Читать новость "Qrator Labs выявил основные тренды сетевой безопасности в 2019 году". Портал ПЛАС

06.02.2020, 13:25

186

Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представляет тренды в сфере сетевой безопасности в 2019 году.

Qrator Labs выявил основные тренды сетевой безопасности в 2019 году — Фото:

Новые векторы атак

Рост рынка IoT означает, что злоумышленники при желании могут эксплуатировать уязвимые устройства, создавая значительную пропускную полосу атаки – как это произошло в середине года, когда протокол WSDD был задействован для нанесения видимого ущерба. Протокол Apple ARMS, который был задействован для получения коэффициента амплификации порядка 35,5, также был виден в атаках на сеть фильтрации Qrator Labs.

В течение 2019 года были выявлены новые амплификаторы (PCAP), а также на практике был зафиксирован уже давно известный вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд).

Техника атаки типа Amplification (“усиление”) заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP.

Атаки, задействующие вектор амплификации SYN-ACK, стали одной из наиболее серьезных сетевых угроз, тогда как до 2019 года оставались лишь теорией. Одна из первых громких атак с использованием техники SYN-ACK амплификации была организована на международную хостинговую платформу Servers.com. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой “мусорным” трафиком составил 11,5 часов.

Довольно интересным является и то, что наиболее часто использовавшийся в прошлом метод реакции в виде сброса всего UDP-трафика, виртуально нейтрализующего большую долю атак с использованием амплификации, совсем не помогает нейтрализовать вектор SYN-ACK. Меньшие интернет-компании испытывают огромные трудности при нейтрализации подобных угроз, так как она требует задействования более комплексных мер по борьбе с DDoS-атаками.

Qrator Labs выявил основные тренды сетевой безопасности в 2019 году - рис.1

BGP-оптимизаторы

В 2019 году был выявлен новый класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи. Многие компании хотят автоматически контролировать поток исходящего трафика, это позволяет им существенно снизить расходы. С этой целью устанавливаются различные устройства, использующие специфичные тактики для работы с протоколом BGP, которые могут работать, только если вокруг них корректно настроены фильтры, предотвращающие утечку маршрутов. К сожалению, существует мало специалистов, умеющих правильно настраивать фильтры, в связи с чем оптимизаторы постоянно «прорываются» и маршруты утекают в неизвестном направлении.

Так, в январе 2020 года на одну из точек обмена трафиком в Санкт-Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой Народной Республики, который занимался оптимизацией трафика. Подобные инциденты опасны не только возникновением ошибок в сети, но злонамеренным перехватом трафика (атаки Man-in-the-middle).

В последнее время из-за закупки BGP-оптимизаторов такие ситуации происходят регулярно. Индустрия квалифицированных сетевых инженеров активно выступает за ограничение использования оптимизаторов, поскольку работать с ними никто не умеет. Однако уже и в России можно наблюдать, как многие компании начинают закупать BGP-оптимизаторы для снижения расходов на трафик, что в свете введения в действие законодательства про точки обмена трафиком и автономные системы может дать очень неприятный кумулятивный эффект.

Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин отмечает: «Сегодня преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них ̶ реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках ̶ в частности, для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример ̶ Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывая контроль над уже взломанными кем-то ресурсами. В настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies».

Тестирования Google

Несмотря на то что производители мобильных устройств стараются поддерживать как можно больше версий современных приложений, в 2019 году стало заметно, что многие из них всё же перестают обновляться на старых устройствах. В большей степени это касается самого популярного браузера в мире – Chrome. На данный момент существуют целые парки устройств, на которых работают старые версии браузера, а новые – становятся не доступны.

Эти старые версии браузеров содержат в себе уязвимости, которые могут привести к утечке персональных данных и финансовой информации.

С другой стороны, на многих устройствах Chrome продолжает активно обновляться, за счет чего компания Google предположительно проводит A/B тестирование браузера на пользователях.

Все привыкли считать, что, когда выходит новая версия браузера, все компьютеры автоматически до нее обновляются. Однако это не совсем так. Google одновременно выпускает две минорные версии браузера Chrome (затрагивающие менее значительные улучшения и доработки) и часть пользовательских устройств обновляет до одной, половину – до другой. Вероятнее всего, это делается для тестирования новой версии протокола QUIC, который уже поддерживается в Google Chrome. QUIC (Quick UDP Internet Connections) — новый экспериментальный интернет-протокол, разработанный Google для замены старого стека протоколов WWW. Уязвимость QUIC состоит в том, что его непродуманное внедрение в интернет-сервисах может ослабить их защиту от DDoS-атак. Популярные у злоумышленников наборы инструментария для организации DDoS-атак обладают встроенной поддержкой UDP, что может представлять большую угрозу для QUIC, чем для традиционных WWW-протоколов, основанных на TCP.

Ситуация с тестированием Chrome показывает, как Google разрабатывает сетевые протоколы нового поколения. Подобным образом выявляется, в какой из версий Chrome лучше отзывчивость, где лучше работают различные сетевые параметры, у кого из пользователей страница открывается быстрее. Для пользователей такая ситуация существенна с той точки зрения, что у двух отдельно взятых людей сайты могут начать открываться немного по-разному. Также это показатель того, как быстро Google (или другие компании, например, Telegram) может развернуть новый протокол, например, для обхода блокировок, на всех устройствах мира.

Наиболее атакуемые индустрии 2019

«По нашим оценкам, общее количество DDoS-атак за 2019 год выросло примерно в 1,5 раза. Такое увеличение числа инцидентов было достигнуто за счет роста атак на отдельные индустрии: банки, платежные системы, криптобиржи, онлайн-ритейл, сайты знакомств, – комментирует Артем Гавриченков, технический директор Qrator Labs. – Можно наблюдать, что в последний год наблюдался передел определенных рынков между отдельными его игроками. И если крупный бизнес может выдержать нападения, то для среднего бизнеса это большая проблема: у небольших компаний часто нет свободных финансовых ресурсов для использования внешних решений по защите на постоянной основе, поэтому они чаще других становятся жертвами DDoS-атак».