19, март 2018  —  Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представляет основные тренды 2017 года в области интернет-безопасности в России и в мире.

Отчет за 2017 год описывает главные тенденции и проблемы в области доступности и безопасности веб-ресурсов, связанные с угрозами DDoS-атак и взломов. Отчёт подготовлен специалистами Qrator Labs при информационной поддержке компании Валарм на основе мониторинга ситуации в отрасли, а также на базе статистики, собранной по клиентам компаний в 2017 году.

В 2017 году компании Qrator Labs и Валарм отметили растущую диверсификацию угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации.

Если 2016 год можно было назвать годом ботнетов и терабитных атак, то 2017 год стал годом сетей и маршрутизации. Такие инциденты, как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и “Ростелекомом” в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческим фактором, основанные на недостаточной автоматизации процессов.

ИНТЕРНЕТ ВЕЩЕЙ

« Основное различие между 2016 и 2017 годом заключается в том, что злоумышленники переключили собственное внимание со взлома отдельных устройств на атаки на облака и IoT платформы. Интернет вещей предоставляет злоумышленникам доступ к тысячам полностью работоспособных устройств одновременно, часто подобные проникновения остаются незамеченными. Экономическая эффективность — причина, по которой мы ожидаем увеличения частоты подобных атак на целые облака и платформы в 2018 году », — комментирует генеральный директор и основатель Qrator Labs Александр Лямин.

Многие IoT устройства все еще взламываются с использованием тривиальных способов, таких как уязвимости в веб-интерфейсе. Почти все такие уязвимости критичны, но у производителя крайне ограниченные возможности по быстрому созданию патча и доставке его в виде обновления.

Взломы IoT устройств участились с тех пор, как инструментарий Mirai стал базовым фреймворком для создания ботнета в 2017 году. Однако стали известны и более ранние инкарнации ботнет-фреймворков, откуда Mirai черпал « вдохновение » для собственного кода, например Hajime.

Глядя на BlueBorne , можно с легкостью предсказать появление куда больших по количеству и масштабу задействованных устройств и, конечно, гораздо более опасных ботнетов с точ ки зрения возможностей. Qrator Labs ожидает активное появление еще более крупных ботнетов, чем Mirai, способных к flood-атакам даже без использования amplification-протоколов.

« По нашим наблюдениям, ботнеты растут в размерах — недалека точка, в которой вредоносное ПО нового поколения наберет достаточный масштаб для атак на крупные соединенные куски интернета и отдельных сетей крупных провайдеров », — отмечает Александр Лямин.

Инфраструктурное наследие

В 2017 году инциденты маршрутизации стали такими же печально известными, как и ботнеты в 2016 г. Успешная DDoS-атака всегда могла сделать один, отдельно взятый ресурс или приложение недоступными.

В случае популярных социальных сетей или библиотек, которые разработчики используют для создания и поддержки нормальной работы интернет-сервисов, атака может угрожать целым экосистемам, использующим взаимосвязанные части инфраструктуры (включая хостинг и общего интернет-провайдера). Инциденты маршрутизации могут быть не менее масштабными и опасными, чем атаки рекордного ботнета, оставляя без доступа к популярным ресурсам почти целую страну. Это делает невозможной электронную коммуникацию в том виде, в каком мы ее знаем и которую считаем саму собой разумеющейся.

В случае протокола BGP (Border Gateway Protocol) необходимо быть предельно осторожными, так как потенциальный урон может быть колоссален. Поскольку BGP управляет передачей всего трафика от одной AS (автономной системы) к другой, мы говорим не только об увеличенных задержках в доступе к ресурсам для пользователей, но, что более важно, о появлении вероятности MiTM-атаки на шифрованный трафик. Подобные инциденты могут затронуть миллионы пользователей в разных странах.

Уязвимости и интранет

2017 стал настоящим годом взломов. От эпидемий шифровальщиков до открытий архивов Vault7 и Shadow Brokers, в дополнение к заметным утечкам вследствие человеческих ошибок, где Uber и Equifax представляют собой два наиболее громких примера. Все уязвимо. Так что разговор стоит вести не о том, “что наиболее уязвимо”, но “где уязвимость может быть найдена раньше”.

2017 год продемонстрировал, насколько разнообразные виды оборудования могут быть уязвимы к различным типам кибератак. В будущем мы увидим еще больше инцидентов, связанных с устаревшим программным и аппаратным обеспечением.

Атаки с использованием смартфонов могут производиться как на основе заражения вредоносными приложениями, даже в случае их установки из официальных магазинов, так и с помощью подобных BlueBorne уязвимостей. Браузерные расширения и плагины, сетевые устройства (которые уже достаточно пострадали в течение последних трех лет), любое оборудование на стыках провайдеров — все может быть протестировано на устойчивость к атакам снова и снова и, вероятно, в конечном счете, не устоит.

