Qrator Labs и Wallarm подготовили отчет о состоянии ИБ в 2016 году

В прошлом году значительно возросла мощность атак и их сложность. Ранее даже мощные атаки в 100—300 Гбит/с не вызывали особой «головной боли». Сложные типы атак на протоколы прикладного уровня случались редко. В 2016 же году мир впервые увидел атаки в 1 Тбит/с, и атаки на уровень L7 стали куда более распространёнными.

В результате, мы стали свидетелями беспрецедентных изменений ситуации с безопасностью Сети в целом.

Хорошая иллюстрация этому - возникшая осенью 2016 года угроза Mirai, ботнета небывалой мощности, который был построен на устройствах Интернета вещей — от домашних маршрутизаторов и IP-камер до смешной «экзотики» уровня чайников с Wi-Fi. Опасность Mirai оказалась вполне реальной: на блог исследователя Брайна Кребса пришли вполне осязаемые 620 Гбит/с volumetric-атаки, а французский хостер OVH выдержал 990 Гбит/с.

Для увеличения мощности атак злоумышленники амплифицируют атаки. Атакующий увеличивает объём отсылаемого «мусорного» трафика путём эксплуатации уязвимостей в сторонних сервисах, а также маскирует адреса реального ботнета. Типичный пример атаки с амплификацией — это трафик DNS-ответов на IP-адрес жертвы.

Еще один вектор, который может использоваться для атак — Wordpress, повсеместный и функциональный движок для блогов. Среди прочих функций в этой CMS есть функция Pingback, с помощью которой автономные блоги обмениваются информацией о комментариях и упоминаниях. Уязвимость в Pingback позволяет специальным XML-запросом заставить уязвимый сервер запросить любую веб-страницу из Интернета. Полученный злонамеренный трафик называют Wordpress Pingback DDoS.

В текущем году ожидается более быстрое обнаружение уязвимостей у предприятий. По статистике, полученной компанией Wallarm с развёрнутых компанией honeypot'ов, в 2016 году между публичным эксплойтом и его массовой эксплуатацией проходит в среднем 3 часа. В 2013 году этот срок составлял неделю. Злоумышленники становятся всё более подготовленными и профессиональными. Ускорение продолжится, мы ожидаем сокращения этого временного промежутка до 2 часов в ближайшем будущем. И снова лишь проактивный мониторинг способен предотвратить эту угрозу и застраховать от чудовищных последствий.

Взлом и сетевое сканирование уже достигли небывалого масштаба. Всё больше злоумышленников в этом году обзаведётся предварительно отсканированными диапазонами IP-адресов, сегментированных по используемым технологиям и продуктам — к примеру, «все серверы Wordpress». Увеличится число атак на новые технологические стеки: микроконтейнеры, приватные и публичные облака (AWS, Azure, OpenStack).

В следующие один или два года мы ожидаем увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы. Последние несколько лет битвы меча и щита привели к более продвинутым методам нейтрализации. Но отрасль часто забывала о legacy, и технический долг довёл атаки до небывалой простоты. Начиная с этого момента, выстоять против рекордных нападений смогут лишь построенные со знанием дела гео-распределённые облачные системы.