TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
DDoS Attack มีหลายรูปแบบ ซึ่งที่ผ่านมาในหน้าข่าวคนส่วนใหญ่มักจะฮือฮากับปริมาณของทราฟฟิคจำนวนมาก และในฝ่ายป้องกันก็มักจะอวดถึงความสามารถในการรองรับทราฟฟิคเหล่านั้น แต่แท้ที่จริงแล้ว DDoS Attack ยังมีการโจมตีที่เน้นคุณภาพและสร้างความน่าปวดหัวให้แก่ฝ่ายรับมือที่ซับซ้อนได้อีก อย่างการโจมตีในระดับ Layer 7 ที่เรามักต้องเปิดการเชื่อมต่อเอาไว้ใช้งาน ซึ่งจะเกิดการประมวลผลที่มากขึ้น ในแคมเปญที่น่าสนใจล่าสุด Radware Cloud ได้หยุดยั้งการโจมตีครั้งใหญ่ในตะวันออกกลางไว้ได้ โดยเป้าหมายนั้นท่วมท้นไปด้วยทราฟฟิคไม่พึงประสงค์กลบทราฟฟิคดีที่กลายเป็นส่วนน้อย
ในบทความนี้ท่านจะได้เรียนรู้เกี่ยวกับ
- SN_BLACKMETA กลุ่มคนร้าย DDoS Attack หน้าใหม่
- Radware Cloud กับการป้องกัน L7 DDoS ที่สูงสุดถึง 14.7 ล้าน RPS
- คำแนะนำจาก Radware เพื่อรับมือ L7 DDoS ที่ซับซ้อน
SN_BLACKMETA กลุ่มคนร้าย DDoS Attack หน้าใหม่
การรู้จักศัตรูเป็นเรื่องที่จำเป็นต่อการวางกลยุทธ์ ซึ่งผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยมักมี Threat Intelligence ที่เฝ้าระวังและเตือนเกี่ยวกับโลกที่อันตรายเหล่านี้อยู่เสมอ โดยหนึ่งในอาชญากรทางไซเบอร์หน้าใหม่อย่าง SN_BLACKMETA ก็คือกลุ่มกระทำการ L7 DDoS Attack ที่ถล่มโจมตีธุรกิจการเงินในตะวันออกกลางถึง 6 วัน ด้วยสถิติพีคสุดถึง 14.7 ล้าน Request ต่อวินาที (Request per second : RPS)
SN_BLACKMETA ได้สร้างช่องทางตัวตนของพวกเขาทาง Telegram เมื่อปลายปี 2023 นี้เอง โดยเป็นกลุ่มคนแฮ็กเกอร์นักเคลื่อนไหวที่ต่อต้านอิสราเอลและชาติพันธมิตรถึงการกระทำในปาเลสไตน์และชาวมุสลิม ณ เวลานั้นพวกเขากล้าประกาศถึงแผนการและโจมตีเป้าหมายทันใด และจากวันนั้น SN_BLACKMETA มีปฏิบัติการอย่างต่อเนื่องโดยเน้นไปที่บริการโครงสร้างพื้นฐานของประเทศ ที่พุ่งเป้าไปทางอิสราเอล ซาอุดิอาระเบีย ฝรั่งเศส แคนนาดา สหรัฐอาหรับเอมิเรตส์ โดยกลุ่มคนร้ายมีการใช้ช่องทาง X เพื่อสื่อสารและโพสต์ซ้ำผลงานความสำเร็จของตนเองอีกด้วย ที่เรียกความสนใจจากสื่อต่างๆ
อย่างไรก็ดีจากการวิเคราะห์ของทีมงาน Cyber Threat Intelligence(CTI) ของ Radware ถึงช่วงเวลาปฏิบัติการและภาษาที่ใช้มีความเป็นไปได้ที่ SN_BLACKMETA อาจจะเป็นกลุ่มรัสเซีย ตะวันออกกลาง หรือยุโรปตะวันออก แต่เมื่อเจาะลึกลงไปในหลายมิติพบว่า การเลือกเหยื่อ วิธีการ และ แรงจูงใจ มีความคล้ายคลึงกับกลุ่มคนร้าย Anonymous Sudan ในมุมของเป้าหมายมีความสอดคล้องกันถึง 70% และเมื่อต้นปีกลุ่ม Anonymous Sudan ก็ได้ประกาศเปิดบริการ DDoS for Hire ที่ขนานนามว่า InfraShutdown อีกด้วย ซึ่งอาจจะเป็นฐานหนึ่งของการโจมตีของ SN_BLACKMETA หากทั้งสองมีความเชื่อมโยงกันจริง
Radware กับการป้องกัน L7 DDoS ที่สูงสุดถึง 14.7 ล้าน RPS
Radware CTI ได้เผยถึงเหตุการณ์โจมตีครั้งใหญ่ที่เน้นคุณภาพการโจมตีผ่านทาง Layer 7 จาก SN_BLACKMETA ที่หาญกล้าประกาศล่วงหน้าก่อนโจมตีหลายวันก่อนลงมือต่อสถาบันการเงินแห่งหนึ่งในตะวันออกกลาง ซึ่งเป้าหมายต้องเจอกับการโจมตีหลายระลอกตลอด 6 วัน โดยมีช่วงเวลาการโจมตีกว่า 100 ชั่วโมง
