Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Dịch vụ đám mây trở thành mục tiêu hấp dẫn của các cuộc tấn công DDoS

Các tổ chức sử dụng công nghệ đám mây trên hầu hết tất cả các ngành và lĩnh vực phải đối mặt với nguy cơ về các cuộc tấn công DDoS. Nghiên cứu ước tính tấn công từ chối dịch vụ (DDoS) sẽ tăng với tốc độ tăng trưởng kép hàng năm (CAGR) 18% cho đến năm 2023.

Trong vài năm qua, các vụ tấn công mạng, lừa đảo, lan truyền mã độc tống tiền (ransomware) và các mối đe dọa tấn công người dùng trực tuyến đã thu hút sự chú ý mạnh mẽ của cả thế giới. Chắc chắn là các tổ chức cần thận trọng hơn đến những lối tấn công này, nhưng theo các chuyên gia về bảo mật, điều quan trọng là các đơn vị vẫn không nên lơ là với các cuộc tấn công kiểu “truyền thống” hơn, chẳng hạn như tấn công DDoS.

Bởi vì, các cuộc tấn công DDoS đã có sức mạnh tàn phá rất lớn và không có dấu hiệu giảm bớt. Trên thực tế, số lượng các cuộc tấn công DDoS và quy mô của chúng tiếp tục tăng lên.

Trong một nỗ lực giúp định lượng mối đe dọa, nhà cung cấp dịch vụ Lumen gần đây đã công bố báo cáo DDoS mới nhất của mình. Nghiên cứu tập trung vào bối cảnh bảo mật trong quý 2/2022, đặc biệt là các cuộc tấn công DDoS, trong đó tội phạm mạng cố gắng ngăn cản người dùng truy cập Internet.

Với môi trường làm việc hiện đại ngày nay, nghĩa là các môi trường đám mây, di động và kết hợp được hầu hết các doanh nghiệp (DN) tham gia và ưu tiên, việc mất quyền truy cập Internet có thể khiến các công ty thiệt hại hàng triệu, nếu không muốn nói là hàng tỷ đô la.

Tấn công DDoS qua các con số

Chỉ riêng trong năm 2021, tội phạm mạng đã phát động 9,75 triệu cuộc tấn công DDoS. Số lượng các cuộc tấn công DDoS trong quý đầu tiên của năm 2022 đã tăng gần 75%.

Vào tháng 6, Cloudflare đã chống lại một cuộc tấn công DDoS kỷ lục từ một máy chủ đám mây tạo ra 26 triệu yêu cầu/giây. Tháng 11/2021, Microsoft đã trải qua cuộc tấn công DDoS lớn nhất trong lịch sử của hãng, nhận 340 triệu gói tin mỗi giây. Dịch vụ đám mây của Amazon đã bị tấn công DDoS nghiêm trọng vào năm 2019 khiến một số dịch vụ số bị ngoại tuyến trong gần 8 giờ.

Các nhà cung cấp dịch vụ đám mây đang trở thành mục tiêu hấp dẫn hơn vì chỉ một cuộc tấn công như vậy có thể ảnh hưởng đến nhiều khách hàng. Các tổ chức tận dụng đám mây trên tất cả các ngành và lĩnh vực đã phải đối mặt với các cuộc tấn công DDoS. Nghiên cứu ước tính rằng các cuộc tấn công DDoS sẽ tăng với tốc độ tăng trưởng kép hàng năm (CAGR) 18% cho đến năm 2023. Quy mô của các cuộc tấn công DDoS tăng gấp đôi sau mỗi hai năm.

Mới đây, Google đã chống lại một cuộc tấn công DDoS HTTPS, với đỉnh điểm là 46 triệu yêu cầu mỗi giây (RPS). Âm mưu tấn công này được xem là cuộc tấn công lớn nhất từ trước đến nay, lớn hơn 76% so với kỷ lục được báo cáo trước đó.

DDoS liên tục phát triển và đổi mới không ngừng, giống như một “công việc kinh doanh hợp pháp”. Có thể là tấn công lớp ứng dụng, tấn công giao thức hoặc tấn công theo khối lượng, những kẻ tấn công ngày càng tinh vi hơn. Ngày nay, tội phạm mạng sử dụng nhiều vectơ: Sử dụng kết hợp các vectơ tấn công để cắt qua hàng phòng thủ nhằm đạt được mục tiêu của chúng. Khi quy mô, khối lượng, cường độ và số lượng các cuộc tấn công DDoS đang tăng lên theo cấp số nhân, hậu quả của chúng cũng vậy.

Trung bình, các DN mất 2 triệu USD cho mỗi cuộc tấn công DDoS. Đối với mỗi phút thời gian ngừng hoạt động do một cuộc tấn công DDoS gây ra, các công ty mất 22.000 USD. Con số này có thể thay đổi tùy thuộc vào quy mô của tổ chức, mức độ nghiêm trọng của cuộc tấn công và nội dung bị ảnh hưởng. Ngoài thiệt hại về tiền, danh tiếng của các công ty còn bị ảnh hưởng vì dịch vụ chăm sóc khách hàng kém do bị ngừng hoạt động.

Thực hiện liên tiếp các cuộc tấn công để đánh giá nạn nhân

Hãng bảo mật Lumen cho biết trong quý 2/2022, họ đã phát hiện ra một trong những cuộc tấn công băng thông lớn nhất từ trước đến nay với tốc độ 1,06 terabit/giây (Tbps). Cuộc tấn công là một phần của một chiến dịch lớn hơn nhắm mục tiêu vào một dịch vụ trò chơi do một công ty viễn thông cung cấp, và đó là khách hàng của dịch vụ giảm thiểu DDoS của Lumen. Theo Lumen, dịch vụ trò chơi đã không bị ảnh hưởng, không ngừng hoạt động, bất chấp quy mô và độ phức tạp của cuộc tấn công.

