К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

DDoSтояние бизнеса: как изменились количество и характер DDoS-атак на компании

Фото Mikhail Fesenko / Unsplash
Фото Mikhail Fesenko / Unsplash
Общее число DDoS-атак во II квартале 2023 года выросло на 40%, а больше всего от них пострадал финансовый сектор, на долю которого пришлась почти половина атак, следует из отчета Qrator Labs. Развитие системы удаленных офисов и, как следствие, расширения каналов связи за счет внедрения дополнительных средств коммуникаций влияет на уязвимость бизнеса перед DDoS-атаками и ведет к росту их интенсивности, при этом злоумышленники стали быстрее переключаться между целями, делают выводы эксперты

Атак в DDoSтатке

Во II квартале 2023 года общее количество DDoS-атак выросло на 40%, при этом больше всего от них пострадал финансовый сектор, на долю которого пришлась почти половина всех атак — 44,34%, следует из отчета Qrator Labs (есть в распоряжении Forbes). Вторую и третью строчки заняли сегменты электронной торговли и онлайн-образования — 13,68% и 11,32% соответственно. «Лето является активным бизнес-сезоном для многих, включая банки, которые начинают активно привлекать вклады и выдавать кредиты на путешествия, строительство и ремонт», — поясняют аналитики.

Forbes.Идеи для бизнеса
Канал о стартапах, новых идеях и малом бизнесе
Подписаться

Количество атак в абсолютных значениях растет, а их продолжительность снижается — то есть атак больше, но они становятся короче, заметили в Qrator Labs. Так, средняя продолжительность уменьшилась на 29,15%, составив 47 минут. Аналогичный показатель в первом квартале составлял более одного часа. «Максимальная продолжительность также снижается — с 42 часов в I квартале до 20,7 часа во II, — обращают внимание эксперты. — В отличие от I квартала, где самая продолжительная атака пришлась на банковский сектор, на этот раз под удар попала индустрия онлайн-игр». По их словам, злоумышленники стали быстрее менять цели: «Если атака не результативна, они сразу переключаются на другие цели, которых у них огромное количество, и не тратят свое время».

По данным компании, значительно растет использование киберпреступниками UDP flood — сетевых атак, использующих бессеансовый режим одного из ключевых протоколов для интернета UDP (User Datagram Protocol): фиксируется почти двукратный рост UDP flood, с 37,44% до 60,1%. Рост показателей UDP flood — это следствие изменения инфраструктуры большинства бизнесов, которое оказывает большое влияние на характер DDoS-атак, указывают аналитики. Так, с момента наступления пандемии в 2020 году многие компании перешли на удаленный формат работы. Он как раз предполагает зачастую переход на UDP, повышающий производительность приложений и обеспечивающий необходимую масштабируемость, особенно когда клиенты используют мобильный интернет или Wi-Fi для выхода в интернет, к тому же это наиболее дешевый и быстрый способ передачи данных. «Развитие системы удаленных офисов и, как следствие, расширение каналов связи за счет внедрения дополнительных средств коммуникаций — таких, как телефония, ВКС и другие, — влечет за собой другой намечающийся тренд, а именно повышение битрейта (или пакетной интенсивности) атак, так как чем шире каналы, тем больше трафика в них можно пустить», — говорится в исследовании.

 

В организации DDoS-атак присутствует фактор сезонности. Из года в год II и III квартал получают больше атак, чем I и IV, что можно объяснить повышенной активностью злоумышленников в весенний период и в сентябре — в начале бизнес-сезона, следует из отчета.

Любопытно географическое распределение источников атак. Так, наибольшее количество заблокированных IP-адресов за отчетный период пришлось на Россию — 8,2 млн. США стали вторым по популярности источником атак с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку «лидеров» Китай с 1,4 млн адресов. Всего по итогам II квартала в «черный список» было внесено почти 19,5 млн IP-адресов, с которых совершались атаки. В топ стран также вошли Франция (830 000), Индия (638 000), Индонезия (573 000), Германия (543 000), Бразилия (524 000) и Великобритания (500 000). «Блокировка по гео IP стала менее эффективной, — рассуждают эксперты Qrator Labs. — Причина — в поведении злоумышленников, которые для обхода блокировки стали использовать локальные источники трафика в странах, где располагаются их жертвы».

 

Разобрать мотив

«Главным драйвером DDoS-атак всегда были прежде всего экономические предпосылки: если сумма затраченных рисков в результате DDoS-атаки ниже, чем выгода от ее проведения, то мы всегда будем сталкиваться с таким явлением, как DDoS», —поясняет Forbes основатель Qrator Labs Александр Лямин. «Единственным исключением с точки зрения мотивов атакующих стал прошлый год: тогда основным драйвером атак был хактивизм, — рассуждает он. — Обычно этот мотив всегда находится где-то на третьих ролях, но в 2022 году он уверенно занимал первое место».

