3 tendências que norteiam os ataques de DDoS Tsunami na web em 2023

3 tendências que norteiam os ataques de DDoS Tsunami na web em 2023

O primeiro semestre de 2023 apontou um aumento massivo de ataques de Negação de Serviço Distribuída (DDoS), revelando um novo nível de sofisticação, entre outras ameaças às organizações. Os pesquisadores da Check Point Software listam as principais tendências do cenário moderno de DDoS, a importância desses ataques na web e como as organizações podem se proteger contra esses ataques cada vez mais complexos. Então, conheça 3 tendências que norteiam os ataques de DDoS Tsunami na web em 2023.

Esta ameaça crescente é particularmente exemplificada pela popularidade dos ataques DDoS na web, que surgiram como um perigo imenso em todos os setores e regiões geográficas. Um ataque web DDoS Tsunami é um tipo evoluído de ataque cibernético HTTP DDoS Flood que é sofisticado, agressivo e muito difícil de detectar e mitigar sem bloquear o tráfego legítimo.

A partir deste contexto, os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, avaliaram as principais tendências do cenário moderno de DDoS, a importância de tais ataques na web e como as empresas podem se proteger contra esses ataques cada vez mais complexos. Os especialistas destacam ainda quatro recursos importantes relacionados a esse tipo de ataque para aprimorar a proteção.

A evolução das ameaças: 3 tendências que norteiam os ataques de DDoS Tsunami na web em 2023

Os ataques DDoS atingiram níveis surpreendentes em 2022 e no primeiro semestre de 2023. Dados do Threat Hub da Radware destacam um aumento notável de 152% em relação ao ano anterior em eventos DDoS bloqueados em 2022 em comparação com 2021, com um aumento anual de 32% no volume total de ataques bloqueados. O maior ataque DDoS em 2022 atingiu impressionantes 1,46 Tbps – um aumento de 2,8 vezes em relação ao recorde do ano anterior.

Além disso, os atacantes expandiram para além das motivações financeiras, com propósitos políticos alimentando agora uma boa parte dos motivos de ataque DDoS. A mudança começou em paralelo com a invasão da Ucrânia pela Rússia, demonstrando uma sincronização sem precedentes entre ataques cibernéticos e acontecimentos do mundo real. Esta tendência levou a um aumento de grupos hacktivistas patrocinados pelo Estado, visando organizações de vários setores, resultando num impacto de longo alcance.

Três tendências principais que moldam os ataques DDoS:

Fator nº 1: ascensão de atacantes do Estado

A mudança de hackers orientados financeiramente para grupos hacktivistas apoiados pelo Estado alterou significativamente o cenário geral. Os grupos patrocinados pelo Estado possuem muito mais recursos e organização, ampliando as suas capacidades para criar ferramentas de ataque sofisticadas, atingir um leque mais amplo de vítimas e operar com relativa impunidade.

Fator nº 2: Ataques Crescendo em Escala e Complexidade

Os atacantes estão empregando novas ferramentas que permitem ataques maiores e mais complexos. Eles misturam vetores em ataques únicos, criando dificuldades para tecnologias e práticas tradicionais de mitigação.

Fator nº 3: Mudança para ataques à camada de aplicativo

Os ataques DDoS visam cada vez mais a camada de aplicação, dificultando a detecção e a mitigação. A implementação de ferramentas avançadas de ataque DDoS na web tornou as defesas tradicionais menos eficazes contra essas táticas sofisticadas.

Mas, o que são exatamente os ataques DDoS na web e por que são mais difíceis de serem mitigados?

A fusão dessas tendências, mencionada acima, deu origem aos ataques DDoS na web como o principal vetor para ameaças DDoS modernas. Esses ataques exploram os protocolos HTTP ou HTTPS da camada de aplicação, direcionando uma enxurrada de solicitações para aplicações web para sobrecarregar os servidores. Como a maior parte do tráfego da web é criptografada, a detecção de intenções maliciosas torna-se complexa, convertendo esses ataques especialmente difíceis de mitigar.

Assim, os desafios DDoS na web são:

• Processamento Assimétrico: Os protocolos SSL/TLS exigem mais recursos do servidor, permitindo que os atacantes gerem ataques massivos com relativamente poucas solicitações.

