Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Vuoden 2022 ensimmäinen neljännes oli palvelunestohyökkäysten vahvasti hallitsemaa aikaa ja vaikuttaa siltä, että tämä uhkamaisema ei tule muuttumaan ainakaan vähemmän ongelmalliseksi. Kun tarkastellaan tilannetta maailmanlaajuisesti, antavat kolme suurinta DDoS-hyökkäystä jotka Imperva on pysäyttänyt, hieman käsitystä tulevien hyökkäysten olemuksesta.

Raportit jatkossa neljännesvuosittain

Ukrainan kriisi ja siihen liittyvät tapahtumat ovat merkittävästi kiihdyttäneet DDoS-uhkien muuttumisnopeutta. Vastauksena muuttuneeseen tilanteeseen Imperva on nostanut DDoS Threat Landscape -raportin julkaisutiheyttä. Jatkossa neljä kertaa vuodessa Imperva Research Labs esittelee ajankohtaisimpia havaintojaan. Impervan missio on lisätä tietoisuutta uusista uhkista ja tarjota yksityiskohtaista tietoa palvelunestohyökkäyksistä ja niiden mahdollisista vaikutuksista yrityksiin ja liiketoimintaan.
Imperva 2022 Q1 DDoS Threat Landscape Report

Tärkeimmät havainnot

  • Eniten hyökkäyksiä tehtiin maaliskuussa
  • Ukrainalaisiin ja venäläisiin sivustoihin kohdistuneet hyökkäykset nelinkertaistuivat
  • Helmikuussa Imperva mitigoi ransom-DDoS -hyökkäystä, jossa mitattiin 2,5 miljoonaa pyyntöä sekunnissa — joka on tähän mennessä suurin sovellustason hyökkäyksessä käytetty esto
  • Uudet hyökkäysvektorit kasvattivat DDoS-hyökkäysten vaikutusta

Uusia hyökkäysvektoreita, kuten TCP Middlebox Amplification ja UDP TP240 PhoneHome, käytettiin DDoS-hyökkäyksissä useita Impervan asiakkaita kohtaan. Näissä uusissa vektoreissa hyökkääjät käyttivät hyväkseen verkkopalveluiden haavoittuvuuksia vahvistaakseen hyökkäysten vaikutusta.

Sovellustason hyökkäyksillä aiheutetaan laajaa ja pitkäkestoista harmia

Kaikista sovellustason hyökkäyksistä 60 %:ssa kesto oli yli 15 minuuttia. Yli 12 tunnin pituisia oli 20 % hyökkäyksistä. Pitkittynyt hyökkäys voi aiheuttaa laajaa vahinkoa sovellusten käytettävyydelle, asiakkaiden menetyksille ja tietojen palautukseen liittyville kustannuksille.

Yli puolet hyökkäyksen kohteeksi joutuneiden verkkosivustojen kokonaismäärästä joutui uuden hyökkäyksen kohteeksi. Tämä viittaa siihen, että kun verkkosivustot joutuvat hyökkäyksen kohteeksi ensimmäistä kertaa, niiden on syytä olettaa joutuvansa kohteeksi toistuviin hyökkäyksiin.

Imperva 2022 Q1 DDoS Threat Landscape Report
Ransom DDoS -uhkat ovat edelleen haaste. Uhkatoimijat käyttävät innovatiivisempaa taktiikkaa häiritäkseen liiketoimintaa ja yrittäessään kiristää yrityksiltä rahaa. 2.5 Mrps -hyökkäyksessä uhka upotettiin URL-pyyntöön, mikä teki siitä osan itse hyökkäystä ja vaati kohdetta maksamaan vaaditun summan bitcoineina.

Alempien OSI-tasojen hyökkäykset lisääntyvät nopeasti

Hyökkäysten määrä lähes kaksinkertaistui tammikuusta helmikuuhun 2022, ja verkko- sekä kuljetuskerroksiin kohdistuneiden hyökkäysten määrä kasvoi 70 prosenttia.

