במהלך השנה האחרונה, אנו עדים לכך כי התקפות ה DDoS תופסות מקום הולך וגדל בקרב קהילות אבטחת מידע בעולם ומשמשות כר פורה לפעילות טרור סייבר * מגמה זו מתקיימת משתי סיבות עיקריות: הראשונה הינה האפשרות להגדיל בקלות יחסית את ההיקף והכמות של התקפות מסוג זה. השנייה הינה הנזק הכספי או התדמיתי העצום הנגרם לנתקפים * שנת 2023 צפויה להיות השנה שבה מתקפות אלו יעלו מדרגה נוספת ויהוו איום ממשי על המשך הפעילות השוטפת של הארגונים השונים * פנינו למומחים של בזק בינלאומי כדי לשמוע על הפתרון לאיום זה.
שנת 2022 – העלייה הגדולה במתקפות DDoS
בכל הקשור לאבטחת מידע, שנת 2022 תיזכר כשנה שבה מתקפות DDoS (מתקפת מניעת שירות מבוזרת) הפכה מאיום סייבר שהסב נזקים קלים יחסית לארגונים, לדפוס פגיעה משמעותי בעולם הסייבר והמתקפות הפכו להיות נרחבות יותר בהיקפן וברמת התחכום שלהן.
בשנה החולפת נוכחנו לראות כיצד מתקפות DDoS הצליחו לשתק למשך שעות וימים חברות וגופים מהגדולים בעולם במגוון רחב של תחומים – החל מתשתיות לאומיות קריטיות, בנקים וגופים פיננסיים גדולים, חברות תשלומים דיגיטליות, ועד שירותי טלקום, מוסדות חינוך ואקדמיה ועד גיימינג.
"ספטמבר השחור" של 2022 בכל הקשור למתקפות DDoS היה גם מנת חלקה של ענקית ספקית שירותי ה – VoIP האמריקאית Bandwidth.com שגרם אף הוא בחודש זה לשיתוק מוחלט של שירותי התקשורת ללקוחות החברה. מעבר לפגיעה התדמיתית, שקשה מאד לאמוד את השלכותיה, הרי שהחברה דיווחה בתוצאה העסקיות כי גם בשורת הרווח תהיה לכך השפעה וכי ההכנסות השנתיות של החברה יירדו בשיעור הנע בין 9-12 מיליון דולר עם הפסד שעלול גם לגלוש לשנת 2023.
מתקפות DDoS בישראל – התוקפים עולים מדרגה
בישראל חזינו במתקפות DDoS בהיקפים גדולים ומתוחכמים יותר מאשר בעבר – כפי שאירע למשל בחודש נובמבר במתקפה על חברת רישום האתרים מהגדולות בישראל, Domain The Net ושיתקה למשך מספר שעות מאות אתרי אינטרנט ישראליים.
בחודש דצמבר אתר האינטרנט של המוסד לביטוח לאומי קרס למשך קרוב לשעה וחצי עקב מתקפת מניעת שירות מבוזרת (DDoS), שבמסגרתה האקרים העמיסו על פעילות האתר. במהלך המתקפה גולשים, בפרט מחו"ל, שרצו להיכנס לאתר ולקבל בו את שירותי הביטוח הלאומי התקשו לעשות זאת.
מתקפה נוספת שהתרחשה בחודש זה הייתה כנגד Voice Center – ספקית הVOIP אשר נפלה קורבן למתקפה כזו ופגעה בפעילות לקוחותיה. היקף הפגיעה הכספית לא פורסם אמנם אך יש להניח כי אמון לקוחותיה בשירותי החברה ויכולתה לספק המשכיות עסקיות וודאי נפגעה כתוצאה מכך, כפי שקרה עם Bandwidth.com .
מתקפות אלו הובילה לפגיעה חמורה בעבודה השוטפת של החברות שהותקפו ושל הלקוחות שלהן – גופים וחברות עסקיות נאלצות לעבור למצב Offline למשך שעות עד ימים ולעיתים הפעילות התחדשה רק לסירוגין במשך שבועות.
עודד טורג'מן, ארכיטקט סייבר בבזק בינלאומי, שם את האצבע על השינוי שהתרחש באופי המתקפות בשנה האחרונה: "אחת המגמות הבולטות בשנה החולפת היתה גידול במתקפות RDDoS (כופר באמצעות DDoS) בהן התוקפים סוחטים תשלום תמורת הפסקת המתקפה. אנחנו בבזק בינלאומי מניחים כי לאור זאת שארגונים רבים אינם מוגנים כראוי, נמשיך לראות דפוס מתקפה זה גם בעתיד.
טורג'מן מרחיב לגבי השינוי ביעד של המתקפות: " השנה חווינו הסלמה במתקפות שכבר התרחבו לשכבות נוספות במערכות ה IT הארגוניות הקריטיות של ארגונים תוך ניצול נקודות התורפה והחולשות (Vulnerabilities) של ארגונים ועקיפה של מערכות המיטיגציה וההגנה המובילות כיום בשוק."
