บ็อตเน็ตเป็นภัยคุกคามต่อองค์กรของคุณที่เพิ่มขึ้น: นี่คือเหตุผล

อาชญากรไซเบอร์มีเครื่องมือที่หลากหลายสำหรับพวกเขาในปัจจุบัน หนึ่งในเครื่องมือพื้นฐานและอันตรายที่สุดคือบ็อตเน็ต

การโจมตีทางไซเบอร์เกือบทั้งหมดในปัจจุบันใช้บ็อตเน็ตในรูปแบบใดรูปแบบหนึ่ง แม้แต่การโจมตีที่กระทำโดยแฮ็กเกอร์ที่เป็นมนุษย์โดยตรง เช่น การพยายามเจาะระบบด้วยตนเอง มักจะนำหน้าด้วยบ็อตเน็ตที่ตรวจสอบเครือข่ายเป้าหมายและทำการสแกนช่องโหว่ ดังนั้นจึงเป็นเรื่องสำคัญที่ผู้บริหารจะต้องเข้าใจวิธีการทำงานของบ็อตเน็ต และวิธีป้องกันเครือข่ายของตนจากบ็อตเน็ต

บ็อตเน็ตคืออะไร?

ตามความหมายของชื่อ บ็อตเน็ตคือเครือข่ายของบอท

“บอท” เป็นตัวย่อของเว็บโรบ็อต หรือที่รู้จักในชื่อ “บอทอินเทอร์เน็ต” หรือ “www โรบ็อต” บอทคือแอปพลิเคชันซอฟต์แวร์ที่ทำกิจกรรมต่างๆ ที่มนุษย์อาจทำโดยอัตโนมัติ บอทมีการใช้กันอย่างแพร่หลายในปัจจุบัน เนื่องจากบอทสามารถทำกิจกรรมหลายอย่างได้เร็วกว่าและในขนาดที่ใหญ่กว่ามนุษย์

ไม่ใช่บอททั้งหมดที่ไม่ดี อันที่จริง มีบอทหลายประเภท รวมถึงบอทดีๆ มากมายที่ยินดีต้อนรับในไซต์ส่วนใหญ่ สไปเดอร์ของเครื่องมือค้นหาและเอ็นจิ้นการช็อปปิ้งบนเว็บอาจเป็นตัวอย่างที่พบบ่อยที่สุดของบอทที่ดี

อย่างไรก็ตาม บ็อตเน็ตประกอบด้วยบอท ที่ไม่เป็นมิตร โปรแกรมซอฟต์แวร์ที่เป็นอันตรายที่ทำงานบนเครือข่ายขนาดใหญ่ของอุปกรณ์ที่ถูกบุกรุก บอทแต่ละตัวจะสื่อสารเป็นระยะกับเซิร์ฟเวอร์ C&C (Command and Control) ส่วนกลาง นี่คือวิธีที่แฮ็กเกอร์ควบคุมบ็อตเน็ตและออกคำสั่งให้กับบอท สั่งให้พวกเขาทำการโจมตีต่างๆ เจ้าของอุปกรณ์ที่ถูกบุกรุกซึ่งบอทกำลังทำงานอยู่มักจะไม่ทราบว่าสิ่งนี้กำลังเกิดขึ้น

บ็อตเน็ตสามารถจัดประเภทตามประเภทของอุปกรณ์ที่ใช้งาน บ็อตเน็ตที่ทรงพลังที่สุดมักจะเป็นเครือข่ายคอมพิวเตอร์ส่วนบุคคลขนาดใหญ่ แฮกเกอร์สร้างเครือข่ายเหล่านี้โดยการติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนเครื่อง วิธีหนึ่งที่ใช้กันทั่วไปคือการส่งอีเมลสแปมที่มีไฟล์แนบของโทรจัน หรืออาจเป็นลิงก์ที่ไม่เป็นมิตร ซึ่งเมื่อคลิก จะนำไปสู่การติดตั้งโปรแกรมบอท อย่างไรก็ตาม มันถูกสร้างขึ้นมา บ็อตเน็ตที่ทำงานบนพีซีที่ติดไวรัสเป็นเครื่องมือที่เป็นที่ปรารถนาอย่างสูงสำหรับแฮกเกอร์ เนื่องจากพีซีพื้นฐานมีความสามารถที่หลากหลาย

