נתונים חדשים מצוותי ה-SIRT ומרכז ה-SOC של F5 מגלים שרוב האירועים כוללים וקטורי תקיפה מרובים

המתקפה הגדולה ביותר השנה הגיעה לשיא של 500Gbps והמתוחכמת ביותר כללה שמונה וקטורי תקיפה שונים

במוקד התקיפות: מגזרי הטכנולוגיה, טלקום, פיננסים וחינוך

ניתוח חדש של F5 Labs קובע כי התקפות מניעת שירות מבוזרות (DDoS) גדלות הן במספרן והן במורכבותן.

נתונים שנאספו על ידי מרכז ה-SOC של F5 Silverline וצוות ה-SIRT של החברה מצאו כי התקפות DDoS עלו ב -55% בין ינואר 2020 למארס 2021. ברוב האירועים הללו (54%) נעשה שימוש בוקטורי תקיפה מרובים, דבר שמצביע על תחכום הולך וגובר ועל תוקפים נחושים יותר.

"התקפות DDoS הן עדיין איום נפוץ, עם חסמי כניסה נמוכים עבור האקרים חדשים, שיכולים לגשת להדרכות ביוטיוב או להשתמש בשירות DDoS להשכרה בזול", אמר שלמה יונה, מנהל מכירות בכיר לישראל, יוון וקפריסין ב- F5. "התקפות DDoS עשויות להפוך למוצר שניתן לקנות מהמדף, אך הן גם הופכות למורכבות ומתוחכמות יותר. הן בודקות את ההגנות של המטרות עם סוגים שונים של התקפות שנפרסות במקביל. ישנן יותר עדויות לכך שפושעי סייבר מתחילים להשתמש בהתקפות DDoS כדי ללחוץ על קורבנות לשלם דרישות כופר".

התקפות ה-DDoS הופכות מגוונות יותר

התקפות DDoS וולומטריות, המציפות רשתות בעומסי תעבורה בניסיון לצרוך את כל רוחב הפס הזמין, הן שיטת ה-DDoS הנפוצה ביותר, והן היוו 73% מכלל האירועים בין ינואר 2020 למארס 2021.

לצד זאת, צורות תקיפה אחרות הופכות לנפוצות יותר. הגידול הרב ביותר שנרשם, בהפרש משמעותי, הוא לתקיפה באמצעות פרוטוקול DDoS, המכוונת לפיירוול ונתבים. היא ממלאת טבלאות חיבור כדי למנוע ממוצרי רשת לטפל במידע שנשלח אליהם. בשלושת החודשים הראשונים של שנת 2021, מעבדות F5 Labs מדווחות על עלייה של 135% לעומת התקופה המקבילה אתשקד, זאת לעומת עלייה של 59% בהתקפות וולומטריות.

בינתיים, התקפות DDoS על יישומים עלו ל-16% מכל אירועי ה-DDoS מינואר 2020 עד מרץ 2021, והיוו יותר מ-50% מכלל אירועי התמיכה הקשורים ל-DDoS ושטופלו על ידי צוותי ה- SIRTשל F5. תקיפות אלו נועדו לצרוך משאבים של שרת 'המקור'. הן מאלצות את היישום להתמודד עם בקשות לא לגיטימיות מצד התוקף ומונעות ממנו טיפול בבקשות לגיטימיות.

התחכום גדל

מרכז ה-SOC וצוות ה-SIRT הבחינו כי לצד היקף הולך וגדל של התקפות DDoS, חלה גם עליה בתחכום של התוקפים. בשלושת החודשים הראשונים של שנת 2021, מספר ההתקפות הרב-וקטוריות – הכוללות ביצוע של מספר התקפות בו זמנית בטכניקות שונות - עלה ב-80% לעומת השנה שעברה. לעומת זאת, חל שינוי מינימלי במספר ההתקפות החד-וקטוריות.

התקפות רב-וקטוריות כללו בממוצע 2.7 שיטות שונות, כאשר ההתקפות המורכבות ביותר שנרשמו כללו שמונה סוגי התקפות שונים.

"השחקנים המתוחכמים ביותר משתמשים בוקטורי התקפה שונים בעת ובעונה אחת, דבר שמאפשר להם לתקוף את רוחב הפס של הקורבן, את שכבת הרשת ואת שרתי היישומים במקביל – זהו ניסיון להציף את הקורבן באמצעות חזית רחבה של התקפה", הסביר דייוויד וורברטון, מוביל מחקר האיומים ב-F5 Labs. "בנוסף להתקפות מתוחכמות יותר, רשמנו כמה התקפות גדולות באופן בולט, כולל התקפה נגד חברת טכנולוגיה שהגיעה לשיא של 500Gbps - חצי טרה-בייט לשנייה".

המגזרים העיקריים שנפגעים

ארבע תעשיות נשאו את עיקר התקפות ה-DDoS מתחילת 2020: טכנולוגיה (25%), טלקום (22%), פיננסים (18%) וחינוך (11%).

עם זאת, תדירות ההתקפות הללו לא היתה תואמת את חומרתן. למרות שמגזר הבריאות עמד בפני מספר זעום של התקפות, הוא היה נתון לאחת מהתקפות ה-DDoS הקשות ביותר. חומרתן של ההתקפות הרגילות על חברות פיננסים, טכנולוגיה וטלקום הייתה נמוכה יחסית באופן ממוצע.

היו גם כמה שינויים בולטים במהלך תקופה של 15 חודשים, כאשר הקונטקסט של ענפים מסוימים השתנה. בינואר, פברואר ומארס 2021, כאשר בתי ספר ומוסדות אקדמיים רבים בעולם חזרו לשגרה לאחר תקופה ממושכת של למידה מרחוק, חלה עלייה חדה במספר התקפות ה-DDoS. כ-56% מכלל אירועי ה-DDoS בתחום החינוך מאז ינואר 2020 התרחשו ברבעון הראשון של 2021.

הגנה מפני DDoS

בעוד התקפות ה-DDoS הופכות נפוצות ומתוחכמות מתמיד, וורברטון קורא לארגונים לשמור על ערנות. זה כולל שימוש באמצעי אבטחה כגון WAF ופתרונות לזיהוי בוטים שיכולים לזהות תעבורת לקוחות אמיתית, או שירותי scrubbing שמסירים את התעבורה הזדונית לפני שהיא מגיעה לשרת האינטרנט.

"עם העלייה המתמדת, הן בהיקף והן במורכבות של התקפות DDoS, ברור שאנחנו צריכים לעשות יותר כדי להתגונן מפניהן", אמר. "כמו גם לשקול כיצד להתמודד עם התקפות DDoS ברגע שהן יוצאות לדרך, חשוב מאוד לאתר אותן במדויק. ככל שמספר התקפות ה-DDoS על יישומים גדל, כדאי להבין אם ניתן להבדיל בין עלייה פשוטה בתעבורת המשתמשים לבין מתקפה ממוקדת ומתמשכת מבוטנט. כמו תמיד, הנראות והקונטקסט מכריעים".

וורברטון גם הדגיש כיצד תוקפים עושים שימוש טוב בשרתי יישומים פגיעים או לא מאובטחים להפעלת התקפות השתקפות.

"המשמעות היא שגם אם אינך היעד להתקפת DDoS, ייתכן שהמערכות שלך ישמשו להפעלת התקפה," הוסיף. "בין היתר, DNS פגיע, NTP, Memcached ושירותי LDAP פגיעים, חייבים להיות מאובטחים מפני פגיעות וגישה לא מאומתת, במיוחד אם הם פונים לאינטרנט".