על מנת להמחיש איך דבריו של טורג'מן מתבטאים בנתונים, מחקירת מתקפות ה DDoS שהתרחשו בשנת 2021 עלו מספר נתונים מעניינים על סוגי החולשות (Venerability) בממוצע ובכל סוגי המגזרים:
- 66% מהחולשות הן בשירותי האינטרנט והדואר אלקטרוני (Layer 7)
- 23% הם בתקשורת מקצה לקצה והכלים לניהול חיבוריות הרשת (Layer 4)
- 11% מהחולשות נעוצות בתעבורת הרשת, כתובות IP והנתבים (Layer3) .
נתונים אלה ממחישים כי ארגונים נדרשים ליישם מערכות הגנה היברדיות מפני מתקפות DDoS עם יכולת זיהוי ונטרול של חולשות במכלול רבדים בארגון.
המשמעות של מתקפת DDoS על הארגון
ככל שעובר הזמן, הארגונים המבצעים תקיפות אלו מפתחים עוד ועוד דרכים שיטות ודרכים להגדיל את משאביהם וכך מתקפותיהם הופכות לאיכותיות יותר ויותר – נתון המגדיל את היקף הביצוע ואת הנזק הנגרם ממנו.
כדי להבין במה מדובר, ניתן להתייחס אל אתר שעובר מתקפת DDoS כאל עסק בעולם הפיזי שחווה פלישה של אלפי לקוחות שמגיעים בבת אחת. אולם בעוד שבעולם האמיתי צריך לשנע אלפי פולשים כדי להוביל לקריסה הזו, במציאות הווירטואלית כל מה שנדרש זה האקר שהצליח לאתר נקודות תורפה במערכות הפעלה בלתי מאובטחות במחשבים של אזרחים תמימים.
"הקושי הכי משמעותי בהימנעות ממתקפת DDoS נובע מכך שלכאורה מדובר במשתמשים לגיטימיים שמבקשים שירות מהאתר", מתאר עמיר אדד, מנהל אגף טכנולוגיות חדשות בבזק בינלאומי, "גם אם הארגון שלכם ישקיע בגרסה הכי חדישה של פיירוול זה לא יסייע. בשביל להתגונן מול המתקפה הזו צריך פתרון שונה והשאיפה של הארגונים חייבת להיות: לא לתת להתקפה להגיע אליכם בכלל. לא משנה איזה מכשיר IPS תשימו במשרד או בחוות השרתים שלכם, אם ההצפה תגיע דרך החיבור לאינטרנט שלכם זה אומר שתישארו עם רוחב פס של 0 לתעבורה העסקית שלכם"
אז איך מתכוננים להתקפות אלו? Arbor הוא הפתרון!
מנגנון ההגנה שעליו מדבר עמיר אדד הוא הפתרון של חברת Arbor Networks, שמבוסס על פיתוח ישראלי במקור ונועד לחשוף את המשתמשים הפונים לרשת הארגונית. "ה-Arbor מתקשר עם היוזרים שניגשים לאתר ודורש מהם הזדהות", מסביר אדד. "אם מדובר בבוט, היוזר ימשיך לשלוח עוד ועוד בקשות כניסה רצופות מבלי להזדהות, ואז ה-Arbor יזהה אנומליה, יסמן את היוזר הזה כבלתי לגיטימי ויחסום אותו. כל התהליך הזה, חשוב לציין, לוקח מילי-שניות שבסופו כל יוזר לגיטימי ממשיך בפעילות באתר מבלי שירגיש שעבר כאן תהליך כלשהו".
בזק בינלאומי בחרה במוצרי חברת Arbor Networks במטרה להגן על הרשת שלה ולספק שירותים מנוהלים ללקוחותיה כנגד אותן התקפות DDoS, כאשר היא חברה גם ב-Arbor Networks Cloud Signaling Coalition, ארגון עולמי אשר במסגרתו ספקיות אינטרנט ברחבי העולם משתפות ביניהן מידע אודות תקיפות DDoS.
הפתרון של חברת Arbor מכיל את מערכת ה- Prevail APS אשר מספקת יכולת לעקוב אחר אפליקציות ושירותי IP ב- Internet Data Center (IDC), דוגמת ,HTTP ,DNS VoIP/SIP ותעבורת SMTP.
קבלת נתוני המודיעין (Intelligence Feed) ממערכת ה-ATLAS של חברת Arbor מאפשרת ל-Prevail APS לספק הגנה כנגד תקיפות DDoS המבוצעות על ידי Botnets.
במהלך העשור האחרון, עקבה Arbor אחר עלייתן והתרחבותן של תקיפות DDoS המבוצעות על ידי Botnets וכל הנתונים רוכזו בבסיס נתונים עצום בהיקף של 35Tbps , אשר מאפשר לחוקרי האבטחה של חברת Arbor זווית ראיה ייחודית ובעלת פרספקטיבה גלובלית בכל הנוגע לתעבורה זדונית המועברת ברשתות ה- Backbone המהוות את ליבת האינטרנט. מידע ייחודי זה הינו קריטי מאחר ורשתות ה- Bots משתנות ומעדכנות את עצמן כל העת בכדי למנוע גילוי.
רוצים לשמוע עוד על פתרון Arobor ?
אנחנו כאן בשבילכם :
דניאלה אורגד, מנהלת שיווק סייבר בבזק בינלאומי – daniellao@bezeqint.co.il