อีกด้านของสเปกตรัมคือบ็อตเน็ตที่ประกอบด้วยอุปกรณ์ Internet of Things (IoT) ในช่วงไม่กี่ปีที่ผ่านมา มีอุปกรณ์ "อัจฉริยะ" ที่เชื่อมต่ออินเทอร์เน็ตจำนวนมากออกสู่ตลาด: ทุกอย่างตั้งแต่ตัวควบคุมอุณหภูมิ กริ่งประตู ไปจนถึงกล้องรักษาความปลอดภัย น่าเสียดายที่อุปกรณ์เหล่านี้จำนวนมากไม่มีความปลอดภัยที่แข็งแกร่ง และแฮ็กเกอร์สามารถประนีประนอมกับอุปกรณ์จำนวนนับไม่ถ้วน ทำให้ตกเป็นทาสและรวมเข้ากับบ็อตเน็ตขนาดใหญ่

เนื่องจากอุปกรณ์ IoT นั้นง่ายกว่ามากและจำกัดความสามารถมากกว่าพีซี บ็อตเน็ต IoT จึงมีความสามารถในการโจมตีที่ซับซ้อนน้อยกว่าบ็อตเน็ตบนพีซี ตัวอย่างเช่น อุปกรณ์ IoT ส่วนใหญ่ไม่มีซอฟต์แวร์อีเมล ในขณะที่พีซีส่วนใหญ่มี ดังนั้นบ็อตเน็ต PC จึงสามารถใช้ในแคมเปญอีเมลขยะขนาดใหญ่ได้ ในขณะที่บ็อตเน็ต IoT ไม่สามารถทำได้

อย่างไรก็ตาม สิ่งที่ขาดคุณภาพสามารถชดเชยได้ด้วยปริมาณ บ็อตเน็ต IoT บางตัวมีขนาดใหญ่ มีอุปกรณ์ที่เป็นทาสหลายแสนเครื่อง เครือข่ายเหล่านี้มีแนวโน้มที่จะใช้สำหรับการโจมตีเชิงปริมาตรที่ง่ายกว่า เช่น DDoS โดยที่ปริมาณการรับส่งข้อมูลที่สร้างขึ้นเป็นคุณลักษณะหลักของการโจมตี

บ็อตเน็ตสามารถใช้โจมตีประเภทใดได้บ้าง

บ็อตเน็ตใช้สำหรับการโจมตีหลายประเภทในปัจจุบัน นี่คือบางส่วนที่พบบ่อยที่สุด

DDoS (การปฏิเสธบริการแบบกระจาย)

ในการโจมตี DDoS บ็อตเน็ตจะสร้างการรับส่งข้อมูลจำนวนมาก โดยทั้งหมดมุ่งเป้าไปที่เป้าหมายเดียว เป้าหมายของแฮ็กเกอร์คือการส่งคำขอ HTTP ขาเข้าจำนวนมากไปยังไซต์เป้าหมายหรือแอปพลิเคชันเว็บ เพื่อให้ผู้ใช้ไม่สามารถใช้งานได้ ผลลัพธ์ในอุดมคติ (จากมุมมองของแฮ็กเกอร์) คือการทำให้เป้าหมายพังและออฟไลน์

อย่างไรก็ตาม แม้แต่การแสดงที่เสื่อมโทรมอย่างรุนแรงก็ถือว่าประสบความสำเร็จ การโจมตี DDoS สมัยใหม่สามารถเข้าถึงปริมาณมหาศาลได้ ขณะที่กำลังเขียนบทความนี้ บันทึกปัจจุบันคือการโจมตี 2.3 Tbps ที่มุ่งเป้าไปที่องค์กรที่ใช้ Amazon Web Services ไม่ต้องสงสัยเลยว่าสถิตินี้จะถูกทำลายโดยการโจมตีครั้งใหญ่ในเร็วๆ นี้

สแปม

ในช่วงเริ่มต้นของอินเทอร์เน็ต ผู้ส่งอีเมลขยะจะใช้คอมพิวเตอร์จำนวนเล็กน้อยเพื่อส่งข้อความจำนวนมหาศาล บริษัทรักษาความปลอดภัยได้ปรับเปลี่ยนและเริ่มเผยแพร่ที่อยู่ IP ของคอมพิวเตอร์เหล่านี้ ทำให้ซอฟต์แวร์รักษาความปลอดภัยสามารถบล็อกได้ง่าย

