Qrator Labs и Wallarm проанализировали рынок киберугроз в Рунете

Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и Wallarm, разработчик решений для защиты веб-приложений от хакерских атак, представили результаты исследования кибер-угроз по итогам 2014 года. В среднем количество наблюдаемых инцидентов, связанных с DDoS-атаками, за последние 5 лет растет ежегодно на 25%. В 2015 году число атак увеличится как минимум на 20%.

DDoS-атаки

• Число DDoS-атак

В 2014 году компания Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 519 DDoS-атак. Максимальное число атак в день, приходившихся на клиентов компании, сократилось со 151 до 131. Среднее количество DDoS-атак в день увеличилось — c 18 до 28.  

• Скорость DDoS-атак

В 2014 году наблюдался феноменальный рост числа атак повышенной сложности – со скоростью более 100 Гбит/сек. Такие нападения в первую очередь наносят финансовый и репутационный ущерб операторам связи. По этой причине телекоммуникационные компании с ними стали активно бороться, в 2015 году высокоскоростные атаки (более 100 Гбит/сек) пойдут на спад – пик был пройден в 2014 году.

• Атаки на входящий канал

С начала 2014 года наметился тренд к «укрупнению» атак на входящий канал провайдера с целью забить его «паразитным» трафиком. Их стало меньше, но существенно выросли скорости, что представляет серьезную проблему для небольших операторов связи и хостинг-компаний. Так, доля атак со скоростью более 1 Гбит/с возросла с 2,58% в 2013 году до 5,47% в 2014 году. В 2014 году практически с «нулевой» отметки значительно выросли доли атак со скоростью более 10 Гбит/с (с 0,7% до 2,72%), то есть, они наблюдались примерно каждый рабочий день.  Число атак более 100 Гбит/с выросло в 11 раз (с 0,1% до 1,32%).  

• Атаки на сервера и операционные системы

Атаки с помощью ботнетов на сервера и операционные системы с целью исчерпания ресурсов сервера остаются по-прежнему наиболее популярными среди злоумышленников. Максимальный размер ботнета, задействованного в одной атаке в 2014 году, вырос с 281 060 до 420 489 машин (+50%). При этом размер среднего ботнета увеличился незначительно — с 1 540 до 1962 зараженных машин (+27,5%). В 2015 году можно ожидать их дальнейшего роста.

• Метод Amplification

Наметился общий тренд по снижению атак класса DNS/NTP Amplification, на которые ранее приходилось более половины всех инцидентов, но злоумышленники более активно начинают нападать на сетевую инфраструктуру операторов.

«К сожалению, вечная война щита и меча не закончится, даже если атаки по методу Amplification удастся свести на нет. В прошлом году мы наблюдали случаи нападения непосредственно на сетевую инфраструктуру операторов, к которым они оказались не готовы. Есть гипотеза, что злоумышленники взяли под контроль большое количество чужого мощного сетевого оборудования -- несколько сотен тысяч подключенных к интернету маршрутизаторов и коммутаторов по всему миру, чьи владельцы не поменяли пароль с заводского, установленного по умолчанию. Теперь эти ресурсы без ведома их хозяев используются для масштабных нападений такого рода», — рассказывает Александр Лямин, руководитель Qrator Labs.

Безопасность сайтов

Динамика атак на веб-сайты

Общее количество атак, которые были зарегистрированы на компании — клиенты Wallarm в 2014 году, превышает 750 000.

Наибольшее количество (35% от общего числа) приходится на атаки, целью которых являются базы данных (так называемые SQL- и NoSQL-инъекции). Атаки на клиентов (пользователей веб-сайтов) представлены в основном межсайтовым выполнением сценариев (так называемые XSS — Cross Site Scripting), число таких атак составляет 28%. На третьем месте находятся различные векторы атаки с возможностью удаленного исполнения кода на сервере (около 18,6%).

Общее число атак растет, что может быть связано с геополитической ситуацией и с кризисными явлениями в экономике, как это было в 2008–2009 годах.

Зоны риска по отраслям

Любой веб-сайт потенциально подвержен атаке, даже если на первый взгляд кажется, что он не представляет интереса для злоумышленников. Целью зачастую являются вычислительные ресурсы, т. е. взломанные серверы, которые можно использовать для анонимного доступа, DDoS-атак или, что стало популярным, майнинга биткоинов. При этом Wallarm наблюдает большое количество ботов, которые автоматизировано перебирают все сайты в поисках легкой добычи — ресурсы, использующие устаревшие и уязвимые движки (CMS, форумы, блоги и т. д.). 

Если платежные системы и банки, интернет-ритейлеры и СМИ всегда были целью атак, то сейчас заметно увеличилась активность злоумышленников в секторах, где к информационной безопасности раньше не было повышенного внимания, – например, в игровой индустрии и рекламных сетях.

Причины взлома

Главной причиной взлома веб-приложений являются критические уязвимости, т. е. ошибки, допущенные при разработке и администрировании ресурса. Однако есть ряд глупых причин, почему сайты становятся легкой наживой для хакеров. Среди них: слабая парольная политика или пароли по умолчанию, использование устаревшего ПО, заражение ПК сотрудников компании (как правило, посредством фишинга), а также данные, которые по ошибке оказываются в публичном доступе (на сервисах вроде Pastebin или GitHub).

Прогнозы

«В 2015 году мы непременно увидим увеличение количества атак на ресурсы, использующие облачную инфраструктуру (в том числе Amazon Web Services), взлом и заражение устройств Internet of Things, появление новых уязвимостей SSL, а также атаки на базы данных NoSQL», — делает прогнозы Иван Новиков, генеральный директор Wallarm