Vain viidennes OSI-kerrosten 3 ja 4 DDoS-hyökkäyksistä käytti useampaa kuin yhtä hyökkäysvektoria, ja loput hyökkäykset olivat kaikki yhdellä vektorilla toteutettuja. Tämä näyttäisi jarruttavan viime vuosien monivektoristen hyökkäysten trendiä, jossa haittaliikennettä kohdistetaan samanaikaisesti eri verkkokerroksiin, mikä tekee lieventämisestä haastavampaa. Yhden vektorin DDoS-hyökkäysten vaikutusta ei kuitenkaan pidä aliarvioida, sillä verkko on vain yhtä turvallinen kuin olemassa oleva DDoS-suojaus. Esimerkiksi toistuvat lyhyet yhden vektorin hyökkäykset verkkoon, jossa vanha DDoS-ratkaisu on määritetty jättämään huomiotta tämän tason aktiivisuus, voivat johtaa hitaampaan suorituskykyyn, koska verkko ylikuormittuu ennen kuin lieventävät toimenpiteet ehtivät edes käynnistyä.

Verkko- ja kuljetuskerroksiin kohdistetut hyökkäykset olivat tarkastelujaksolla kestoltaan melko lyhyitä, ja yli 60 % kaikista hyökkäyksistä kesti vain seitsemän minuuttia tai sitä vähemmän. Lyhyemmät hyökkäykset ovat vaarallisia useista syistä ja niitä käytetään usein häiriötekijänä osana laajempaa monivektorihyökkäystä.

Time-to-Mitigation (TTM)

Time-to-Mitigation on olennainen mittari, kun valitaan DDoS-vastakeinoja ja -yhteistyökumppaneita, sekä valmistaudutaan vastaamaan erilaisiin hyökkäyksiin. Useimmat hyökkäykset tulisi pystyä vaimentamaan muutamissa sekunneissa. Lähes 90 % kaikista DDoS-hyökkäyksistä tarkastelujaksolla kutsujen määrä asettui välille 1 000 – 10 000 per sekunti (RPS, Requests per Second). Lyhyemmät ja pienemmät hyökkäykset jäävät todennäköisemmin ”tutkan alle” ja pujahtavat suojausten läpi — riippuen siitä, kuinka tehokas DDoS-suojaus on käytössä. Pitkittyneet ja jatkuvaluonteiset DDoS-hyökkäykset voivat haitata vakavasti verkkosivustojen suorituskykyä, rajoittaa sivuston saatavuutta tai pahimmassa tapauksessa jopa saattaa sivuston offline-tilaan.
Imperva 2022 Q1 DDoS Threat Landscape Report

Yhteenveto

Finanssiala jatkaa edelleen palvelunestohyökkäyksille eniten kohdistettuna toimialana — yli 30 % kaikista sovelluskerroksen DDoS -hyökkäyksistä vaikuttaa tähän toimialaan. Yhä enemmän rahoitustapahtumia suoritetaan verkossa ja verkkorikolliset pyrkivätkin löytämään uusia ja innovatiivisia tapoja häiritä ja korruptoida tätä erittäin tuottoisaa sektoria — joko taloudellisen hyödyn tai puhtaan kybervandalismiin liittyvien motiivien vuoksi. Kaikkia toimialoja tarkasteltaessa noin puolet ensimmäisellä vuosineljänneksellä tehdyistä hyökkäyksistä kohdistui joko rahoituspalveluihin tai ICT-toimialoihin. Mielenkiintoista on, että laki- ja hallintosektorit ovat ohittaneet suositut kohdetoimialat — kuten pelit ja televiestintä — ja olleet kohteena yli 13 % kaikista Impervan hillitsemistä sovelluskerroksen palvelunestohyökkäyksistä.

Alta voit ladata koko raportin englanniksi itsellesi.

Live DDoS Webinar
Uutiset

Live DDoS Webinar 8.6.2022 14:00

Elämme palvelunestohyökkäyksien kulta-aikaa. Tällä hetkellä eri organisaatioiden resilisenssiä mitataan todellisuudessa – näkyvästi ja näkymättömästi. Mint Security, RedWolf Security ja Imperva järjestävät yhdessä erittäin ajankohtaisen webinaarin, jossa käsitellään palvelunestohyökkäyksiä ja suojautumiskeinoja.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.