ปัจจุบัน นักส่งสแปมหลีกเลี่ยงสิ่งนี้โดยใช้บ็อตเน็ตขนาดใหญ่เพื่อบรรลุเป้าหมายแทน อุปกรณ์ที่ถูกกดขี่แต่ละเครื่องจะส่งข้อความค่อนข้างน้อย ซึ่งทำให้องค์กรรักษาความปลอดภัยยากขึ้นมากในการระบุแหล่งที่มาของแคมเปญสแปม อย่างไรก็ตาม ขนาดของบ็อตเน็ตหมายความว่าผู้ส่งสแปมยังสามารถส่งข้อความนับพันหรือล้านข้อความได้ในเวลาอันสั้น นอกจากนี้ บ็อตเน็ตบางตัวสามารถทำได้ไม่เพียงกับอีเมลเท่านั้น แต่ยังสามารถสร้างสแปม SMS ได้อีกด้วย

การสแกนช่องโหว่

บ็อตเน็ตทำการสแกนช่องโหว่ พวกเขาตรวจสอบเครือข่ายทางอินเทอร์เน็ตอย่างเป็นระบบโดยมองหาระบบที่มีช่องโหว่ที่ทราบซึ่งยังไม่ได้รับการแก้ไข เมื่อพบระบบที่ใช้ประโยชน์ได้ แฮ็กเกอร์จะติดตามการพยายามละเมิดโดยตรงและการโจมตีอื่นๆ

การติดตั้งมัลแวร์

บางครั้งการสแกนจุดอ่อนจะไม่ถูกตามด้วยการแทรกแซงของมนุษย์ สำหรับช่องโหว่บางประเภท เมื่อพบเหยื่อจำนวนมาก บ็อตเน็ตจะถูกนำมาใช้เพื่อเยี่ยมชมระบบที่มีช่องโหว่และติดมัลแวร์ ตัวเลือกยอดนิยมรวมถึงแรนซัมแวร์หรือสำหรับเครื่องแต่ละเครื่อง บางครั้งซอฟต์แวร์บอทได้รับการติดตั้ง ซึ่งจะดูดซับเครื่องใหม่แต่ละเครื่องเข้าสู่บ็อตเน็ต

ลิงก์ SEO และสแปมเนื้อหา

ไซต์และเว็บแอปพลิเคชันที่ยอมรับเนื้อหาที่ผู้ใช้สร้างขึ้น (เช่น บทวิจารณ์ผลิตภัณฑ์ ความคิดเห็น และอื่นๆ) มักถูกบ็อตเน็ตรบกวน บอทสร้างบัญชีปลอมแล้วพยายามเพิ่ม "เนื้อหา" ปลอม เช่น ข้อความเล็กๆ ที่มีลิงก์ย้อนกลับไปยังไซต์ใดไซต์หนึ่ง เป้าหมายหลักของแฮ็กเกอร์คือการเพิ่มการมองเห็นของไซต์ที่เชื่อมโยงในเครื่องมือค้นหา และอาจถึงกับดึงดูดผู้เยี่ยมชมไม่กี่คนที่มาถึงโดยตรงโดยทำตามลิงก์เหล่านี้จากเว็บแอปพลิเคชันที่ตกเป็นเหยื่อ

การเข้าครอบครองบัญชี

เมื่อแฮ็กเกอร์ละเมิดเว็บไซต์ขนาดใหญ่ พวกเขามักจะเก็บเกี่ยวชุดข้อมูลรับรองหลายพันชุด เช่น ชื่อผู้ใช้และรหัสผ่านรวมกัน พวกเขารู้ว่าน่าเสียดายที่หลายคนยังคงใช้ข้อมูลประจำตัวเดียวกันในหลายเว็บไซต์ ดังนั้น เมื่อแฮกเกอร์ได้รับรายการข้อมูลประจำตัวของบัญชีจากไซต์หนึ่ง พวกเขาจะพยายามลงชื่อเข้าใช้ไซต์อื่น ๆ จำนวนมากด้วยข้อมูลประจำตัวที่ถูกขโมย

การบรรจุข้อมูลรับรองนี้เป็นเรื่องปกติมาก บ็อตเน็ตจะเข้าชมไซต์ระดับสูงที่แฮ็กเกอร์ต้องการเข้าครอบครองบัญชี และ "ขโมย" ข้อมูลประจำตัวที่ขโมยมาอย่างเป็นระบบลงในแบบฟอร์มการเข้าสู่ระบบของไซต์ โดยปกติ การพยายามเข้าสู่ระบบอย่างน้อยบางส่วนจะสำเร็จ ซึ่งหมายความว่าผู้โจมตีสามารถควบคุมบัญชีเหล่านั้นบนไซต์ใหม่ได้ บ็อตเน็ตเป็นส่วนสำคัญของกระบวนการนี้ เนื่องจากโดยปกติแล้วจะมีการพยายามเข้าสู่ระบบอย่างเป็นระบบหลายพันครั้งหรือหลายล้านครั้ง ซึ่งเกินความสามารถของผู้โจมตีที่เป็นมนุษย์