ความน่าสนใจคือช่วงพีคของทราฟฟิคคือ 14,700,000 ล้าน Request ต่อวินาที ที่มีค่าเฉลี่ยทั้งหมดเป็น 4,500,000 ล้าน Request ต่อวินาที และอีกหนึ่งประเด็นสำคัญเลยคือหากนับรวมทราฟฟิคโดยภาพรวมแล้ว ทราฟฟิคอันตรายมีจำนวนทั้งหมด 1.25 ล้านล้านครั้ง ในขณะที่ทราฟฟิคดีมีแค่ 1.5 พันล้านครั้ง นั่นหมายถึงว่าทราฟฟิคอันตรายแทบจะกลบการใช้งานจริงชนิดที่ไม่เห็นฝุ่น
ความยากของการตั้งรับก็คือ L7 Request ย่อมกินทรัพยากรมากอยู่แล้ว ลองจินตนาการถึงเส้นทางของแพ็กเกจที่วิ่งระหว่างต้นทางกับปลายทาง ยิ่งขึ้นไปประมวลผลที่ Layer สูงก็ต้องใช้พลังมากกว่า หากเป็นการโจมตีที่ L4 ยังสามารถตัดไฟตั้งแต่ต้นลมได้ แต่พอปล่อยมาถึง L7 ก็ต้องเข้าใจเรื่อง HTTP โดยอาจจะเป็นการสุ่มเกี่ยวกับพารามิเตอร์ต่างๆ นั่นแปลว่านี่เป็นการหวังผลเชิงคุณภาพที่ไม่ต้องคุยกันใหญ่โตเกี่ยวกับปริมาณนัก แต่หวังผลเลิศได้จากความซับซ้อนที่เกิดขึ้น
อีกหนึ่งความท้าทายคือ แม้อัตราการโจมตีจะไม่ได้มีเน้นจำนวนเหมือน L4 แต่การโจมตีครั้งนี้ก็มากพอที่จะทำให้อัตราส่วนของทราฟฟิคปกติดูน้อยมากจนสังเกตยากเหลือเพียง 0.12% เมื่อเทียบกับทราฟฟิคที่โจมตี จุดสำคัญตรงนี้คือโซลูชันป้องกันต้องเก่งพอที่จะแยกแยะระหว่างคนดีกับคนร้าย หรือป้องกันได้โดยไม่บล็อกการใช้งานตามปกติตลอด 6 วัน ที่คนร้ายพยายามอย่างไม่ลดละ สิ่งเหล่านี้ได้แฝงไปด้วยเทคนิคและความซับซ้อนที่การใช้ Rate Limit เพียงอย่างเดียวไม่สามารถทำได้
คำแนะนำจาก Radware เพื่อรับมือ L7 DDoS ที่ซับซ้อน
จากข้อมูลข้างต้นจะเห็นได้ว่าความน่ากลัวของ L7 DDoS Attack ไม่ได้เน้นไปในเรื่องของปริมาณ แต่กลับมีความซับซ้อนและเมื่อมีปริมาณมากถึงจุดหนึ่งก็อาจทำให้การแยกแยะทราฟฟิคมีความท้าทายมากยิ่งขึ้น ตลอดจนความพยายามของคนร้ายที่ดำเนินอย่างต่อเนื่องเป็นเวลาหลายวัน ทำให้องค์กรประมาทไม่ได้
โดย Radware ได้แนะนำวิธีการรับมือ L7 DDoS Attack ว่าควรต้องมีทั้งในมุมของ โซลูชัน DDoS Protection และ Web Application Security ดังนี้
- ผู้ป้องกันควรมี Intelligence เกี่ยวกับกลุ่มคนร้ายที่มีความเคลื่อนไหว
- โซลูชันสามารถสร้าง Signature แบบเรียลไทม์ได้เพื่อต่อกรกับ Zero-days Attacks
- โซลูชันการป้องกัน DDoS มีทางเลือกหลากหลายทั้ง On-premise และ Cloud ที่สามารถยังยั้งการโจมตีแบบเรียลไทม์ รวมถึงสามารถป้องกันการโจมตีเชิงปริมาณได้
- สามารถแยกแยะความผิดปกติระหว่างทราฟิคดีและร้ายได้อย่างแม่นยำ มีอัตรา False Positive ต่ำ
- โซลูชันมี Policy ที่สามารถปรับตัวได้อัตโนมัติ
- มีความสามารถป้องกัน Bot, Dynamic IP, API และป้องกันได้ตาม OWASP Top 10
- โซลูชัน Web App Security มีทางเลือกทั้ง On-premise, Virtual และ Cloud ได้
ท่านใดสนใจโซลูชัน DDoS Protection, Bot Protection และ Web Application Protection หรือโซลูชันอื่นของ Radware สามารถติดต่อเพื่อขอข้อมูลเพิ่มเติมได้ที่
Radware Sale Manager
Atichart Wala (Paint)
โทร: 094-594-4639
อีเมล: atichartw@radware.com
