14 февраля 2024 г.

Увеличить
Рис. 1. Микросегменты
Увеличить
Рис. 2. Географическое распределение источников атак
Увеличить
Рис. 3. Активность ботов по сегментам. 2023. Распределение ботов по типам. 2023

36,88% всех DDoS-атак пришлось на сферу финансов

Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак за 2023 год.

2023 год оказался довольно богатым на события и тренды в области сетевой безопасности. Появился новый термин «белый шум», развитие искусственного интеллекта повлекло увеличение активности ботов, что сильно сказалось на коммерческих компаниях, появились признаки, вновь начавшего набирать популярность коммерческого DDoS-а, внедрение технологий «удаленного офиса» привело к расширению каналов связи и, как следствие, повышению интенсивности атак.

К концу года рост пропускной способности каналов и размера атак привел к тому, что незначительные всплески трафика с низкой интенсивностью уже перестали кого-то удивлять и причинять вред и приобрели характер «белого шума».

Распределение атак по индустриям

В 2023 году злоумышленники чаще всего атаковали сектор Финансовых технологий — 36,88%.

На втором месте расположился сегмент Электронной коммерции с долей 24,95%. В ТОП 5 также вошли сегменты Образовательных технологий, Онлайн-гейминга и ИТ и Телеком:

  1. Финансовые технологии — 36,88%
  2. Электронная коммерция — 24,95%
  3. Образовательные технологии — 9,86%
  4. Онлайн гейминг — 7,34%
  5. ИТ и Телеком — 6,01%

На уровне микросегментов основной целью злоумышленников были Банки — 28,31%, которые традиционно подвергались атакам в периоды активного продвижения сезонных банковских продуктов — кредитов и вкладов. В ТОП 5 также вошли Электронные доски объявлений — 15,04%, Образовательные платформы — 9,57%, Онлайн-магазины — 8% и Платежные системы — 7,05%. (рис. 1)

«Попадание данных категорий в ТОП рейтинга самых атакуемых сегментов 2023 года не удивительно. Развитие электронной коммерции в широком смысле этого слова в последние годы очень велико. Сегодня большинство товаров и услуг можно получить онлайн. Более того, как мы уже не раз говорили, расширение каналов связи, переход на новые протоколы для оптимизации работы удаленных офисов, легкость и низкая стоимость организации DDoS-атак привели к возобновлению тренда на коммерческие атаки — действенный инструмент влияния на бизнес для злоумышленников со всеми вытекающими последствиями», — комментирует Дмитрий Ткачев, генеральный директор Qrator Labs.

Географическое распределение источников атак

Статистика распределения атак по географическим источникам в четвертом квартале еще раз акцентирует внимание на тренде, прогрессировавшем в течение всего 2023 года: злоумышленники научились с успехом обходить блокировки по GeoIP, и существенная часть трафика атак теперь генерируется локальными источниками, максимально близкими к региону жертв. (рис. 2)

Общее число заблокированных IP-адресов, по сравнению с третьим кварталом, увеличилось на 32,15%, с 40,15 до 53,06 миллионов. Это максимальный показатель за весь 2023 год.

Как и раньше, в четвертом квартале лидером Топ-20 стала Россия, где было заблокировано 22,3 миллиона адресов (42,03% от общего числа). В первую тройку вновь вошли США и Китай с 6,23 (11,76%) и 2,65 (5%) миллиона блокировок соответственно.

Список основных лидеров также не претерпел существенных перемен. В него по-прежнему входят Сингапур (1,49 млн), Германия (1,44 млн), Индонезия (1,17 млн), Бразилия (1,14 млн) и Индия (1,08 млн).

Продолжительность атак

Самой продолжительной непрерывной атакой по итогам 2023 года стал инцидент третьего квартала — атака на сегмент Аэропортов. Мультивекторная атака (UDP+SYN+TCP флуд) длилась почти три дня (71,58 часа), с 24 по 27 августа.

Вторую строчку по непрерывной продолжительности заняла атака, зафиксированная в первом квартале года на сегмент Банков. Общая продолжительность атаки составила более 42 часов. Замыкает тройку лидеров атака на онлайн-магазины в сегменте Электронной коммерции, которая произошла в 4 квартале и продлилась почти 30 часов.