การฉ้อโกงบัตรชำระเงิน

ผู้คุกคามใช้บ็อตเน็ตเพื่อตรวจสอบบัตรชำระเงินที่ถูกขโมย บอทใส่หมายเลขบัตรลงในเว็บแอปพลิเคชันเพื่อดูว่าได้รับการยอมรับหรือปฏิเสธหรือไม่ เทคนิคที่คล้ายกันนี้ใช้เพื่อค้นหาการ์ดใหม่ บอทวนไปตามตัวเลขที่เป็นไปได้และป้อนลงในเว็บแอปพลิเคชัน นี่เป็นวิธีการขโมยการ์ดเพิ่มเติมที่ผู้โจมตีไม่เคยรู้จักมาก่อน แต่มีประสิทธิภาพ

การขูดและการขโมยข้อมูล

แฮกเกอร์ใช้บ็อตเน็ตเพื่อขูดไซต์และเว็บแอปพลิเคชัน คัดลอกข้อมูลเพื่อวัตถุประสงค์ที่ผิดกฎหมายต่างๆ ในบางอุตสาหกรรม (เช่น อีคอมเมิร์ซ ประกันภัย และอื่นๆ) ข้อมูลราคาเป็นข้อมูลที่มีค่า ในความเป็นจริง ธุรกิจที่ร่มรื่นบางครั้งจ้างผู้คุกคามเพื่อขูดไซต์ของคู่แข่งเพื่อให้ได้มา ในอุตสาหกรรมอื่นๆ เช่น การรวบรวมข้อมูล ธุรกิจต่างๆ กำลังขายการเข้าถึงเนื้อหา และการขูดบอตเน็ตเป็นภัยคุกคามโดยตรงต่อรูปแบบธุรกิจ

การละเมิดแอปพลิเคชัน

ผู้คุกคามมักใช้บ็อตเน็ตเพื่อวัตถุประสงค์เฉพาะทางขั้นสูง ซึ่งปรับแต่งให้เหมาะกับองค์กรที่กำลังตกเป็นเป้าหมาย ตัวอย่างหนึ่งที่พบบ่อยคือ การปฏิเสธสินค้าคงคลัง ซึ่งบ็อตเน็ตถูกใช้เพื่อเข้าถึงเว็บไซต์เชิงพาณิชย์หรือแอปพลิเคชันมือถือ และเริ่มกระบวนการซื้อโดยไม่ต้องทำธุรกรรมจนเสร็จ การดำเนินการนี้สามารถลบรายการออกจากสินค้าคงคลังในช่วงเวลาที่กำหนด ซึ่งทำให้ลูกค้าไม่สามารถซื้อได้จริง ประกอบกับการสูญเสียรายได้จากการขายที่ถูกป้องกันไว้ อาจทำให้เกิดปัญหาเพิ่มเติมแก่ผู้เสียหายได้

เป็นเรื่องปกติที่บ็อตเน็ตจะโจมตีไซต์และแอปพลิเคชันการเดินทาง บอทสอบถามตารางเที่ยวบินและเริ่มทำการจอง ซึ่งจะลบที่นั่งออกจากสินค้าคงคลังตามระยะเวลาที่กำหนด ซึ่งปกติคือ 10 หรือ 15 นาที แต่ไม่เคยซื้อตั๋ว การทำเช่นนี้ไม่เพียงแต่จะลบที่นั่งจำนวนมากออกจากสินค้าคงคลังที่มีอยู่ ณ เวลาใดเวลาหนึ่งเท่านั้น แต่ยังต้องเสียค่าธรรมเนียมการค้นหาข้อมูลจำนวนมากสำหรับเว็บไซต์ท่องเที่ยวอีกด้วย

เว็บไซต์ท่องเที่ยวหลายแห่งอาศัยฟีดข้อมูลภายนอกสำหรับข้อมูลตารางเที่ยวบิน และชำระเงินตามการสอบถาม ดังนั้นกิจกรรมของบอทจะสร้างความเสียหายทางการเงินโดยตรงต่อเป้าหมาย

ทำไมการโจมตีของ botnet จึงเป็นเรื่องธรรมดาในปัจจุบัน?

