Eyal Arazi, üst düzey güvenlik çözümlerine öncülük ediyor Radware
Siber güvenlik ortamı 2023’te hızla gelişti. Özellikle Dağıtılmış Hizmet Reddi (DDoS) saldırı modellerinde önemli bir değişiklik yaşandı.
Kötü niyetli aktörler, ağ yığınını 3. ve 4. katmanlardan 7. katmana taşıyarak yeni bir DDoS saldırısı biçimine yöneliyor ve gözlerini çevrimiçi uygulamalar ve API’lerin yanı sıra Etki Alanı Adı Sistemi (DNS) gibi temel altyapılardan ödün vermeye odaklıyor.
Çoğunlukla yoğun ağ trafiğini içeren geleneksel DDoS saldırılarından farklı olarak, Web DDoS Tsunami Saldırıları olarak da bilinen bu yeni HTTP Taşkınları dalgası, geleneksel savunma sistemleri tarafından fark edilmeden uygulama katmanına odaklanır ve ünlü web sitelerini veya ağları çökertir.
Bu saldırılar sınır tanımıyor ve şirketin büyüklüğüne, sektörüne veya coğrafyasına bakmaksızın saldırıyor. Tsunamilerle nasıl başa çıkılacağına dair en iyi istihbaratlardan bazıları, gerçek dünyadaki saldırıların incelenmesinden gelir.
Web DDoS Tsunamisi nedir?
HTTP Taşkınları uzun yıllardan beri yaygın olsa da, bilgisayar korsanları tarafından ağ ve uygulama katmanı saldırılarını birleştirerek yeni, daha agresif Web DDoS Tsunamileri oluşturmak üzere yeniden tasarlandı. Bu saldırıların çoğunun sorumluluğunu üstlenen kötü niyetli aktörler, devlet destekli gruplar veya siber hacktivistlerdir.
Gördüğümüz gerçek dünyadaki Tsunamiler, genellikle saniyede birkaç milyon isteği (RPS) aşan ve saatlerce ve günlerce süren çoklu saldırı dalgalarıyla karakterize edilir. Geçmiş yılların aksine, günümüzün HTTP Taşkınları öncekilerden daha hızlı artıyor.
Güvenlik ekiplerinin kafasını daha da karıştırmak için meşru trafik gibi görünerek ve rastgele başlıklar ve IP sahtekarlığı gibi kaçırma tekniklerini kullanarak tespite akıllıca meydan okuyorlar.
Radware’in son Küresel Tehdit Analizi Raporu, 2023’te kötü amaçlı web uygulamaları ve API işlemlerindeki endişe verici artışın altını çiziyor. Bu işlemlerin toplam sayısı, 2022’ye kıyasla 2023’te %171 arttı; bu, 2022’de gözlemlenen %128’lik artışın üzerinde önemli bir artışı temsil ediyor. 2021.
Artışın önemli bir kısmı, Web DDoS Tsunamisi gibi katman 7 şifreli web uygulaması saldırılarındaki artışa bağlanabilir.
Gerçek Dünya Örnek Çalışmaları
Büyük Ulusal Banka
Radware’in Küresel Tehdit Analizi Raporu’na göre, finans kurumları 2023’te siber saldırılardan en yüksek payı alarak dünya çapındaki saldırıların yaklaşık %30’unu üstlendi.
Önde gelen bir bankacılık kurumu, kendisini Web DDoS Tsunami Saldırılarının amansız bir barajının merkezinde buldu. Birkaç gün boyunca, genellikle günde 2-3 olmak üzere 12 ayrı saldırı dalgasıyla karşılaştı. Birden fazla dalga 1 milyon RPS’yi aştı; bir dalga neredeyse 3 milyon RPS’ye ulaştı; bu, bankanın 1000 RPS’nin altındaki tipik trafik seviyesinden önemli ölçüde daha yüksekti.
Saldırganlar eş zamanlı olarak saniyede 100 gigabit’i (Gbps) aşan çok sayıda ağ katmanı hacimsel saldırı başlattı. Saldırılarda, aralarında HTTP/S Taşkınları, UDP Parçalanma Saldırıları, TCP El Sıkışma İhlalleri, SYN Taşkınları ve daha fazlasının da bulunduğu çeşitli saldırı vektörleri kullanıldı.
Aşağıdaki Şekil 1, yaklaşık 3 milyon RPS’lik zirve dalgasına sahip saldırılardan birini göstermektedir.
