O primeiro semestre de 2023 registrou um aumento massivo de ataques de Negação de Serviço Distribuída (DDoS), revelando um novo nível de sofisticação, frequência e tamanho do ataque a serem enfrentados pelas organizações. Esta ameaça crescente é particularmente exemplificada pela popularidade dos ataques DDoS na web, que surgiram como um perigo imenso em todos os setores e regiões geográficas. Um ataque web DDoS Tsunami é um tipo evoluído de ataque cibernético HTTP DDoS Flood que é sofisticado, agressivo e muito difícil de detectar e mitigar sem bloquear o tráfego legítimo.
A partir deste contexto, os pesquisadores da Check Point Research (CPR), avaliaram as principais tendências do cenário moderno de DDoS, a importância de tais ataques na web e como as empresas podem se proteger contra esses ataques cada vez mais complexos. Os especialistas destacam ainda quatro recursos importantes relacionados a esse tipo de ataque para aprimorar a proteção.
A evolução das ameaças
Os ataques DDoS atingiram níveis surpreendentes em 2022 e no primeiro semestre de 2023. Dados do Threat Hub da Radware destacam um aumento notável de 152% em relação ao ano anterior em eventos DDoS bloqueados em 2022 em comparação com 2021, com um aumento anual de 32% no volume total de ataques bloqueados. O maior ataque DDoS em 2022 atingiu impressionantes 1,46 Tbps – um aumento de 2,8 vezes em relação ao recorde do ano anterior.
Além disso, os atacantes expandiram para além das motivações financeiras, com propósitos políticos alimentando agora uma boa parte dos motivos de ataque DDoS. A mudança começou em paralelo com a invasão da Ucrânia pela Rússia, demonstrando uma sincronização sem precedentes entre ataques cibernéticos e acontecimentos do mundo real. Esta tendência levou a um aumento de grupos hacktivistas patrocinados pelo Estado, visando organizações de vários setores, resultando num impacto de longo alcance.
Tendências dos principais ataques
A mudança de hackers orientados financeiramente para grupos hacktivistas apoiados pelo Estado alterou significativamente o cenário geral. Os grupos patrocinados pelo Estado possuem muito mais recursos e organização, ampliando as suas capacidades para criar ferramentas de ataque sofisticadas, atingir um leque mais amplo de vítimas e operar com relativa impunidade.
Ademais, os atacantes estão empregando novas ferramentas que permitem ataques maiores e mais complexos. Eles misturam vetores em ataques únicos, criando dificuldades para tecnologias e práticas tradicionais de mitigação.
Além disso, os ataques DDoS visam cada vez mais a camada de aplicação, dificultando a detecção e a mitigação. A implementação de ferramentas avançadas de ataque DDoS na web tornou as defesas tradicionais menos eficazes contra essas táticas sofisticadas.
Difíceis de serem mitigados
A fusão dessas tendências, mencionada acima, deu origem aos ataques DDoS na web como o principal vetor para ameaças DDoS modernas. Esses ataques exploram os protocolos HTTP ou HTTPS da camada de aplicação, direcionando uma enxurrada de solicitações para aplicações web para sobrecarregar os servidores. Como a maior parte do tráfego da web é criptografada, a detecção de intenções maliciosas torna-se complexa, convertendo esses ataques especialmente difíceis de mitigar.
Assim, os desafios DDoS na web são de processamento assimétricos protocolos SSL/TLS exigem mais recursos do servidor, permitindo que os atacantes gerem ataques massivos com relativamente poucas solicitações, assim como a maior parte do tráfego da web é criptografada, tornando ineficaz a inspeção pelas defesas tradicionais.
Além disso, os ataques na camada de aplicativos imitam solicitações legítimas, exigindo profundo entendimento para detectar anormalidades indicativas de um ataque e os cibercriminosos utilizam novas ferramentas com vetores de ataque aleatórios e técnicas que escapam às defesas tradicionais.
Os pesquisadores da CPR verificaram, nos últimos 18 meses, um crescimento sem precedentes nas atividades de ataques DDoS, que aumentaram em tamanho, frequência e sofisticação. Este crescimento foi impulsionado por uma combinação de fatores.
Embora cada um destes fatores seja independente, eles fundiram-se numa mudança fundamental no cenário de ameaças, que é mais perigoso que nunca. Destas mudanças, os ataques DDoS Tsunami na web emergiram como uma ameaça exclusivamente devastadora para as organizações, ameaçando a disponibilidade de aplicações e serviços de missão crítica. Os métodos tradicionais de proteção contra DDoS, no entanto, são incapazes de fornecer proteção adequada contra esses ataques, exigindo uma nova abordagem à proteção contra DDoS.
Identificação de um ataque de DDoS
Ter atenção aos níveis de RPS. Ao longo do ano passado, a escala desses ataques continuou a atingir novos patamares. Ataques foram observados em vários milhões de RPS, alguns com ondas de horas de duração que duram dias.
Em qualquer solução baseada em limitação de taxa, bloqueio geográfico ou outros mecanismos semelhantes não será capaz de diferenciar com precisão entre tráfego legítimo e de ataque nesta escala e acabará bloqueando usuários legítimos.
Os cibercriminosos podem aumentar o nível de dificuldade adicionando criptografia à alarmante escala e sofisticação desses ataques. A inspeção do tráfego torna-se difícil e exige muitos recursos à medida que as defesas tentam encerrar e descriptografar um impressionante número de RPS. A inspeção e mitigação pós-criptografia são pesadas e caras para serem mantidas, especialmente em números tão elevados.
Depois que a descriptografia é concluída, esses ataques DDoS da Camada 7 parecem ser solicitações HTTP/S legítimas e são constantemente randomizados (IPs dinâmicos e outros parâmetros). Nenhuma assinatura predefinida ou mecanismo baseado em regras pode ajudar porque essas solicitações “legítimas” não contêm nenhum argumento incorreto específico.
Somente algoritmos baseados em comportamento com autoaprendizagem e autoajuste podem lidar com a detecção e mitigação desses ataques.
Por fim, a natureza dinâmica destas novas ameaças não tem precedentes. Elas frequentemente alteram e randomizam métodos HTTP, cabeçalhos e cookies. Eles personificam serviços populares incorporados de terceiros, falsificam IPs e muito mais.
Como se proteger
Para a proteção contra esses ataques, as organizações precisam de soluções que pode se adaptar rapidamente em tempo real à campanha de ataque. Um padrão WAF local ou baseado em nuvem que se baseia principalmente em as assinaturas não serão capazes de acompanhar esses ataques aleatórios.
Assim, os pesquisadores da Check Point Research reforçam que o primeiro e importante passo a ser dado é reconhecer um ataque de DDoS Tsunami na web. Na oferta da Check Point Software, a proteção Cloud Web DDoS fornece proteção em tempo real, automatizada e precisa contra ataques DDoS na web. Ao combinar parâmetros baseados em taxas e não baseados em taxas, os algoritmos da Check Point Software podem distinguir regularmente entre tráfego legítimo e de ataque e bloquear o tráfego malicioso sem afetar os usuários legítimos.