ใครก็ตามที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์รู้ดีว่าการป้องกันที่แข็งแกร่งต่อบอทที่เป็นมิตรเป็นสิ่งสำคัญในปัจจุบัน การโจมตีของบ็อตเน็ตที่อธิบายข้างต้นเกิดขึ้นบ่อยมาก

บอทประกอบด้วยการเข้าชมเว็บเกือบสองในสามในปัจจุบัน บางตัวเป็นบอทที่ดี เช่น สไปเดอร์ของเครื่องมือค้นหา ส่วนที่เหลือ - มากกว่าครึ่งหนึ่งของบอททั้งหมด - เป็นศัตรู ที่มา: การรับส่งข้อมูลที่ประมวลผลโดย Reblaze (คำขอ HTTP/S มากกว่าแปดพันล้านรายการต่อวัน)

มีเหตุผลหลายประการสำหรับเรื่องนี้ บ็อตเน็ตเป็นเรื่องธรรมดาและมีการสร้างใหม่อยู่เสมอ อาชญากรไซเบอร์ใช้บ็อตเน็ตเพราะจำเป็น การโจมตีส่วนใหญ่ที่อธิบายไว้ก่อนหน้านี้จะไม่เกิดขึ้นหากไม่มีพวกเขา

ผู้คุกคามในปัจจุบันมีทุกอย่างตั้งแต่กลุ่มก่ออาชญากรรมในรัสเซีย ไปจนถึงแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐในจีน แฮกเกอร์ส่วนใหญ่มีความซับซ้อนและมีทักษะสูง หลายคนยังได้รับการสนับสนุนทางการเงินที่ดี พวกเขาจะใช้เครื่องมือที่จำเป็นเพื่อให้บรรลุเป้าหมาย ดังนั้น บ็อตเน็ตที่ใหญ่กว่าและดีกว่าจึงถูกสร้างขึ้นอยู่เสมอ

พวกเขาทำกำไรได้สำหรับแฮกเกอร์

ผู้คุกคามที่ควบคุมบ็อตเน็ตที่แข็งแกร่งมีโอกาสทำกำไรมากมาย นี่คือบางส่วน

การกรรโชก DDoS

แฮกเกอร์จะเปิดตัว DDoS ขนาดใหญ่กับไซต์ จากนั้นส่งคำขอเรียกค่าไถ่ไปยังเจ้าของไซต์ พวกเขาขู่ว่าจะรักษาการโจมตีไว้จนกว่าจะจ่ายค่าไถ่ DDoS ที่ประสบความสำเร็จสามารถป้องกันไม่ให้ลูกค้าเข้าถึงไซต์หรือแอปพลิเคชัน ดังนั้นเจ้าของไซต์มักจะจ่ายค่าไถ่ แทนที่จะต้องสูญเสียรายได้จากการโจมตีอย่างต่อเนื่อง

ขายข้อมูลที่ถูกขโมย

ดังที่ได้กล่าวไว้ก่อนหน้านี้ บ็อตเน็ตสามารถใช้เพื่อขโมยข้อมูลที่มีค่าหลายประเภท ข้อมูลบางประเภท เช่น หมายเลขบัตรชำระเงิน สามารถใช้โดยตรงโดยแฮกเกอร์และ/หรือขายต่อในเว็บมืดซึ่งมีตลาดขนาดใหญ่และเติบโตเต็มที่เพื่อการนี้ ข้อมูลประจำตัวของบัญชีที่ถูกต้องก็มีค่ามากเช่นกัน

อีเมลและ SMS สแปม

หลายปีก่อน นักส่งสแปมส่วนใหญ่ส่งอีเมลจำนวนมากเพื่อขายผลิตภัณฑ์ที่ไม่สุภาพหรือกระทำการหลอกลวงอื่นๆ ทุกวันนี้ แคมเปญฟิชชิ่งและกิจกรรมที่ผิดกฎหมายอื่นๆ กำลังอาละวาด นอกจากนี้ เจ้าของบ็อตเน็ตสามารถทำกำไรได้ไม่เพียงแต่การส่งข้อความของตนเอง แต่ยังเสนอบริการสแปมให้กับอาชญากรรายอื่นๆ ด้วย

SEO สแปม

บ็อตเน็ตมักถูกเช่าให้กับสิ่งที่เรียกว่า "บริการ SEO" ซึ่งดำเนินการแคมเปญลิงก์ดร็อปทั่วทั้งเว็บ

บริการมัลแวร์อื่นๆ

นอกจากสแปมและ SEO แล้ว แฮ็กเกอร์ยังสามารถเช่าทรัพยากรบ็อตเน็ตเพื่อวัตถุประสงค์ที่หลากหลาย: การฉ้อโกงในการโฆษณา การใช้แอปพลิเคชันในทางที่ผิด การคัดลอก และอื่นๆ ขณะนี้มีตลาดที่มีความเคลื่อนไหวสำหรับเรื่องนี้ ซึ่งเราจะพูดถึงต่อไป

