rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Уязвимости не «если», а «где»

Компании Qrator Labs и Wallarm представили результаты исследования интернет-угроз в первом полугодии 2014 года, связанных с DDoS-атаками и эксплуатацией уязвимостей в веб-приложениях и интернет-ресурсах Рунета. По оценкам аналитиков, рост числа угроз и широкий охват объектов хакерских и DDoS-атак влияют на рынок информационной безопасности в целом.

Компания Qrator Labs специализируется на защите сайтов от DDoS-атак.  Qrator Labs (в прошлом HighloadLab) основана в 2009 году. Компания предоставляет услуги противодействия DDoS-атакам и является признанным экспертом в этой области. В 2010 году компания запустила сеть фильтрации трафика Qrator, как технологическую основу коммерческого сервиса для защиты сайтов от подобных угроз. На сегодняшний день сервисом пользуются такие СМИ как газета «Ведомости», радиостанция «Эхо Москвы», банки «Тинькофф Кредитные Системы», «Связной Банк», сайты электронной коммерции Lamoda, Юлмарт, Enter, и др. Компания Wallarm представляет продукт для обнаружения уязвимостей и защиты web-приложений от хакерских атак.

В первой половине 2014 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 2 715 DDoS-атак. В аналогичном периоде 2013 года эта цифра составила 4 375. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, сократилось со 151 в первом полугодии 2013 до 38 в 2014 году. Также уменьшилось и среднее количество DDoS в день — c 23,9 до 14,8 соответственно.

Наметился общий тренд по снижению атак класса DNS/NTP Amplification, которые ранее составляли более половины всех атак. Максимальный размер ботнета, задействованного в атаке, вырос со 136 644 до 420 489 машин.

С начала 2014 года наметился тренд к «укрупнению» атак, то есть их стало меньше, но скорости существенно выросли, что стало представлять серьезную проблему для небольших операторов связи и хостинг-компаний. 

Максимальная длительность атаки увеличилась с 21 дня в первой половине 2013 года до 90 дней в 2014, а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,83% до 99,87%.

Выявленные в первой половине 2014 года тенденции продолжат свое развитие во втором полугодии. Метод атак класса DNS Amplification был полностью вытеснен его NTP Amplification. Разница между ними в том, что в атаку вовлекается в первом случае DNS-сервер, который рассылает «мусорные» запросы. Во втором – сервер синхронизации времени.

«В связи с обострением ситуации на Украине мы наблюдали новую волну атак, причем амплитуда этих атак была настолько широкой, что опасности подвергались не только отдельные Web-приложения, но целые дата-центры. Мы видели, что в случае политических предпосылок для проведения атаки, атакующая сторона проводила полный анализ топологии дата-центра и атаковала все подключенные к дата-центру каналы связи от сторонних провайдеров (uplink)», — сказал Александр Лямин, генеральный директор и основатель Qrator Labs.

Александр Лямин, генеральный директор и основатель Qrator Labs

Александр Лямин также считает, что будет происходить откат к методам менее профессиональным – атакам с помощью ботнетов. Пример такого рода наблюдался в указанном отчетном периоде. Ботнет из почти пяти миллионов голов была задействована для проведения целого ряда атак на сайты российских СМИ.

Также в связи с тем, что с DNS Amplification и NTP Amplification научились успешно бороться, атаки будут происходить на более глубоких уровнях, которые пока не покрыты экспертизой и для которых не разработаны комплексные подходы к защите. Речь идет об инфраструктурном уровне и стеке сетевых протоколов. По словам Александра Лямина, пока можно дешево атаковать DNS и NTP и получать результат, нет смысла атаковать более глубокие уровни. Объектом атаки инфраструктурный уровень может стать в перспективе по мере развития инструментов защиты.

По словам Ивана Новикова, генерального директора Wallarm, продукты Wallarm, предотвращающие хакерские атаки, ежедневно обнаруживают в среднем 850 зловредных запросов на одного веб-приложение, которые могут создать угрозу взлома. В среднем за первый месяц работы  продукта обнаруживается пять уязвимостей.

Иван Новиков, генеральный директор Wallarm

При этом во втором квартале 2014 года среднее число атак на одного клиента увеличилось в 2.5 раза по сравнению с первым кварталом текущего года. Для одной атаки в среднем используются запросы с двух-трех IP-адресов.

Среди основных причин взлома сайтов по-прежнему остаются: старое ПО и незащищенные тестовые приложения, заражение вирусом компьютеров, принадлежащих сотрудникам компаний, попавшие в открытый доступ учетные записи, ошибки администрирования (например, оставленные пароли по умолчанию) и слабая парольная политика.

Взломанные ресурсы активно использовались злоумышленниками для совершения DDoS и других атак, а также заражения пользователей вирусами. В некоторых случаях владельцы ресурса сталкивались с саботажем. Известный финансовый брокер столкнулся с шантажистом, который сначала устроил DDoS-атаку на веб-приложение и позже сумел осуществить его взлом, требуя с владельцев $100 000 в BitCoin’ах за предотвращение атаки. В результате хакерской атаки на сайт «Российской газеты», ее сайт был значительное время недоступен для посещения.

Главным событием в сфере информационной безопасности в первом полугодии текущего года стало, обнаружение уязвимости в очень популярной библиотеке OpenSSL HeartBleed. Уязвимость позволяет получить доступ к чтению памяти приложений: пароли, номера карт и прочее. «Как специалист, я бы хотел увидеть еще что-то похожее, но как пользователь нет», - сказал Иван Новиков, говоря о масштабах проблемы. Например, защищенные инфраструктуры, не имеющие доступ в Интернет, до сих пор не получили обновления.  В целом, проблема еще долго будет актуальной, в первую очередь, для «железа», которое сложнее обновлять.

«Во втором полугодии 2014 года мы скорее всего столкнемся с увеличившимся количеством атак на ресурсы, написанные на платформе Ruby On Rails и различных фреймворках Java, в том числе Struts 2», – говорит о прогнозах Иван Новиков. Уязвимости были обнаружены у Java (5 однотипных уязвимостей в Struts за 2014 год), Ruby on Rails, (1 критическая уязвимость в 2014 году). Интересной тенденцией стали атаки на облачные сервисы со случаями шантажа и угрозой удаления виртуальных машин.

Автор: Алексей Писарев (info@mskit.ru)

Рубрики: Web, Безопасность

Ключевые слова: информационная безопасность сетей, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, сетевая безопасность, системы безопасности, защита персональных данных, персональные данные

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга