Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак за 2023 год.
Он оказался довольно богатым на события и тренды в области сетевой безопасности. Появился новый термин “белый шум”, развитие искусственного интеллекта повлекло увеличение активности ботов, что сильно сказалось на коммерческих компаниях, появились признаки, вновь начавшего набирать популярность коммерческого DDoS-а, внедрение технологий “удаленного офиса” привело к расширению каналов связи и, как следствие, повышению интенсивности атак.
К концу года рост пропускной способности каналов и размера атак привел к тому, что незначительные всплески трафика с низкой интенсивностью уже перестали кого-то удивлять и причинять вред и приобрели характер “белого шума”.
Распределение атак по индустриям
В 2023 году злоумышленники чаще всего атаковали сектор Финансовых технологий – 36,88%.
На втором месте расположился сегмент Электронной коммерции с долей 24,95%. В ТОП 5 также вошли сегменты Образовательных технологий, Онлайн-гейминга и ИТ и Телеком:
- Финансовые технологии — 36,88%
- Электронная коммерция — 24,95%
- Образовательные технологии — 9,86%
- Онлайн гейминг — 7,34%
- ИТ и Телеком — 6,01%
На уровне микросегментов основной целью злоумышленников были банки – 28,31%, которые традиционно подвергались атакам в периоды активного продвижения сезонных банковских продуктов – кредитов и вкладов. В ТОП 5 также вошли электронные доски объявлений — 15,04%, образовательные платформы — 9,57%, онлайн-магазины — 8% и платежные системы — 7,05%.
«Попадание данных категорий в ТОП рейтинга самых атакуемых сегментов 2023 года неудивительно. Развитие электронной коммерции в широком смысле этого слова в последние годы очень велико. Сегодня большинство товаров и услуг можно получить онлайн. Более того, как мы уже не раз говорили, расширение каналов связи, переход на новые протоколы для оптимизации работы удаленных офисов, легкость и низкая стоимость организации DDoS-атак привели к возобновлению тренда на коммерческие атаки – действенный инструмент влияния на бизнес для злоумышленников со всеми вытекающими последствиями», – комментирует Дмитрий Ткачев, генеральный директор Qrator Labs.
Географическое распределение источников атак
Статистика распределения атак по географическим источникам в четвертом квартале еще раз акцентирует внимание на тренде, прогрессировавшем в течение всего 2023 года: злоумышленники научились с успехом обходить блокировки по GeoIP, и существенная часть трафика атак теперь генерируется локальными источниками, максимально близкими к региону жертв.
Общее число заблокированных IP-адресов по сравнению с третьим кварталом увеличилось на 32,15%, с 40,15 до 53,06 миллионов. Это максимальный показатель за весь 2023 год.
Как и раньше, в четвертом квартале лидером Топ-20 стала Россия, где было заблокировано 22,3 миллиона адресов (42,03% от общего числа). В первую тройку вновь вошли США и Китай с 6,23 (11,76%) и 2,65 (5%) миллиона блокировок соответственно.
Список основных лидеров также не претерпел существенных перемен. В него по-прежнему входят Сингапур (1,49 млн), Германия (1,44 млн), Индонезия (1,17 млн), Бразилия (1,14 млн) и Индия (1,08 млн).
Продолжительность атак
Самой продолжительной непрерывной атакой по итогам 2023 года стал инцидент третьего квартала – атака на сегмент Аэропортов. Мультивекторная атака (UDP+SYN+TCP флуд) длилась почти три дня (71,58 часа), с 24 по 27 августа.
Вторую строчку по непрерывной продолжительности заняла атака, зафиксированная в первом квартале года на сегмент банков. Общая продолжительность атаки составила более 42 часов. Замыкает тройку лидеров атака на онлайн-магазины в сегменте электронной коммерции, которая произошла в 4-м квартале и продлилась почти 30 часов.
По итогам года рейтинг продолжительности непрерывных атак по сегментам расположился в следующем порядке:
- Транспорт и логистика: Аэропорты — 71,58 часа
- Финтех: Банки — 42 часа
- Екомм: Ритейл — 29,98 часа
- Финтех: ОФД — 22,59 часа
- Финтех: платежные системы — 21,78 часа
- Игровые платформы — 20,7 часа
- Онлайн образование — 20,27 часа
- Онлайн медиа — 20,05 часа
- Екомм: Сервисы путешествий — 12,04 часа
- ИТ и Телеком: Онлайн сервисы — 10,70 часа
Средняя продолжительность атак по итогам года составила 1,3 часа.