บ็อตเน็ตราคาถูก อุดมสมบูรณ์ และง่ายต่อการเช่า

เว็บมืดอาจเป็นที่รู้จักกันดีที่สุดสำหรับการแชร์ไฟล์และการขายยาผิดกฎหมาย แต่ยังเป็นที่ตั้งของฟอรัมและตลาดใต้ดินมากมายสำหรับอาชญากรรมทางอินเทอร์เน็ต

แฮกเกอร์ที่มีความเชี่ยวชาญและทักษะที่หลากหลายเสนอบริการให้เช่า เครื่องมือโจมตีและซอฟต์แวร์อื่น ๆ จำหน่ายในตลาดออนไลน์ซึ่งผู้ซื้อสามารถให้คะแนนผลิตภัณฑ์และแสดงความคิดเห็นได้ และสามารถเช่าบ็อตเน็ตเป็นรายชั่วโมง วัน หรือสัปดาห์

หลายปีก่อน ผู้คุกคามที่ต้องการบ็อตเน็ตต้องสร้างใหม่ตั้งแต่ต้น ซึ่งเป็นงานที่ยากและมีราคาแพง วันนี้ บ็อตเน็ต DDoS ทั่วไปสามารถเช่าได้เพียง 50 ดอลลาร์ต่อวัน เมื่อทรัพยากรการโจมตีมีมากมายและมีราคาไม่แพง จึงไม่น่าแปลกใจที่การโจมตีของบ็อตเน็ตเป็นเรื่องปกติ

วิธีป้องกันเครือข่ายของคุณจากบ็อตเน็ต

เนื่องจากการโจมตีแบบบ็อตเน็ตมีรูปแบบที่แตกต่างกัน การป้องกันที่เหมาะสมกับพวกเขาจึงต้องติดตั้งในหลายด้าน แนวทางปฏิบัติที่ดีที่สุดสามารถแบ่งได้เป็นมาตรการเฉพาะสำหรับ DDoS มาตรการเฉพาะสำหรับการโจมตีเชิงปริมาตรอื่นๆ และหลักการทั่วไปที่ใช้กับการโจมตีของบ็อตทั้งหมด

จากการโจมตีด้วยบ็อตเน็ตทั้งหมด การโจมตี DDoS เป็นประเภทที่น่าทึ่งที่สุด ขนาดและขนาดของการโจมตี DDoS สมัยใหม่อาจทำให้สับสนได้ และเว็บแอปพลิเคชันที่มีทรัพยากรไม่เพียงพอสามารถถูกครอบงำได้อย่างรวดเร็ว

โชคดีที่ไซต์มีแบนด์วิดท์และทรัพยากรอื่นๆ ที่ทนทานต่อ DDoS ในปัจจุบันเป็นเรื่องง่าย แพลตฟอร์มระบบคลาวด์สมัยใหม่ทำให้การตั้งค่าการปรับขนาดอัตโนมัติสำหรับเว็บแอปพลิเคชันเป็นเรื่องง่าย เพื่อให้ทรัพยากรเพิ่มเติมออนไลน์ได้อย่างรวดเร็วและอัตโนมัติเมื่อมีความต้องการเพิ่มขึ้น

หากเว็บไซต์ของคุณยังไม่มีสิ่งนี้ คุณควรเพิ่มเข้าไปในไม่ช้า นอกจากนี้ หากคุณไม่ได้ใช้งานโซลูชันการรักษาความปลอดภัยเว็บของคุณไปยังระบบคลาวด์ ให้พิจารณาย้ายข้อมูลไปที่นั่น จากนั้นจะสามารถปรับขนาดอัตโนมัติแบบไดนามิกเพื่อตอบสนองต่อสภาวะภัยคุกคามที่เปลี่ยนแปลงไป เว็บแอปพลิเคชันที่ได้รับการป้องกันแทบจะไม่ต้องปรับขนาดอัตโนมัติ เนื่องจากทราฟฟิก DDoS จะไม่สามารถเข้าถึงได้

ขณะที่คุณกำลังพิจารณาการป้องกัน DDoS ของคุณ ตรวจสอบให้แน่ใจว่าคุณได้ตระหนักถึงตัวเลือกทั้งหมดที่มีให้คุณในวันนี้ บริการป้องกัน DDoS กำลังแพร่หลาย ตัวอย่างเช่น แพลตฟอร์มคลาวด์ระดับบนสุดตอนนี้ได้รวมการบรรเทาผลกระทบในตัวสำหรับ DDoS เชิงปริมาตรบนเครือข่ายและเลเยอร์การขนส่ง คุณควรใช้ประโยชน์จากบริการที่คุณมี

