Ataki DoS i login hasło - najczęstsze incydenty. Analiza F5

Europa, Bliski Wschód i Afryka (EMEA) jest drugim najczęściej atakowanym regionem pod względem liczby ataków DoS po Azji i Pacyfiku, Chinach i Japonii (APCJ). Wśród incydentów zgłaszanych przez organizacje finansowe, najwyższy odsetek stanowią ataki na login i hasło.

Według nowych badań przeprowadzonych przez F5 Labs rośnie liczba ataków typu Denial-of-Service (DoS) i na login-hasło, takich jak brute force i upychanie poświadczeń. Analiza obejmująca incydenty zgłoszone do F5 SIRT w latach 2018-2020 wykazała również, że coraz powszechniejsze są ataki na API.

Atakujący, jak zawsze, wybierają najbardziej efektywne sposoby osiągnięcia zysku. Nasze słabości to ich możliwości. Zdecydowanie możemy spodziewać się większej liczby ataków na loginy i hasła, DoS oraz API - powiedział Raymond Pompon, dyrektor F5 Labs.

DoS wszechobecny

F5 Labs informuje w analizie, że aż 32% wszystkich zgłaszanych co roku incydentów do F5 SIRT to ataki DoS – odsetek ten rośnie. W 2020 roku obejmowały one już 36% zgłoszonych incydentów.

Większość ataków DoS to sieciowe ataki wolumetryczne – zalewanie pakietami(powszechnie znane jako TCP SYN lub UDP floods). F5 SIRT otrzymywało również zgłoszenia o atakach typu „Slow POST / Slowloris”, zaprojektowanych w celu inicjowania i utrzymania jak największej liczby otwartych połączeń u ofiary ataku. 19% zgłoszonych incydentów DoS dotyczyło ataków na DNS.

Ataki DoS były najczęściej raportowane w regionie APCJ - 57% zgłoszonych do SIRT incydentów. Kolejna na linii ognia EMEA odnotowała 47%, następnie Stany Zjednoczone i Kanada zgłosiły 33% oraz Ameryka Łacińska – 30%. W regionie EMEA odnotowano największy wzrost odsetka zgłoszonych incydentów. W 2018 r. wyniósł on 2,2%, a w 2020 r. aż 23&, co stanowi ogromny wzrost o 945%.

Najbardziej atakowanymi sektorami były usługi i instytucje edukacyjne, przy czym w obu przypadkach ataki DoS stanowiły 59% wszystkich incydentów. Kolejne najczęściej atakowane sektory to finanse i organizacje publiczne  (odpowiednio 36% i 28%).

Stały problem - ataki na login i hasło

Ataki na login i hasło nieustannie rosną z roku na rok. Pomimo niewielkiego spadku w 2019 r., F5 Labs zauważyło, że stanowiły 32% wszystkich zgłoszonych incydentów SIRT w ciągu ostatnich trzech lat. Oddzielna analiza w czwartej edycji raportu F5 Phishing and Fraud Report również wykazała, że ​​liczba przypadków phishingu wzrosła o 220% podczas szczytu pierwszych fal pandemii COVID-19 w porównaniu ze średnią roczną.

Ataki login i hasło były najczęściej zgłaszanym rodzajem incydentów w Stanach Zjednoczonych i Kanadzie, stanowiąc 45% wszystkich zgłoszonych incydentów. LATAM zajął drugie miejsce (40%), za nim znalazły się EMEA (30%) i APCJ (11,7%).

Najbardziej ucierpiały organizacje sektora bankowego i finansowego (46% wszystkich incydentów), a następnie sektor publiczny (39%) i usługodawcy (27,8%).

Instytucje finansowe lepiej bronią swoich systemów, ale napastnicy celują w najsłabsze ogniwo: ich klientów. Organizacje świadczące usługi finansowe nie są w stanie ustalić, czy konsument ponownie wykorzystuje swoje hasło w innym miejscu – w tym również w miejscach słabiej zabezpieczonych - dodaje Pompon.

Ataki na API są coraz powszechniejsze

Analiza F5 Labs podkreśla również rosnący problem ataków na interfejsy API, które są szeroko stosowane w chmurze,  aplikacjach mobilnych, w ofertach typu SaaS oraz kontenerach.

Spośród wszystkich zgłoszonych incydentów F5 SIRT 4% było związanych z API, a 75% z nich to ataki na hasło i login. Sektor finansowy i usługowy to czołowe branże zgłaszające ataki API.

Ponieważ interfejsy API to w zasadzie loginy internetowe, login i hasło zapewniają często wyższy poziom dostępu do krytycznych aplikacji. Niepokojące jest to, że osoby atakujące wykorzystują ataki hasło-login, takie jak brute force, zdając sobie sprawę, że 69% naruszeń API w 2019 r. wynikało ze słabych mechanizmów kontroli dostępu - powiedział Pompon.

F5 Security Incident Response Team (F5 SIRT) wspiera klientów w obsłudze incydentów bezpieczeństwa w czasie rzeczywistym. W 2020 roku F5 Labs przeanalizowało sytuację z początku pandemii bazując na przypadkach zgłoszonych do F5 SIRT. Całość analizy bierze pod uwagę przypadki zgłoszone do F5 SIRT w latach 2018