallarm, предотвращающие хакерские атаки, ежедневно обнаруживают в среднем 850 зловредных запросов на одного веб-приложение, которые могут создать угрозу взлома. При этом во втором квартале 2014 года среднее число атак на одного клиента увеличилось в 2.5 раза по сравнению с первым кварталом текущего года. Для одной атаки в среднем используются запросы с двух-трех IP-адресов.
Среди основных причин взлома сайтов по-прежнему остаются: старое ПО и незащищенные тестовые приложения «по соседству», заражение вирусом компьютеров, принадлежащих сотрудникам компаний, попавшие в открытый доступ учетные записи, ошибки администрирования (например, оставленные пароли по умолчанию) и слабая парольная политика.
Взломанные ресурсы активно использовались злоумышленниками для совершения DDoS и других атак, а также заражения пользователей вирусами. В некоторых случаях владельцы ресурса сталкивались с саботажем. Известный финансовый брокер столкнулся с шантажистом, который сначала устроил DDoS-атаку на веб-приложение и позже сумел осуществить его взлом, требуя с владельцев $100 000 в BitCoin’ах за предотвращение атаки. В результате хакерской атаки на сайт «Российской газеты», ее сайт был значительное время недоступен для посещения.
Главным событием в сфере информационной безопасности в первом полугодии текущего года стало, по мнению Ивана Новикова, генерального директора Wallarm, обнаружение уязвимости HeartBleed. Эта уязвимость была найдена в библиотеке OpenSSL, повсеместно используемой для шифрования данных. Она позволяет злоумышленникам получать доступ к любым зашифрованным данным, включая пароли к учетным записям пользователей или, например, номера кредитных карт в открытом виде.
«Во втором полугодии 2014 года мы скорее всего столкнемся с увеличившимся количеством атак на ресурсы, написанные на платформе Ruby On Rails и различных фреймворках Java, в том числе Struts 2», – говорит о прогнозах Иван Новиков.
