Tak wynika z najnowszego raportu F5 Labs, który dokumentuje łącznie 2127 incydentów tylko w 2023 roku. Liczba ta świadczy o znacznym wzroście intensywności i skali tych zagrożeń. Najbardziej narażony okazał się sektor oprogramowania i usług komputerowych. Odnotował on 37% wszystkich zidentyfikowanych incydentów. Niepokojącego wzrostu doświadczyła także branża telekomunikacyjna. Liczba ataków w tym sektorze w 2023 roku zwiększyła się aż o 655% (rdr). Stanowiła przy tym prawie jedną czwartą (23%) wszystkich incydentów DDoS zarejestrowanych przez F5 Labs w ubiegłym roku.
Ataki DDoS stały się bardziej zróżnicowane pod względem celów i metod. Cyberprzestępcy korzystają obecnie z szerokiego wachlarza technik. Główne typy tych ataków obejmują:
- ataki wolumetryczne, które mają na celu wykorzystanie przepustowości sieci, poprzez zalewanie jej ogromną ilością danych, co prowadzi do zablokowania normalnego ruchu;
- ataki na protokoły, skierowane są przeciwko urządzeniom sieciowym i mają na celu wykorzystanie słabości w protokołach sieciowych, co może spowodować przeciążenie lub awarię urządzeń;
- ataki na aplikacje, skoncentrowane są na wykorzystaniu dostępnej pamięci lub mocy obliczeniowej procesorów, aby spowodować spowolnienie lub całkowite zatrzymanie wybranej aplikacji.
W 2022 roku można było zaobserwować wyraźną tendencję wzrostu ilości ataków w warstwie aplikacji. W tym ataków polegających na próbach wytworzenia ogromnych ilości zapytań DNS bądź sesji HTTP(S). Osiągnęły one niemal 40% udziału we wszystkich atakach. Sytuacja odwróciła się jednak w 2023 roku, kiedy udział ataków na aplikacje zmniejszył się do około 25% wszystkich incydentów. Podczas gdy wzrósł udział ataków wolumetrycznych i tych opartych na wykorzystaniu słabości wybranych protokołów.
“Cyberprzestępcy stale rozwijają i modyfikują swoje metody w odpowiedzi na działania obronne podejmowane przez przedsiębiorstwa. Nowe techniki i narzędzia ataków pojawiają się regularnie i to właśnie z tego powodu przedsiębiorstwa muszą stale aktualizować swoje strategie bezpieczeństwa, aby przeciwdziałać tym zagrożeniom” – komentuje Bartłomiej Anszperger, Solution Engineering Manager w F5.
Wspomniane zmiany miały również wpływ na wielkość ataków. Ataki skierowane na aplikacje często oscylują w zakresie 50–200 Mb/s i klasyfikuje się je jako mikro-DDoS. Podczas gdy pozostałe dwie kategorie ataków cechowała znacznie szersza dystrybucja, obejmująca te do 1 Tb/s włącznie. Z analizy F5 Labs wynika, że w 2023 roku wielkość ataków utrzymywała się na wysokim poziomie przekraczając 100 Gb/s. Przy czym wiele z nich osiągnęło ponad 500 Gb/s.
Na linii ognia
Trzecim najczęściej atakowanym sektorem, po oprogramowaniu i usługach komputerowych oraz telekomunikacji, są usługi wsparcia. Doświadczyły one 11% wszystkich ataków DDoS. W marcu to właśnie w tym sektorze doszło do rekordowego ataku o mocy 1 Tb/s. Wykorzystał on pakiety TCP SYN[1], starające się zniszczyć cel poprzez jego przeciążenie. Zaraz za podium znalazły się natomiast media. W roku pełnym globalnych napięć F5 Labs zarejestrowało 250% wzrost liczby ataków DDoS w tej branży. Uwydatnia to zmieniający się geopolityczny wymiar ataków DDoS.
Konsolidacja ataków miała natomiast miejsce w 6 państwach, które doświadczyły łącznie 80% wszystkich odnotowanych ataków DDoS. Wśród krajów tych znalazły się: Stany Zjednoczone, Francja, Arabia Saudyjska, Włochy, Belgia i Wielka Brytania. Warto zauważyć, że ataki na USA stanowiły ponad jedną trzecią (38%) tej liczby, dwukrotnie przewyższając Francję.
Co ciekawe, w regionie EMEA w 2023 roku odnotowano ponad połowę (57%) wszystkich incydentów. Stanowi to trzykrotny wzrost w porównaniu do 2022 roku. Niepokojące jest jednak szczególnie to, że liczba ataków i ich maksymalna przepustowość rosły przez cały rok. Średnia szczytowa przepustowość skoczyła z 50 Mb/s w styczniu do 5 Gb/s w grudniu.
Jak się chronić?
Sytuacja z atakami DDoS jest obecnie bardziej skomplikowana niż kiedykolwiek wcześniej. Firmy muszą poradzić sobie z rosnącą liczbą ataków oraz szeregiem działań, które niekoniecznie są złośliwe, ale mogą skutkować odmową usługi. Łagodzenie skutków ataków – nawet tych o niewielkich rozmiarach – może być dość złożonym procesem. Niezależnie natomiast od czasu trwania ataku DDoS, jego wpływ na reputację może nadal być długotrwały. Dlatego tak ważne jest m.in. wdrożenie zapór sieciowych DNS, blokujących złośliwe adresy IP oraz dostępność rozwiązań identyfikujących boty i ruch inny niż ludzki.
Jak wskazują eksperci F5, dodatkowo, kluczowe jest zabezpieczanie się przed nowymi wektorami ataków DoS (Denial of Service), które często wykorzystują niezałatane luki w oprogramowaniu i sprzęcie. Należy więc regularnie aktualizować wszystkie systemy i monitorować potencjalne zagrożenia. Efektywna analiza cyberzagrożeń jest niezbędna, aby zrozumieć intencje i metody działania atakujących, co pozwala na lepsze przygotowanie do obrony przed DDoS i innymi cyberatakami.
[1] Pakiety TCP SYN są częścią standardowej procedury nawiązywania połączenia TCP, znanego jako proces „handshake”. W ataku DDoS, są one wysyłane w ogromnych ilościach w celu zablokowania zasobów serwera. Prowadzi to do jego przeciążenia i uniemożliwia obsługę prawidłowego ruchu sieciowego. Cel takiego ataku to zazwyczaj spowodowanie, że atakowany system przestaje być dostępny dla użytkowników.