เคล็ดลับอื่นๆ ได้แก่ การใช้ CDN เพื่อให้บริการเนื้อหาแบบคงที่ ซึ่งสามารถลดผลกระทบจากการโจมตีเชิงปริมาตรได้ ตามเนื้อผ้า การทำเช่นนี้เป็นส่วนใหญ่สำหรับไฟล์แต่ละไฟล์ (รูปภาพ สื่อ สคริปต์ และอื่นๆ) แต่ในปัจจุบันมีแนวโน้มมากขึ้นในการทำให้หน้าเว็บทั้งหมดเป็นแบบคงที่เมื่อทำได้ วิธีนี้สามารถลดพื้นผิวการโจมตีของไซต์สำหรับภัยคุกคามที่ไม่ใช่เชิงปริมาตร และยังช่วยปรับปรุงการตอบสนองของระบบที่รับรู้ต่อผู้ใช้ของคุณอีกด้วย

การโจมตีเชิงปริมาตรประเภทอื่น

การโจมตีของบอทบางรูปแบบยังคงต้องการบ็อตเน็ตในการส่งปริมาณการใช้ข้อมูลจำนวนมาก แต่เป้าหมายไม่ใช่เพื่อครอบงำเป้าหมาย ตัวอย่างทั่วไปคือการบรรจุข้อมูลรับรอง: บ็อตเน็ตอาจพยายามเข้าถึงแบบฟอร์มการเข้าสู่ระบบเพียงครั้งเดียวหลายพันครั้ง ดังนั้น การโจมตีจึงเป็นเชิงปริมาตร (รวมถึงคำขอจำนวนมากที่ถูกส่งไปยังเป้าหมาย) แต่ไม่ได้มีจุดประสงค์เพื่อสร้างความเสียหายต่อ DDoS

การเอาชนะการโจมตีเหล่านี้อาจเป็นเรื่องที่ท้าทาย เนื่องจากต้องใช้เว็บแอปพลิเคชันที่เป็นเป้าหมายในการรับรู้ว่ามีการโจมตีขนาดใหญ่เกิดขึ้น จึงสามารถปฏิเสธคำขอได้ อย่างไรก็ตาม บ็อตเน็ตที่ซับซ้อนจะหมุนเวียนคำขออย่างรวดเร็วผ่านอุปกรณ์ที่ถูกกดขี่ เป้าหมายอาจได้รับคำขอเพียงรายการเดียวจากที่อยู่ IP ที่ระบุ เนื่องจากอัลกอริธึมจำกัดอัตราแบบดั้งเดิมจะนับคำขอที่มาจากแหล่งที่มาของการเข้าชมแต่ละแหล่ง อัลกอริทึมเหล่านี้จึงไม่สามารถป้องกันการโจมตีประเภทนี้ได้

ดังนั้นการป้องกันที่แข็งแกร่งในปัจจุบันจึงต้องรวมถึงการจัดการบอทที่แข็งแกร่งและความสามารถในการตรวจสอบของมนุษย์ โซลูชันการรักษาความปลอดภัยเว็บต้องสามารถตรวจจับการรับส่งข้อมูลอัตโนมัติได้ ไม่ว่าจะส่งคำขอจำนวนเท่าใด (หรือจำนวนเท่าใด) จากแหล่งที่มาของการรับส่งข้อมูลนั้นไปยังแอปพลิเคชันที่ได้รับการป้องกัน

โซลูชันการรักษาความปลอดภัยที่เก่ากว่าอาศัยการขึ้นบัญชีดำ ลายเซ็น การยืนยันเบราว์เซอร์ และเทคนิคอื่นๆ อีกจำนวนหนึ่งในการตรวจหาบอทที่ไม่เป็นมิตร เทคนิคเหล่านี้ไม่เพียงพออีกต่อไป เพื่อตรวจจับบอทรุ่นล่าสุดและการโจมตีระดับแอปพลิเคชันอย่างน่าเชื่อถือ เช่น การปฏิเสธสินค้าคงคลัง โซลูชันการรักษาความปลอดภัยที่ทันสมัยจึงรวมคุณลักษณะต่างๆ เช่น การทำโปรไฟล์ตามพฤติกรรม พวกเขาเรียนรู้และเข้าใจลักษณะและรูปแบบพฤติกรรมของผู้ใช้ที่ถูกต้องตามกฎหมายสำหรับแอปพลิเคชันที่พวกเขากำลังปกป้อง ซึ่งช่วยให้ระบุแหล่งที่มาของการรับส่งข้อมูลที่เป็นอันตรายและบล็อกได้

