Dwukrotny wzrost ataków DDoS o dużej przepustowości

W 2020 roku, kiedy na całym świecie wprowadzano ograniczenia mające na celu powstrzymanie COVID19, natężenie ataków DDoS o dużej przepustowości wzrosło o 50 proc., wynika z analiz Nokia Deepfield. W maju ubiegłego roku odnotowano rekordową w historii liczbę 929 tys. ataków w miesiącu. Ciągły wzrost intensywności, częstotliwości i wyrafinowania cyberprzestępców spowodował, że wartości szczytowe ataków wzrosły o 100 proc. - z 1,5 Tb/s (styczeń 2020) do ponad 3 Tb/s (maj 2021).

Eksperci przewidują, że w tym roku siła ataków może sięgnąć nawet 10 Tb/s. Oznacza to, że mogą być one 4-5 razy silniejsze niż największe zanotowane do tej pory. Rekordowym był ten w 2017 r., gdy Google poradziło sobie z natarciem o mocy 2,54 Tb/s. W Polsce najsilniejszy atak miał miejsce na początku marca tego roku i wyniósł 476,2 Gb/s – zaatakowano wówczas użytkownika sieci mobilnej.

Liczba ataków i ich siła rośnie ze względu na przyśpieszoną cyfryzację, bardzo szybki rozwój chmury i ekosystemu Internetu Rzeczy. Wiele projektów IT realizowano w ostatnim czasie w pośpiechu, nie przywiązując należytej uwagi do kwestii bezpieczeństwa. Dziś płacimy za to cenę. Zwiększenie liczby serwerów i urządzeń z niestandardowymi lub domyślnymi zabezpieczeniami sprawiło, że są one z powodzeniem wykorzystywane do ataków DDoS, bez wiedzy ich właścicieli — uważa cytowany w komunikacie Grzegorz Paszka, członek zarządu Grupy 3S.

Na wzrost liczby ataków wpływa też uproszczenie narzędzi do ich przeprowadzania. YouTube udostępnia tutoriale do tworzenia nowych botnetów, a usługi DDoS-as-a-Service gwarantują niskie stawki dla tych, którzy chcą przeprowadzić natychmiastowy atak bez większego wysiłku i na dużą skalę. W tej sytuacji nie powinien dziwić fakt, że poważne wtargnięcia stają się coraz częstsze — w 54 proc. przypadków incydentów cyberprzestępcy połączyli kilka technik do przeprowadzenia równoległych ataków. W pierwszym kwartale 2021 odnotowano 80-proc. wzrost liczby ataków wielowektorowych w porównaniu z tym samym okresem rok temu.

W ograniczeniu ataków DDoS dużą rolę mogą odegrać dostawcy hostingu. Z analizy Nokia Deepfield wynika, że szkodliwy ruch generuje zaledwie kilkudziesięciu operatorów. Dostawcy usług hostingowych mogą blokować „złych klientów”, a poprzez działania podejmowane przez 10-15 dostawców usług internetowych — odłączać cyberprzestępców od sieci.

Taki scenariusz jest możliwy do realizacji, ale wymaga współpracy na poziomie globalnym. W dodatku nigdy nie wyeliminujemy z sieci całego szkodliwego ruchu. Stwierdzenie, które zapytania są prawdziwe, a które złośliwe, może być niezwykle trudne, ponieważ czasami trudno określić, które zapytania są spowodowane zwiększonym zainteresowaniem realnych użytkowników, a które generowane są sztucznie. Dlatego ważne jest precyzyjne wykrywanie ataków DDoS oraz ich automatyczna mitygacja, czyli zautomatyzowane łagodzenie skutków – zwraca uwagę Grzegorz Paszka.

 
(źr. Nokia Deepfield Network Intelligence Report 2020)