В 2018 году число DDoS-атак на online-кассы возросло на 836%
В 2017-2018 годах возросло количество DDoS-атак на банки (90%), online-игры (142%), организации в сфере страхования (195%), букмекерские конторы (143%) и online-кассы (836%). Такие данные приводятся в отчете об основных трендах 2018 года в сфере безопасности, подготовленном компанией Qrator Labs, специализирующейся на противодействии DDoS-атакам.
Согласно отчету, в среднем в день в 2018 году по всему миру осуществлялось 255 DDoS-атак. В прошлые годы среднесуточный показатель был ниже: в 2017 году он составил 180 атак, в 2016 – 100. Всего в мире в текущем году было нейтрализовано 85 578 атак, в 2017 году – 61 206, в 2016 – 36 746 атак. По сравнению с двумя минувшими годами выросла максимальная длительность атак (наиболее длительная продолжалась 818 дней), а средняя длительность атаки составила 3 часа (в 2017-2016 годах показатель находился на уровне 4 и 6 часов соответственно). Также сократилось число атак мощностью более 1 Гб/с – 206 атак (против 231 и 278 атак в 2017 и 2016 годах).
Как отметили эксперты, DDoS-атаки с использованием техники Amplification не теряют популярность. Более того, злоумышленники научились использовать для амплификации DDoS-атак серверы скоростной базы данных Memcached, что теоретически позволяет усилить атаку более чем в 10 тыс. раз. Эксперты также прогнозируют появление DDoS-атак с использованием протокола HTTP/2, которые могут быть более разрушительными, чем атаки типа Wordpress Pingback.
В 2018 году набирает силу тренд по использованию уязвимостей протокола BGP для перехватов трафика в различных целях: вызова сбоев в работе, рассылки спама или проведения атак типа «человек посередине». Только в Рунете в 2018 году было зафиксировано 10 крупных инцидентов, повлиявших на доступность внешних и внутренних ресурсов.
Криптобиржи, отмечают специалисты, находятся в зоне повышенного риска, поскольку анонимность кошельков и невозможность откатить транзакцию только упрощают кражу средств. К подобным атакам могут быть уязвимы и классические финансовые инструменты, такие как стандартный банковский личный кабинет. В случае перехвата трафика банк-клиента атакующим становятся доступны не только логины пароли, но и файлы cookie, позволяющие пользователям не проходить авторизацию в течение короткого промежутка времени. Данного интервала вполне достаточно для совершения неавторизованных транзакций.
По мнению экспертов, решением проблемы перехвата трафика с использованием BGP станет кардинальное изменение правил игры: встраивание защиты как от ошибок, так и от атак в сам протокол. Напомним, в сентябре текущего года была представлена первая версия проекта стандарта BGP Route Origin Validation (ROV), призванного обеспечить защиту BGP.
Источник: SecurityLab
Читайте также:
В 2019 году в Беларуси начнут выдавать ID-карты
В Министерстве связи и информатизации Республики Беларусь сообщили, когда начнут выдавать ID-карты. Минсвязи рассчитывает, что связанные с этим работы выполнят в 2019 году, и первые электронные карты граждане получат уже в будущем году. Об этом рассказал первый замминистра связи и информатизации Дмитрий Шедко.
В Беларуси обсудят проект постановления о госзакупках
Министерство антимонопольного регулирования и торговли Республики Беларусь (МАРТ) вынесло на общественное обсуждение проект постановления Совмина о мерах по реализации новой редакции закона «О государственных закупках товаров (работ, услуг)». Он опубликован на правовом форуме. Обсуждение продлится до 14 декабря.