Подводим итоги минувшего года по статистике DDoS-атак. Летом мы уже писали про наблюдаемые тенденции, практически все тренды сохранились во втором полугодии — правда, были и моменты, которые нас удивили.
Прирост
Общее количество DDoS-атак за 2024 год почти достигло 2,5 млн и относительно 2023 года выросло на 8,8%. Это наименьший прирост в сравнении с предыдущими годами (в 2021-2022 было 753%, в 2022-2023 — 80%). Почему их стало меньше? На наш взгляд, это объясняется двумя факторами — оба, впрочем, сводятся к одному и тому же тренду. Злоумышленники начали действовать более точечно и продуманно.
Во-первых, теперь злоумышленники сосредоточены не на количестве атак, а на их реальной результативности: они проводят разведку по открытым данным, а также используют все доступные инструменты, чтобы обнаружить скрытые сервисы жертвы и нанести удар в самую уязвимую точку цели, потратив минимум собственных ресурсов.
Во-вторых, если цель надежно защищена, и атаки не дают результата (вывода из строя бизнеса, прерывания нормального режима работы, отказа сетевой инфраструктуры), то злоумышленники прекращают тратить ресурсы на бесполезное дело и переключаются на уязвимые цели. Хорошие новости для всех, кто подключил надежную защиту от DDoS!
Второй фактор объясняет также то, что почти половина всех атак не длится дольше 20 минут.
Тренды
Источники: атаки стали более распределенными по источнику возникновения, и большинство из них идут с зараженных IoT-устройств, объединенных в ботнеты. В рамках одной такой атаки может участвовать почти миллион уникальных IP-адресов. Это сопоставимо с количеством IP, которые используют такие страны, как Кипр, Исландия или Оман.
Тактики: больше всего атак пришлось на веб-приложения (L7 по модели OSI, этот тренд подтверждается уже пятый год подряд). Из интересного: злоумышленники в 2024 году активно использовали обход геоблокировок, арендуя мощности для генерации вредоносного трафика внутри того же региона, где размещена инфраструктура цели. Также был впервые замечен значительный рост атак по протоколу GRE.
Самые пострадавшие отрасли: телеком (особенно региональные операторы связи) и финансы. Эти категории и раньше были в числе основных интересов атакующих, которые выбирают значимые даты (для финорганизации это, например, период сдачи отчетности) и стремятся причинить как можно больший ущерб (вместе с оператором страдают и все его абоненты).
Длительность: число атак продолжительностью более суток выросло в 40 раз по сравнению с данными 2023 года. На 63% увеличилась и медианная длительность атак. Еще какое-то время в тренде будут маломощные непрерывные атаки длительностью в несколько дней или месяцев без перерыва. С их помощью атакующие в том числе наносят вред ресурсам, которые подключают облачную защиту по запросу (On-Demand), где стоимость услуг рассчитывается только за время работы защиты.
Рекорды: в октябре 2024 года в DDoS-Guard успешно отразили крупнейшую атаку в истории компании, скорость ее составила 2,46 терабит в секунду. Цифра жуткая, но мы справились.
Прогнозы
Исходя из текущих тенденций, можно предположить, что уже в течение ближайшего года-двух количество зараженных устройств, составляющих ботнеты, вырастет в десятки раз.
Несомненно продолжит расти сложность, многовекторность и мощность атак. Простые атаки типичным вредоносным трафиком на основной домен сервиса уже не так эффективны, поэтому злоумышленники придумывают все более изощренные механики, чтобы достичь своей цели.
Полностью и со всеми деталями наш отчет за 2024 год можно прочесть здесь.
Все посты подряд / Информационная безопасность / Хабр