สุดท้ายนี้ เราควรพูดถึงแนวทางปฏิบัติที่ดีที่สุดสองสามข้อที่อาจดูเหมือนชัดเจน แต่ก็มักถูกมองข้ามอยู่ดี ประการแรก เว็บแอปพลิเคชันของคุณควรบังคับใช้นโยบายความปลอดภัยที่เข้มงวด เช่น เมื่อไซต์ประสบปัญหาการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งสำหรับบัญชีที่กำหนด บัญชีนั้นควรถูกแบน/ปิดใช้งานชั่วคราวเพื่อป้องกันการโจมตี ATO (การเข้าครอบครองบัญชี)

ประการที่สอง เครือข่ายของคุณต้องมีความทึบมากที่สุด เมื่อเกิดข้อผิดพลาดขึ้น ควรตอบสนองอย่างเหมาะสมโดยมีข้อมูลน้อยที่สุด วิธีนี้จะช่วยป้องกันไม่ให้แฮ็กเกอร์เรียนรู้รายละเอียดการใช้งานแบ็กเอนด์ ซึ่งจะทำให้พวกเขาค้นพบช่องโหว่ได้ยากขึ้น

เมื่อพูดถึงช่องโหว่ เราจะสรุปส่วนนี้ด้วยคำแนะนำที่ดูเหมือนชัดเจนมาก แต่อย่างไรก็ตาม เครือข่ายของคุณต้องได้รับการอัปเดตอยู่เสมอ! องค์กรของคุณต้องการนโยบายภายในที่เข้มงวดเพื่อให้แน่ใจว่ามีการติดตั้งแพตช์ความปลอดภัยและการอัพเกรดทันทีที่ออก เนื่องจากบ็อตเน็ตมักจะค้นหาระบบที่มีช่องโหว่ที่ไม่ได้รับการแก้ไข

คุณอาจเคยได้ยินคำแนะนำนี้มาแล้วนับครั้งไม่ถ้วน ใช่ และคนอื่นๆ ก็เช่นกัน อย่างไรก็ตาม องค์กรขนาดใหญ่ที่ควรรู้ดีกว่านั้นมักถูกละเลยอยู่เสมอ

ตัวอย่างล่าสุดที่ฉาวโฉ่ที่สุดคือการละเมิด Equifax ซึ่งทำลายข้อมูลทางการเงินส่วนบุคคลสำหรับผู้บริโภค 147 ล้านคน บริษัทถูกเจาะผ่านจุดบกพร่องใน Apache Struts ซึ่งแพตช์ถูกปล่อยออกมา (แต่ไม่ได้ใช้โดย Equifax) หลายเดือน ก่อนที่การละเมิดจะเกิดขึ้น

อย่าเป็นเหมือน Equifax ข้อควรจำ: หากคุณปล่อยให้ช่องโหว่ความปลอดภัยในเครือข่ายของคุณ บอทจะพบ – รับประกัน

บทสรุป

บ็อตเน็ตเป็นส่วนที่แพร่หลายในสภาพแวดล้อมภัยคุกคามสมัยใหม่ ความล้มเหลวในการรักษาการป้องกันที่เพียงพอต่อพวกเขาจะทำให้องค์กรของคุณเสี่ยงต่อการโจมตีที่หลากหลาย รวมถึง DDoS, สแปม, การสแกนช่องโหว่ – ตามด้วยการทดสอบการเจาะระบบและการละเมิดระบบ การโจมตีเพื่อเข้าครอบครองบัญชี การคัดลอกและการขโมยข้อมูล การใช้งานที่ไม่เหมาะสม และอื่นๆ

โชคดีที่การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสามารถแยกบอทที่ไม่เป็นมิตรออกจากเครือข่ายของคุณได้ งานนี้ไม่จำเป็นต้องง่าย เหนือสิ่งอื่นใด มันต้องการโซลูชันการรักษาความปลอดภัยเว็บที่ทันสมัยซึ่งติดตั้งเพื่อตรวจจับบอทที่เป็นอันตรายรุ่นล่าสุด แต่มันเป็นไปได้ และไม่เคยมีความสำคัญสำหรับองค์กรของคุณมากไปกว่านี้มาก่อนเพื่อให้แน่ใจว่ามีการป้องกันที่เพียงพอ