Tất cả “hoạt động chuẩn bị” đã xảy ra một tuần trước cuộc tấn công 1 Tbps đó, có nghĩa là kẻ đe dọa đã thử nghiệm nhiều phương pháp khác nhau để xác định khả năng phòng thủ mạng của công ty dịch vụ trò chơi. Các kỹ thuật này được gọi là các cuộc tấn công “hit-and-run” mới nổi.

Bằng kỹ thuật này, các nạn nhân bị nhắm mục tiêu bởi một loạt các cuộc tấn công liên tiếp hoặc đồng thời với quy mô nhỏ và thời gian ngắn. Các tác nhân đe dọa sử dụng kết quả của các cuộc tấn công ban đầu này để đánh giá khả năng phòng thủ của công ty và xác định phương pháp tấn công có nhiều khả năng dẫn đến thành công nhất.

Sử dụng các dịch vụ đám mây để khởi động các cuộc tấn công quy mô lớn

Một xu hướng thú vị khác mà Lumen phát hiện là sự gia tăng các cuộc tấn công khai thác công nghệ đám mây. Các tác nhân đe dọa sử dụng các dịch vụ dựa trên đám mây, thông qua các máy chủ bị xâm nhập hoặc các dịch vụ ẩn danh. Sau đó, chúng tận dụng tài nguyên của các nhà cung cấp dịch vụ đám mây để khởi động các cuộc tấn công số lượng lớn nhằm vào các nạn nhân có chủ đích.

Điều này tạo ra một kịch bản thú vị vì nó tạo ra rủi ro cho cả nhà cung cấp đám mây và nạn nhân. Trong khi doanh nghiệp cần siêng năng bảo vệ chống lại các cuộc tấn công DDoS, các nhà cung cấp dịch vụ đám mây cũng phải đảm bảo dịch vụ của họ không bị lạm dụng.

Trong báo cáo, Lumen đưa ra các mẹo cho các tổ chức muốn tránh các cuộc tấn công liên quan đến đám mây, chẳng hạn như đảm bảo các tài khoản được bảo vệ bằng xác thực đa yếu tố. Các dịch vụ được lưu trữ trên đám mây cũng phải được cập nhật. Nếu phát hiện hoạt động đáng ngờ, các tổ chức nên thực hiện các bước để giảm thiểu cuộc tấn công tiềm ẩn, chẳng hạn như thay đổi thông tin xác thực và cách ly các máy chủ bị ảnh hưởng.

Các tổ chức nên có biện pháp giảm thiểu rủi ro DDoS

Một xu hướng tiếp tục từ năm ngoái là các cuộc tấn công nhắm vào các nhà cung cấp VoIP. Lumen đã quan sát và nhận thấy các cuộc tấn công bằng giao thức SIP tăng 315% trong quý 1/2022 và tăng 475% so với quý 3/2021. Các cuộc tấn công SIP ảnh hưởng đến cơ sở hạ tầng VoIP bằng cách áp đảo chúng với lưu lượng truy cập cao.

Tuy nhiên, nhìn chung, các cuộc tấn công SIP vẫn ở mức thấp so với các phương pháp đã được chứng minh sử dụng để phá vỡ các dịch vụ VoIP như TCP-SYN flood và tấn công khuếch đại UDP. SYN flood là một kiểu tấn công DDoS với mục đích làm cho máy chủ không có lưu lượng để truy cập hợp pháp. Bằng cách tiêu thụ tất cả tài nguyên máy chủ đang có sẵn, kẻ tấn công có thể áp đảo tất cả các cổng trên server.

Hầu hết các tổ chức ngày nay đều sử dụng các ứng dụng đám mây để tương tác với khách hàng và nhân viên. Lumen khuyến nghị rằng các tổ chức nên có biện pháp giảm thiểu rủi ro DDoS để ngăn chặn các tác nhân đe dọa phát động các cuộc tấn công quy mô lớn. Ví dụ, theo dõi lưu lượng mạng không chỉ giúp phát hiện một cuộc tấn công mà còn có thể cho biết tổ chức có đang được sử dụng làm proxy trong một cuộc tấn công chống lại người khác hay không. Các chiến thuật tấn công ngày càng trở nên xâm lấn và kín đáo hơn; do đó, bảo vệ toàn diện là điều bắt buộc để đảm bảo rằng các chức năng kinh doanh không bị gián đoạn.

Các cuộc tấn công DDoS không phải mới, nhưng chúng đang thay đổi. Các DN không chỉ phải bảo vệ các mạng nội bộ. Báo cáo của Lumen nhấn mạnh cách các tác nhân đe dọa hiện đang nhắm mục tiêu vượt ra ngoài cơ sở hạ tầng DN và mở rộng phạm vi tiếp cận sang các dịch vụ đám mây, mà các DN tin tưởng là an toàn.

Mặc dù các nhà cung cấp dịch vụ đám mây làm rất tốt việc ngăn chặn các cuộc tấn công, nhưng không có gì hoàn hảo và các DN cần có cơ chế riêng bảo vệ mình khỏi các vectơ tấn công ngày càng tăng này.

Khi các công ty chuyển sang đám mây, học cách chống lại các cuộc tấn công DDoS là điều cần thiết./.