Основная причина, почему новый фон атак настолько высок, заключается, по мнению Лямина, в том, что из-за фрагментации правового поля риски привлечения злоумышленников к ответственности за проведенную атаку при условии ее трансграничности сводятся практически к нулю. «Такая ненаказуемость в сочетании с экономическим плечом атаки делает нападения очень выгодными для злоумышленников, — продолжает Лямин. — Мы со своей стороны прилагаем максимум усилий, чтобы сделать DDoS-атаки экономически нецелесообразными. Нападающая сторона должна потратить столько ресурсов, сколько нужно для условного полета на Луну».

«Лакмусовая бумажка»

По словам руководителя команды web-аналитики Innostage Александра Чернякова, банковская сфера всегда была популярной целью для атак, поэтому их рост — «закономерное явление». Уровень кибербезопасности банков он называет «лакмусовой бумажкой» ИБ страны. «Рост числа атак на образовательные сервисы также ожидаем и логичен. К примеру, в прошлом году сайты многих образовательных учреждений стали крайне популярной мишенью. Тогда из-за действия злоумышленников под угрозой оказалась работа приемной кампании в российские вузы и сузы», — напоминает он.

 

«Если сравнивать с I кварталом, число DDoS-атак на наших заказчиков сократилось, однако оно все равно почти на 20% выше, чем во II квартале прошлого года, — делится наблюдениями директор центра сервисов кибербезопасности МТС Red Андрей Дугин. — По сравнению с I кварталом интенсивность атак действительно снизилась, а продолжительность увеличилась, но незначительно — с четырех до примерно пяти с половиной часов».

Рост количества DDoS-атак в апреле — июне 2023 года подтверждают эксперты StormWall. По их данным, в России он составил 47% по сравнению с аналогичным периодом прошлого года. Впрочем, по поводу продолжительности атак CEO и сооснователь StormWall Рамиль Хантимиров «поспорил бы». «Важно понимать, что считать атакой. Можно считать ею серию киберинцидентов, когда хакеры тестируют различные методы, атакуя один ресурс, а можно считать отдельной атакой каждую попытку обойти защиту, — продолжает он. — Если смотреть в комплексе, то мы видим по своей статистике, что успешные атаки длятся дольше, чем обычно. Если раньше они шли максимум сутки, то сейчас мы наблюдаем атаки, которые продолжаются по двое-трое суток, на компании с неэффективно работающей защитой».

Ведущий инженер CorpSoft24 Михаил Сергеев указывает также на «огромное количество IoT-устройств (подключенные к интернету холодильники, пылесосы, микроволновки, автомобили и т.д.)», которые при «правильном использовании» вполне могут быть использованы для организации различных атак, в том числе по протоколу UDP. «Поэтому мощность атак и количество атакующих устройств будет только расти из года в год», — отмечает Сергеев. По его словам, значительная часть атак идет из-за рубежа, и многие крупные компании и ресурсы — например, Сбербанк, «Госуслуги» и др. — борются с этим очень просто. «Они заблокировали доступ к своим ресурсам из-за рубежа, и зайти на них можно только из России или через VPN с российским IP-адресом. Подобная блокировка делает большинство атак неэффективными, трафик не «долетает» до целевого ресурса и никак не вредит ему», — говорит Сергеев.

Кроме того, хакеры понимают, что тратить время и вычислительные ресурсы на то, что, скорее всего, не принесет результата, крайне неэффективно. «Поэтому они перешли на целенаправленные атаки, которые могут маскироваться с помощью одновременного DDoS, — рассуждает Черняков. — Защититься от таких атак сложнее, а «пользы» с точки зрения злоумышленника в них больше».

Принципиально новых видов атак, по мнению Сергеева, за последние несколько лет не появилось, растет лишь мощность. «Впрочем, в даркнете распространяется новая услуга по модели SaaS (программное обеспечение как услуга), которая позволяет взять в аренду на некоторое время ботнет для организации DDoS-атаки и успешно атаковать любую цель», — говорит он.

 

Вместе с ростом числа и интенсивности DDoS-атак растет и российский рынок услуг защиты от них. Так, по оценкам МТС Red («дочки» МТС в сфере кибербезопасности), в 2022 году он составил 762 млн рублей, к 2025 году он может вырасти в три с половиной раза — до 2,7 млрд рублей. В 2023 году рынок увеличится еще примерно на 60%. В числе основных факторов такой динамики в компании в первую очередь указывают на распространенность и рост числа DDoS-атак, а также их широкое распространение в каналах информации и простоту подсчета ущерба от них.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+