• Cargas criptografadas: a maior parte do tráfego da web é criptografada, tornando ineficaz a inspeção pelas defesas tradicionais.

• Ataque à lógica de aplicativos: os ataques na camada de aplicativos imitam solicitações legítimas, exigindo profundo entendimento para detectar anormalidades indicativas de um ataque.

• Ferramentas de ataque avançadas: os atacantes utilizam novas ferramentas com vetores de ataque aleatórios e técnicas que escapam às defesas tradicionais.

Os pesquisadores da CPR verificaram, nos últimos 18 meses, um crescimento sem precedentes nas atividades de ataques DDoS, que aumentaram em tamanho, frequência e sofisticação. Este crescimento foi impulsionado por uma combinação de fatores.

Embora cada um destes fatores seja independente, eles fundiram-se numa mudança fundamental no cenário de ameaças, que é mais perigoso que nunca. Destas mudanças, os ataques DDoS Tsunami na web emergiram como uma ameaça exclusivamente devastadora para as organizações, ameaçando a disponibilidade de aplicações e serviços de missão crítica. Os métodos tradicionais de proteção contra DDoS, no entanto, são incapazes de fornecer proteção adequada contra esses ataques, exigindo uma nova abordagem à proteção contra DDoS.

Os especialistas apontam também os quatro sinais de identificação para saber se estamos sob um ataque de DDoS Tsunami na web:

1. Elevadas requisições por segundo (RPS)

O que procurar:

Ter atenção aos níveis de RPS. Ao longo do ano passado, a escala desses ataques continuou a atingir novos patamares. Ataques foram observados em vários milhões de RPS, alguns com ondas de horas de duração que duram dias.

Por que isso importa:

Qualquer solução baseada em limitação de taxa, bloqueio geográfico ou outros mecanismos semelhantes não será capaz de diferenciar com precisão entre tráfego legítimo e de ataque nesta escala e acabará bloqueando usuários legítimos.

2. Tráfego criptografado

O que procurar:

Os cibercriminosos podem aumentar o nível de dificuldade adicionando criptografia à alarmante escala e sofisticação desses ataques. A inspeção do tráfego torna-se difícil e exige muitos recursos à medida que as defesas tentam encerrar e descriptografar um impressionante número de RPS.

Por que isso importa:

A inspeção e mitigação pós-criptografia são pesadas e caras para serem mantidas, especialmente em números tão elevados.

3. Parece legítimo

O que procurar:

Depois que a descriptografia é concluída, esses ataques DDoS da Camada 7 parecem ser solicitações HTTP/S legítimas e são constantemente randomizados (IPs dinâmicos e outros parâmetros). Nenhuma assinatura predefinida ou mecanismo baseado em regras pode ajudar porque essas solicitações “legítimas” não contêm nenhum argumento incorreto específico.

Por que isso importa:

Somente algoritmos baseados em comportamento com autoaprendizagem e autoajuste podem lidar com a detecção e mitigação desses ataques.

4. Randomizando técnicas de ataque

O que procurar: A natureza dinâmica destas novas ameaças não tem precedentes. Elas frequentemente alteram e randomizam métodos HTTP, cabeçalhos e cookies. Eles personificam serviços populares incorporados de terceiros, falsificam IPs e muito mais.

Por que isso importa:

Para a proteção contra esses ataques, as organizações precisam de soluções que pode se adaptar rapidamente em tempo real à campanha de ataque. Um padrão WAF local ou baseado em nuvem que se baseia principalmente em as assinaturas não serão capazes de acompanhar esses ataques aleatórios.

Assim, os pesquisadores da Check Point Research reforçam que o primeiro e importante passo a ser dado é reconhecer um ataque de DDoS Tsunami na web. Na oferta da Check Point Software, a proteção Cloud Web DDoS fornece proteção em tempo real, automatizada e precisa contra ataques DDoS na web. Ao combinar parâmetros baseados em taxas e não baseados em taxas, os algoritmos da Check Point Software podem distinguir regularmente entre tráfego legítimo e de ataque e bloquear o tráfego malicioso sem afetar os usuários legítimos.

Acesse a versão completa
Sair da versão mobile