2023 год оказался довольно богатым на события и тренды в области сетевой безопасности. Появился новый термин “белый шум”, развитие искусственного интеллекта повлекло увеличение активности ботов, что сильно сказалось на коммерческих компаниях, появились признаки, вновь начавшего набирать популярность коммерческого DDoS-а, внедрение технологий “удаленного офиса” привело к расширению каналов связи и, как следствие, повышению интенсивности атак.
К концу года рост пропускной способности каналов и размера атак привел к тому, что незначительные всплески трафика с низкой интенсивностью уже перестали кого-то удивлять и причинять вред и приобрели характер “белого шума”.
В 2023 году злоумышленники чаще всего атаковали сектор Финансовых технологий – 36,88%.
На втором месте расположился сегмент Электронной коммерции с долей 24,95%. В ТОП 5 также вошли сегменты Образовательных технологий, Онлайн-гейминга и ИТ и Телеком:
На уровне микросегментов основной целью злоумышленников были Банки – 28,31%, которые традиционно подвергались атакам в периоды активного продвижения сезонных банковских продуктов – кредитов и вкладов. В ТОП 5 также вошли Электронные доски объявлений - 15,04%, Образовательные платформы - 9,57%, Онлайн-магазины - 8% и Платежные системы - 7,05%.
«Попадание данных категорий в ТОП рейтинга самых атакуемых сегментов 2023 года не удивительно. Развитие электронной коммерции в широком смысле этого слова в последние годы очень велико. Сегодня большинство товаров и услуг можно получить онлайн. Более того, как мы уже не раз говорили, расширение каналов связи, переход на новые протоколы для оптимизации работы удаленных офисов, легкость и низкая стоимость организации DDoS-атак привели к возобновлению тренда на коммерческие атаки – действенный инструмент влияния на бизнес для злоумышленников со всеми вытекающими последствиями», – комментирует Дмитрий Ткачев, генеральный директор Qrator Labs.
Статистика распределения атак по географическим источникам в четвертом квартале еще раз акцентирует внимание на тренде, прогрессировавшем в течение всего 2023 года: злоумышленники научились с успехом обходить блокировки по GeoIP, и существенная часть трафика атак теперь генерируется локальными источниками, максимально близкими к региону жертв.
Общее число заблокированных IP-адресов, по сравнению с третьим кварталом, увеличилось на 32,15%, с 40,15 до 53,06 миллионов. Это максимальный показатель за весь 2023 год.
Как и раньше, в четвертом квартале лидером Топ-20 стала Россия, где было заблокировано 22,3 миллиона адресов (42,03% от общего числа). В первую тройку вновь вошли США и Китай с 6,23 (11,76%) и 2,65 (5%) миллиона блокировок соответственно.
Список основных лидеров также не претерпел существенных перемен. В него по-прежнему входят Сингапур (1,49 млн), Германия (1,44 млн), Индонезия (1,17 млн), Бразилия (1,14 млн) и Индия (1,08 млн).
Самой продолжительной непрерывной атакой по итогам 2023 года стал инцидент третьего квартала – атака на сегмент Аэропортов. Мультивекторная атака (UDP+SYN+TCP флуд) длилась почти три дня (71,58 часа), с 24 по 27 августа.
Вторую строчку по непрерывной продолжительности заняла атака, зафиксированная в первом квартале года на сегмент Банков. Общая продолжительность атаки составила более 42 часов. Замыкает тройку лидеров атака на онлайн-магазины в сегменте Электронной коммерции, которая произошла в 4 квартале и продлилась почти 30 часов.
По итогам года рейтинг продолжительности непрерывных атак по сегментам расположился в следующем порядке:
Средняя продолжительность атак по итогам года составила 1,3 часа.
В четвертом квартале прошедшего года объем атак на уровне приложений увеличился почти на 19%, однако по-прежнему остается на довольно низком уровне, ниже показателей начала года.
Относительно небольшое количество атак – более 13 тысяч за прошедший квартал, и немногим больше 60 тысяч атак за весь год – не означает, что данный уровень модели OSI остается без внимания злоумышленников. Наоборот, небольшой объем атак компенсируется их качеством. Все атаки хорошо подготовлены и носят узкотаргетированный характер, то есть злоумышленники тщательно выбирают свои жертвы и очень внимательно и скрупулезно готовят атаки.
«2023 год стал знаковым с точки зрения атак на уровне приложений. Атаки стали более точечными и хорошо подготовленными. И не всегда их единственной целью является только отказ в обслуживании ресурсов жертвы. Например, злоумышленники с помощью L7-атак могут заставлять ресурсы жертвы горизонтально масштабироваться. Часто такие атаки организуются на компании, арендующие серверы в облаке. При проведении атаки, по формальным признакам ресурс жертвы не деградирует, поскольку при возрастании объемов трафика сервер начинает моментально масштабироваться и не допускает отказа в обслуживании. Однако по итогам периода заказчику это может грозить существенными финансовыми убытками, так как плата за утилизацию ресурсов облака может увеличиться в десятки раз», – отмечает Дмитрий Ткачев.
Четвертый квартал стал пиковым периодом 2023 года по уровню бот-активности. Его показатели почти в 2 раза превысили количество атак ботов в первом квартале, увеличившись с 3 027 064 142 до 5 028 223 169 запросов. В сравнении с третьим кварталом, число атак ботов также существенно возросло – на 32%. Самым активным месяцем 4 квартала стал декабрь, на который пришлось 1,77 млрд. заблокированных запросов ботов.
Весь 2023 год доля онлайн-ритейла в общем количестве бот-активности возрастала, увеличившись с 16% до почти 30%. Это связано в первую очередь с ростом интереса ботоводов к данной сфере и повышением общего фона бот-активности. Кроме того, AI-боты активнее всего перебирают именно сферу ритейла, поскольку больше всего интересного контента для них сосредоточено именно там.
Помимо роста общего объема активности, онлайн-ритейл со второго по четвертый кварталы бьет рекорды и по самым крупным инцидентам, связанным со всплесками бот-атак. В этом сегменте произошло два наиболее заметных инцидента 4 квартала. Крупнейшая атака ботов с 30 527 990 запросов была зафиксирована 13 декабря, а наиболее быстрая атака случилась 3 ноября в наиболее активный период распродаж. Скорость атаки составила 51 200 запросов ботов в пике (RPS), что в 4 раза больше самой быстрой атаки второго квартала, также произошедшей в сегменте электронной коммерции.
В сравнении, в сфере беттинга подобных всплесков нет: там нагрузка более ровная. Однако этот сегмент продолжает удерживать первые позиции, достигнув доли в 30,9% всех бот-запросов в 4 квартале. Сегмент фармацевтики несколько стабилизировался после скачка в третьем квартале: бот-активность в нем снизилась на 25%.
Основной тренд 2023 года – рост ритейл-активности как по общим показателям, так и по отдельным крупным инцидентам.