Охотники за онлайн-ресурсами. Часть 2: сложные веб-атаки и погоня за API

Всем привет! В предыдущем посте мы рассказали, как хакеры атаковали онлайн-ресурсы российских компаний в 2024 году – какие отрасли вызывали у хакеров наибольший интерес и какие методики актуальны сегодня. В этой, финальной части мы поделимся статистикой сложных веб-атак за прошедший год и покажем аналитику атак на API, а также такие веб-приложения российских организаций, как Confluence, Jira и OWA.

Сложные веб-атаки

В целом за 2024 год в общем объеме сложных атак высокого уровня лидирует «MalformedRequestLine», или некорректная строка запроса.

Распределение методов сложных веб-атак

Динамика TOP-10 сложных веб-атак по 2024 году также показывает концентрацию злоумышленников на таких методах, как DNS Rebinding (атака перепривязывания DNS), HTTP Verb Tampering (ошибка настройки контроля доступа для методов протокола HTTP) и Denial of Service (объемные запросы, которые за счет своего веса приводят к сбою работы веб-приложения).

Динамика развития ТОП-5 сложных веб-атак высокого уровня

Первая половина 2024 года характеризуется всплесками использования разных техник веб-атак. Например, в марте и апреле преобладал вектор HTTP Verb Tampering (ошибка настройки контроля доступа для методов протокола HTTP).

Во второй половине динамика стабилизировалась по всем типам веб-атак и лидирующим стал DNS Rebinding.  

При детальном взгляде популярность метода Malformed Request начала снижаться во втором полугодии 2024.

Доля веб-атак методом Malformed Request на отрасли

При этом, по нашим данным, этот метод стал использоваться при реализации атак на веб-ресурсы большего количества отраслей – в конце года его применяли при атаках на ресурсы энергетики, нефтегаза и сектора услуг.

Традиционно высокий уровень использования техники Malformed Request Line фиксируется в государственном секторе. Также заметен сильный всплеск использования атак типа Malformed Request Line в ИТ-отрасли в июне 2024 года.

Атаки на API, Confluence, Jira и OWA

Весь 2024 год отметился увеличением охвата веб-атаками онлайн-ресурсов организаций, в связи с чем ниже представлена аналитика по атакам на API, а также на веб-приложения Confluence, Jira и OWA.

Средняя доля событий ИБ, зафиксированных на API, OWA, Jira, Confluence в рамках аналитики 57 организаций-клиентов сервиса WAF в 2023 году составляла 3%. В 2024 году эта доля увеличилась на 4 п.п., до 7%.

При этом количество событий ИБ на все веб-приложения этой когорты год к году вырос в 1,5 раза – до 41,2 млн штук в 2024 году.

Таким образом, веб-атаки на API, и такие приложения, как OWA, Jira и Confluence опережают рост общего количества веб-атак на все веб-приложения анализируемых организаций. Это говорит о необходимости защиты с помощью WAF для всех приложений организаций, включая корпоративные ресурсы.

В частности, анализ группы из 18 API, стоявших под защитой сервиса WAF, в 2023 и 2024 годах показывает рост количества веб-атак на API – в четыре раза год к году — до 39 млн. Существенно отличились в 2024 году март и август, что может быть связано с общим ростом числа атак на отрасль ритейла. В остальные месяцы показатели держались примерно на уровне второй половины 2023 года – 2 млн в месяц.

Отдельно отметим, что мы видим постоянный рост атак на API в отдельных организациях из сферы телекома, почтовых сервисов и ритейла. Подобные успешные атаки могут нарушить работу мобильного приложения организации с интернет-продажами. Именно поэтому мы рекомендуем компаниям защищать API посредством WAF, чтобы обеспечить бесперебойную работу веб-приложений и тем самым повысить лояльность пользователей, формируя положительный клиентский опыт.

 Автор: Алексей Пашков, руководитель направления WAF ГК «Солар»