По итогам года рейтинг продолжительности непрерывных атак по сегментам расположился в следующем порядке:

  1. Транспорт и логистика: Аэропорты — 71,58 часа
  2. Финтех: Банки — 42 часа
  3. Екомм: Ритейл — 29,98 часа
  4. Финтех: ОФД — 22,59 часа
  5. Финтех: платежные системы — 21,78 часа
  6. Игровые платформы — 20,7 часа
  7. Онлайн образование — 20,27 часа
  8. Онлайн медиа — 20,05 часа
  9. Екомм: Сервисы путешествий — 12,04 часа
  10. ИТ и Телеком: Онлайн сервисы — 10,70 часа

Средняя продолжительность атак по итогам года составила 1,3 часа.

Атаки на уровне приложений (L7 модели OSI) — Application Layer Attacks

В четвертом квартале прошедшего года объем атак на уровне приложений увеличился почти на 19%, однако по-прежнему остается на довольно низком уровне, ниже показателей начала года.

Относительно небольшое количество атак — более 13 тысяч за прошедший квартал, и немногим больше 60 тысяч атак за весь год — не означает, что данный уровень модели OSI остается без внимания злоумышленников. Наоборот, небольшой объем атак компенсируется их качеством. Все атаки хорошо подготовлены и носят узкотаргетированный характер, то есть злоумышленники тщательно выбирают свои жертвы и очень внимательно и скрупулезно готовят атаки.

«2023 год стал знаковым с точки зрения атак на уровне приложений. Атаки стали более точечными и хорошо подготовленными. И не всегда их единственной целью является только отказ в обслуживании ресурсов жертвы. Например, злоумышленники с помощью L7-атак могут заставлять ресурсы жертвы горизонтально масштабироваться. Часто такие атаки организуются на компании, арендующие серверы в облаке. При проведении атаки, по формальным признакам ресурс жертвы не деградирует, поскольку при возрастании объемов трафика сервер начинает моментально масштабироваться и не допускает отказа в обслуживании. Однако по итогам периода заказчику это может грозить существенными финансовыми убытками, так как плата за утилизацию ресурсов облака может увеличиться в десятки раз», — отмечает Дмитрий Ткачев.

Статистика защиты от ботов

Четвертый квартал стал пиковым периодом 2023 года по уровню бот-активности. Его показатели почти в 2 раза превысили количество атак ботов в первом квартале, увеличившись с 3 027 064 142 до 5 028 223 169 запросов. В сравнении с третьим кварталом, число атак ботов также существенно возросло — на 32%. Самым активным месяцем 4 квартала стал декабрь, на который пришлось 1,77 млрд. заблокированных запросов ботов. (рис. 3)

Весь 2023 год доля онлайн-ритейла в общем количестве бот-активности возрастала, увеличившись с 16% до почти 30%. Это связано в первую очередь с ростом интереса ботоводов к данной сфере и повышением общего фона бот-активности. Кроме того, AI-боты активнее всего перебирают именно сферу ритейла, поскольку больше всего интересного контента для них сосредоточено именно там.

Помимо роста общего объема активности, онлайн-ритейл со второго по четвертый кварталы бьет рекорды и по самым крупным инцидентам, связанным со всплесками бот-атак. В этом сегменте произошло два наиболее заметных инцидента 4 квартала. Крупнейшая атака ботов с 30 527 990 запросов была зафиксирована 13 декабря, а наиболее быстрая атака случилась 3 ноября в наиболее активный период распродаж. Скорость атаки составила 51 200 запросов ботов в пике (RPS), что в 4 раза больше самой быстрой атаки второго квартала, также произошедшей в сегменте электронной коммерции.

В сравнении, в сфере беттинга подобных всплесков нет: там нагрузка более ровная. Однако этот сегмент продолжает удерживать первые позиции, достигнув доли в 30,9% всех бот-запросов в 4 квартале. Сегмент фармацевтики несколько стабилизировался после скачка в третьем квартале: бот-активность в нем снизилась на 25%.

Основной тренд 2023 года — рост ритейл-активности как по общим показателям, так и по отдельным крупным инцидентам.

Источник: Пресс-служба компании Qrator Labs