Büyük Sigorta Şirketi
Web DDoS Saldırılarının hacimsel ve kalıcı doğası, yakın zamanda büyük bir sigorta şirketine düzenlenen saldırı sırasında da sergilendi. Şirket, yüzbinlerce RPS’ye ulaşan ve birden fazla dalganın 1 milyon RPS’yi aştığı birçok büyük ölçekli saldırı dalgasıyla karşılaştı. En büyük saldırı 2,5 milyon RPS’ye ulaştı.
Saldırılar, şirketin birkaç yüz RPS’lik tipik trafik hızını çok aşarak uygulama altyapısını zorladı ve operasyonları aksattı.
Saldırganlar, durumu daha da karmaşık hale getirmek için bazı saldırı dalgalarını ağ katmanı hacimsel saldırılarıyla birleştirerek veri hacmini 100 Gbps’yi aştı. Saldırı vektörleri arasında Web DDoS Tsunamileri (HTTP/S Taşkınları), DNS Taşkınları, DNS Yükseltme Saldırıları, UDP Taşkınları, UDP Parçalanma Saldırıları, NTP Taşkınları, ICMP Taşkınları ve daha fazlası yer aldı.
Şekil 2’de gösterilen saldırılardan biri, üç saatlik bir süre boyunca bir milyon RPS’ye ulaşan birkaç zirve ve 2,5 milyon RPS’yi aşan birden fazla ani yükselişle birden fazla dalgadan oluşuyordu.
Şekil 2:
Telekomünikasyon şirketi
Finansal kurumlar gibi telekomünikasyon kuruluşları da depoladıkları kazançlı veriler ve ihlal edildiğinde yarattıkları yaygın kesinti ve tanıtım nedeniyle kötü niyetli aktörler arasında yüksek değerli bir hedef olmaya devam ediyor.
Konuya ilişkin örnek: Avrupalı bir telekomünikasyon şirketi, devlet destekli saldırı gruplarının sürekli hedefiydi. Yaklaşık iki saat boyunca neredeyse sürekli olarak yaklaşık 1 milyon RPS’lik kalıcı bir Web DDoS Tsunami Saldırısıyla mücadele etti. Trafik 1,6 milyon RPS’ye ulaştı. Bkz. Şekil 3.
Figür 3:
Bunlar modern Web DDoS Tsunami Saldırısı profilinin sadece birkaç örneğidir. Bildiğimiz şey onların acımasız olduğu. Oranlar ve hacimler şirket içi çözümlerin kapasitesini aşıyor. Aldatıcı ve karmaşıktırlar, yasal trafik gibi görünürler ve zamanla değişirler. Ve bir kuruluşta ciddi aksamalara ve hasara neden olabilirler.
Web DDoS Tsunamilerine Karşı Nasıl Savunma Yapılır?
Web DDoS Tsunamileriyle mücadele etmek için kuruluşların savunma stratejileri hakkındaki düşüncelerinde köklü bir değişim olması gerekiyor. Bu saldırıların tespit edilmesi, L7 trafik başlıklarının şifresinin çözülmesini ve derinlemesine incelenmesini gerektirir; ağ tabanlı DDoS koruma çözümleri bunu yapmak için tasarlanmamıştır.
Standart şirket içi veya bulut tabanlı WAF’ler ölçeğe ve rastgeleleştirmeye ayak uyduramıyor. Hız sınırlayıcı tekniklerin meşru trafik üzerinde büyük bir olumsuz etkisi vardır.
Bunun yerine kuruluşların ihtiyaç duyduğu şey, meşru trafik artışları ile kötü amaçlı saldırı trafiğini birbirinden ayırmak için tasarlanmış uyarlanabilir, yapay zeka odaklı algoritmalardan yararlanan çözümlerdir. Bu algoritmalar, bilinmeyen kötü amaçlı istekleri anında hızlı bir şekilde tespit edip yeni imzalar oluşturabilir, böylece meşru trafik akışını engellemeden güçlü koruma sağlar.
Yeni bir Web DDoS Tsunami dönemi geldi ve bu, şirketlerin hazırlıksız yakalanan bir sonraki kişi olmak istemiyorlarsa siber güvenlik konusunda yeni bir proaktif ve uyarlanabilir yaklaşım benimsemelerini gerektiriyor.
Yasal Uyarı: Bu konuk yazısında ifade edilen görüş ve görüşler yalnızca yazar(lar)a aittir ve The Cyber Express’in resmi politikasını veya konumunu yansıtmayabilir. Yazar tarafından sağlanan her türlü içerik, yazarın görüşüne aittir ve herhangi bir dini, etnik grubu, kulübü, kuruluşu, şirketi, kişiyi veya herhangi bir kişiyi veya herhangi bir şeyi kötüleme amacı taşımaz.