Криптомания

Новый и большой рынок ICO стал настоящим откровением для хакеров в 2017 году. Тенденция нападения в наиболее стрессовый для организации момент (сбор средств, рекламные кампании) сохраняется, и с растущим количеством криптовалютных проектов атаки на взлом комбинируются с DDoS. Если рынок эмитирования криптовалютных токенов продолжит свой рост — данная тенденция лишь усилится.

ICO представляют особый интерес для всех рыночных сторон. Из-за криптовалют и ICO на наших глазах выросла новая индустрия взломов. В этом рынке уже задействованы огромные объемы средств, а техническая сторона реализации многих проектов откровенно слабая. Они постоянно взламываются.

Майнинг-пулы атакуются в последние секунды подписи каждого блока с целью получения вознаграждения за подпись блока конкурирующим пулом. Облачные криптовалютные кошельки постоянно под атакой — в течение 2017 года происходили крупные взломы таких сервисов с потерей всех криптовалют их создателями.

Предсказания на 2018

Когда мы делали прогноз на 2017 год около года назад, то предполагали, что индустрия будет поддерживать набранный импульс, особенно в отношении DDoS-атак. В прошлом году интернет взорвался другими вещами: блокчейном, криптошифровальщиками, утечками и т.д.

Громкие инциденты воспринимаются как угроза, заслуживающая внимания. Утечка данных Uber, Equifax, эпидемии WannaCry и NotPetya — все это произошло в 2017 году и привлекло внимание к самой концепции информационной безопасности.

Процессы информационной безопасности плохо совместимы с существующими тенденциями гибкости, непрерывности и ориентации на микросервисы.
Безопасность по-прежнему воспринимается, как работа периферийных устройств и сервисов, а не отношение к разработке продукта.

Развиваются системы защиты — в настоящее время безопасность основана на воспринимаемых угрозах, а потому существуют межсетевые экраны, защита от DDoS, системы предотвращения утечки данных (DLP). Одновременно с этим развивается и угроза. Рынок уязвимостей нулевого дня умирает, потому что осталось мало исследователей, брокеров и компаний, готовых платить за подобные «продукты». Серые хакеры работают на программы bug bounty (охота на баги/уязвимости), а исследователи — напрямую с компаниями. Атаки на взлом все еще часто сочетаются с DDoS-атаками, так как именно в этом случае легче получить то, что хотел, когда жертва вернется в сознание, а все оборудование заработает.
Это же касается и уязвимостей нулевого дня — одна может и не нанести вреда, но комбинация двух или четырех, скорее всего, будет способна это сделать. Если злоумышленники имеют хоть какое-то представление о внутренних процессах внутри целей, они найдут подходящую комбинацию инструментов, которые окажутся наиболее эффективными.

Относительно новая, но уже стойкая тенденция — это использование искусственного интеллекта (ИИ). Однако, в некоторых случаях за использованием модного термина скрывается неспособность базовых продуктов выполнять основные задачи. ИИ-методики могут помочь в решении многих задач, как, например, обнаружение аномалий, что реализовано в Wallarm, или помощь в автоматизации. В любом случае пока ИИ не может принимать решения. DLP, где в основе лежит некоторый искусственный интеллект, просто не работает. В SOC (security operations center — центр управлению безопасностью) ИИ еще может быть применим, но только после хорошей подготовки и под наблюдением. Намного эффективнее ИИ работает уже сегодня в области атак и их автоматизации, что легко может стать проблемой.

Все вышеперечисленное является ответом на увеличивающуюся технологическую сложность. Сегодня растущему бизнесу сложно быть одновременно рациональным и экономным. Поэтому так важна автоматизация — лучше часто выполнять задачу в отлаженном автоматическом режиме, чем вручную углубляться в настройку элементов управления дорогого оборудования либо сложного ПО.

Эпилог

Наиболее заметным фактом в области доступности ресурсов являются даже не сами атаки, а тот прогресс, который сделали все поставщики решений безопасности в процессе обучения, коммуникации и сотрудничества, а не только конкуренции, с целью нахождения ответов на наиболее серьезные вопросы современности, как, например, противодействие ботнетам. Когда появляются подобные масштабные угрозы, ставящие под вопрос существование уже не отдельных веб-сервисов, но всей индустрии как таковой, происходит объединение компаний сразу на нескольких уровнях: формальном, неформальном, B2G и B2C. Уже наблюдались успехи, связанные с такой кооперацией, по противодействию крупным ботнетам в 2017 году среди крупнейших компаний, работающих в области информационной безопасности.