Атаки на уровне приложений (L7 модели OSI) — Application Layer Attacks
В четвертом квартале прошлого года объем атак на уровне приложений увеличился почти на 19%, однако по-прежнему остается на довольно низком уровне, ниже показателей начала года.
Относительно небольшое количество атак – более 13 тысяч за прошедший квартал, и немногим больше 60 тысяч атак за весь год – не означает, что данный уровень модели OSI остается без внимания злоумышленников. Наоборот, небольшой объем атак компенсируется их качеством. Все атаки хорошо подготовлены и носят узкотаргетированный характер, то есть злоумышленники тщательно выбирают свои жертвы и очень внимательно и скрупулезно готовят атаки.
«2023 год стал знаковым с точки зрения атак на уровне приложений. Атаки стали более точечными и хорошо подготовленными. И не всегда их единственной целью является только отказ в обслуживании ресурсов жертвы, – отмечает Дмитрий Ткачев. — Например, злоумышленники с помощью L7-атак могут заставлять ресурсы жертвы горизонтально масштабироваться. Часто такие атаки организуются на компании, арендующие серверы в облаке. При проведении атаки, по формальным признакам ресурс жертвы не деградирует, поскольку при возрастании объемов трафика сервер начинает моментально масштабироваться и не допускает отказа в обслуживании. Однако по итогам периода заказчику это может грозить существенными финансовыми убытками, так как плата за утилизацию ресурсов облака может увеличиться в десятки раз».
Статистика защиты от ботов
Четвертый квартал стал пиковым периодом 2023 года по уровню бот-активности. Его показатели почти в 2 раза превысили количество атак ботов в первом квартале, увеличившись с 3 027 064 142 до 5 028 223 169 запросов. В сравнении с третьим кварталом, число атак ботов также существенно возросло – на 32%. Самым активным месяцем 4 квартала стал декабрь, на который пришлось 1,77 млрд. заблокированных запросов ботов.
Весь 2023 год доля онлайн-ритейла в общем количестве бот-активности возрастала, увеличившись с 16% до почти 30%. Это связано в первую очередь с ростом интереса ботоводов к данной сфере и повышением общего фона бот-активности. Кроме того, AI-боты активнее всего перебирают именно сферу ритейла, поскольку больше всего интересного контента для них сосредоточено именно там.
Помимо роста общего объема активности, онлайн-ритейл со второго по четвертый кварталы бьет рекорды и по самым крупным инцидентам, связанным со всплесками бот-атак. В этом сегменте произошло два наиболее заметных инцидента 4 квартала. Крупнейшая атака ботов с 30 527 990 запросов была зафиксирована 13 декабря, а наиболее быстрая атака случилась 3 ноября в наиболее активный период распродаж. Скорость атаки составила 51 200 запросов ботов в пике (RPS), что в 4 раза больше самой быстрой атаки второго квартала, также произошедшей в сегменте электронной коммерции.
В сравнении, в сфере беттинга подобных всплесков нет: там нагрузка более ровная. Однако этот сегмент продолжает удерживать первые позиции, достигнув доли в 30,9% всех бот-запросов в 4 квартале. Сегмент фармацевтики несколько стабилизировался после скачка в третьем квартале: бот-активность в нем снизилась на 25%.
Основной тренд 2023 года – рост ритейл-активности как по общим показателям, так и по отдельным крупным инцидентам.
О компании
Qrator Labs – признанный мировой эксперт в области сетевой безопасности и обеспечения непрерывной сетевой доступности интернет-ресурсов.
Компания предлагает широкий спектр решений для фильтрации трафика, защиты от сетевых атак и обеспечения бесперебойного функционирования интернет-ресурсов клиента в режиме 365/24/7. Собственная геораспределенная сеть фильтрации, построенная на базе единой архитектуры BGP Anycast, для защиты приложений заказчиков от любых интернет угроз, приводящих к недоступности ресурсов в сети интернет, состоит из 15 точек присутствия по всему миру, с пропускной способностью анализа и фильтрации более 4 Тбит/с.
Портфель решений компании включает в себя: защиту от DDoS-атак, защиту от взлома (WAF), CDN (сеть доставки контента), устойчивый DNS, защиту от ботов и Qrator.Radar — уникальную глобальную систему BGP-мониторинга в режиме реального времени.
Иллюстрации пресс-служба компании Qrator Labs
