Usługi typu booter/stresser, znane również zbiorczo jako branża DDoS-for-hire, są w dzisiejszych czasach dostępne w dark webie, co znacznie ułatwia uruchamianie złożonych ataków typu Distributed Denial-of-Service (DDoS). Usługi te są łatwe w użyciu i zapewniają użytkownikom gotową infrastrukturę z zaawansowanymi funkcjami, do wynajęcia w szerokim przedziale cenowym.
W rzeczywistości wiele z nich oferuje znaczące innowacje w zakresie automatyzacji, rozpoznania przed atakiem, a ostatnio także integracji sztucznej inteligencji. Niestety innowacje te sprawiają również, że wiele tradycyjnych metod obrony jest mniej skutecznych, co niesie poważne implikacje dla bezpieczeństwa środowisk IT.
Ewolucja ataków DDoS już blisko
W porównaniu do tradycyjnych ataków DDoS, które często polegają na brute-force lub dużym natężeniu ruchu, ataki wykorzystujące AI i automatyzację są lepiej ukierunkowane i inteligentniejsze w swoim podejściu. Na przykład chociaż sztuczna inteligencja jest stosunkowo nowa na scenie, została już wykorzystana do obejścia pól CAPTCHA zaprojektowanych w celu weryfikacji, czy odwiedzający jest człowiekiem, czy nie. Zaawansowane rozpoznawanie obrazów przez sztuczną inteligencję pozwala atakującym zrozumieć i ominąć te bariery.
W niedalekiej przyszłości możemy również zobaczyć, jak sztuczna inteligencja umożliwi:
- adaptację w czasie rzeczywistym w celu ominięcia technik obronnych – na przykład ataki oparte na sztucznej inteligencji w celu szybkiej zmiany wektorów ataku (zalewanie HTTP w porównaniu z zalewaniem SYN), rozmiaru pakietu lub częstotliwości, aż do osiągnięcia sukcesu. Będzie to znacznym utrudnieniem dla osób broniących się polegających na statycznych metodach, takich jak progi ograniczone szybkością, ponieważ sztuczna inteligencja może szybko dostosować przepływ ruchu, by pozostać tuż poniżej limitu wykrywania,
- naśladowanie zachowania – naśladując ludzkie zachowanie przeglądania treści, boty oparte na sztucznej inteligencji mogą utrudnić tradycyjnym narzędziom bezpieczeństwa odróżnianie prawdziwych użytkowników od atakujących.
Automatyzacja przyczynia się również do wzrostu wyrafinowania ataków DDoS, eliminując tradycyjne procesy ręczne i umożliwiając bardziej wydajne planowanie, powtarzanie i ogólną optymalizację ataków. W odpowiedzi organizacje muszą przygotować się na przedłużające się i stale ewoluujące ataki, które przetestują ich możliwości obronne.
Jak się chronić?
Skoro sztuczna inteligencja zmieni zachowanie atakujących, obrońcy muszą zastanowić się, jak wzmocnić swoje reakcje dzięki najnowszym osiągnięciom w dziedzinie sztucznej inteligencji i uczenia maszynowego. Organizacje powinny rozważyć wdrożenie następujących taktyk:
- Korzystanie z globalnych źródeł informacji o zagrożeniach – zespoły reagowania czy po prostu administratorzy mogą dowiedzieć się, gdzie w dowolnym momencie na świecie mają miejsce ataki DDoS. Pozwoli to automatycznie blokować adresy IP znanych botnetów, gdy są zgłaszane.
- Analiza behawioralna za pomocą uczenia maszynowego – niewielkie niuanse w schematach ruchu mogą wskazywać, czy występuje atak zautomatyzowany, czy oparty na sztucznej inteligencji. Główna różnica między automatyzacją a sztuczną inteligencją jest taka, że jedna z nich może się uczyć i dostosowywać. Automatyzacja po prostu przełączy się z jednego wzorca na drugi, nie ucząc się na podstawie podjętych działań obronnych. Natomiast ataki oparte na AI mogą rozpoznać znaną reakcję obrońców i odbiegać od ustalonych wzorców, co jeszcze bardziej komplikuje łagodzenie skutków ataku. Narzędzia obronne z możliwościami AI/ML mogą szybko analizować ogromne ilości danych, aby wychwycić subtelne oznaki nieprawidłowego zachowania, np. klastrowanie adresów IP czy połączenia od identycznych typów urządzeń.
- Zaawansowane mechanizmy CAPTCHA – ponieważ AI może teraz ominąć tradycyjne systemy CAPTCHA, organizacje powinny rozważyć przyjęcie bardziej wyrafinowanych technik weryfikacji, takich jak biometryczna CAPTCHA lub wieloetapowa weryfikacja użytkownika. Dobrą metodą jest wychwytywanie konkretnych dźwięków z nagrań. Z tym AI ma często problem.
Krótko mówiąc, połączenie AI i automatyzacji w branży DDoS-for-hire sprawiło, że wiele tradycyjnych technik obronnych i konwencjonalnych środków, takich jak ograniczanie szybkości, stało się przestarzałych. Same tradycyjne metody nie wystarczą już w walce z zaawansowanymi, adaptacyjnymi atakami. Zespoły ds. bezpieczeństwa muszą priorytetowo traktować innowacje – wykorzystując inteligencję w czasie rzeczywistym, uczenie maszynowe i środki zaradcze nowej generacji. Wszystko to by być krok przed atakującymi.