Relatório anual Qrator

Publicado em por

Problemas de Internet e Relatório de Disponibilidade 2018-2019R

Enquanto trabalhamos no relatório anual deste ano, decidimos evitar recontar as manchetes dos jornais do ano anterior e, embora seja quase impossível ignorar absolutamente as lembranças, queremos compartilhar com você o resultado de um pensamento claro e uma visão estratégica para o ponto onde todos nós vamos chegar no tempo mais próximo – o presente.

Deixando as palavras de introdução para trás, aqui estão nossas principais descobertas:

  • A duração média do ataque de DDoS caiu para 2,5 horas;
  • Durante 2018, a capacidade apareceu para ataques a centenas de gigabits por segundo dentro de um país ou região, levando-nos à beira da “teoria quântica da relatividade da largura de banda”;
  • A frequência de ataques DDoS continua a crescer;
  • O crescimento contínuo de ataques habilitados para HTTPS (SSL);
  • O PC está morto: a maior parte do tráfego legítimo hoje vem de smartphones, o que é um desafio para os atores de DDoS hoje e seria o próximo desafio para as empresas de mitigação de DDoS;
  • O BGP finalmente se tornou um vetor de ataque, 2 anos mais tarde do que esperávamos;
  • A manipulação do DNS se tornou o vetor de ataque mais prejudicial;
  • Outros novos vetores de amplificação são possíveis, como memcached e CoAP;
  • Não existem mais “indústrias seguras” que são invulneráveis ​​a ataques cibernéticos de qualquer tipo.

Neste artigo, tentamos selecionar todas as partes mais interessantes do nosso relatório, mas se você quiser ler a versão completa em inglês, o PDF estará disponível .

Retrospectivo

Em 2018, nossa empresa “comemorou” dois ataques recorde em sua rede. Os ataques de amplificação do Memcached, que descrevemos em detalhes no final de fevereiro de 2018, atingiram 500 Gbps no caso da plataforma de pagamento Qiwi, um cliente da Qrator Labs. Então, no final de outubro, recebemos um ataque de amplificação de DNS altamente concentrado em um de nossos clientes na Federação Russa.

A amplificação de DNS é um vetor de ataque de DDoS antigo e bem conhecido que é basicamente volumétrico e levanta dois problemas. No caso de um ataque de centenas de gigabits por segundo, há uma grande chance de sobrecarregar nosso canal de upstream. Como lutar contra isso? Obviamente, temos que espalhar essa carga entre muitos canais, o que leva à segunda questão – latência adicionada que resulta da alteração do fluxo de tráfego para nosso ponto de processamento. Felizmente, mitigamos com sucesso esse ataque específico com apenas balanceamento de carga.

É onde o balanceamento de carga flexível demonstra seu verdadeiro valor e, como o Qrator Labs gerencia uma rede BGP anycast, a Radar está modelando a disseminação do tráfego em toda a nossa rede após ajustarmos o balanceamento de carga. O BGP é um protocolo de vetor de distância e conhecemos esses estados porque o gráfico de distância permanece estático. Analisando essas distâncias e considerando LCPs e Equal-Cost Multipath, podemos estimar o AS_path do ponto A ao ponto B com alta confiança.

Isso não quer dizer que a amplificação seja a ameaça mais perigosa – não, os ataques da camada de aplicação permanecem os mais eficazes, ousados ​​e invisíveis, já que a maioria deles é de baixa largura de banda.

Este é o principal motivo pelo qual o Qrator Labs atualiza as conexões com os operadores com base nos pontos de presença, enquanto amplia as áreas de presença também. Esse é um passo natural para qualquer operadora de rede atualmente, supondo que seu número esteja crescendo. No entanto, do ponto de vista dos atacantes, acreditamos que é comum coletar um botnet medíocre e só depois concentrar-se em procurar o maior número de amplificadores disponíveis para atacar de todas as armas possíveis, com a maior taxa de recarga possível. Ataques híbridos estão aqui, crescendo em largura de banda, taxa de pacotes e frequência.

Botnets evoluíram significativamente em 2018 e seus mestres encontraram um novo trabalho para eles – clique em fraude. Com o surgimento dos mecanismos de aprendizado de máquina e de navegador sem cabeçote, a fraude de cliques tornou-se muito mais fácil de realizar do que apenas alguns anos atrás.

Um website médio de hoje recebe cerca de 50% a 65% de seu tráfego de dispositivos móveis, navegadores de smartphones e aplicativos. Para alguns serviços da Web, esse número está próximo de 90% ou 100%, enquanto hoje em dia um site exclusivo para desktop é uma coisa rara sendo encontrada principalmente em ambientes corporativos ou em alguns casos limítrofes.

O PC está basicamente morto em 2019, o que renderiza algumas das abordagens usadas para ser puro, como o rastreamento de movimento do mouse, totalmente inútil para rastreamento e filtragem de bots. Na verdade, não apenas o PC (com todos os laptops brilhantes e as máquinas de desktop all-in-one) raramente é uma fonte de grande compartilhamento de tráfego com determinados sites, mas está se tornando cada vez mais um infrator. Às vezes, apenas negar o acesso a qualquer coisa que não seja um navegador de smartphone adequado é suficiente para mitigar um ataque de botnets causando, ao mesmo tempo, um impacto negativo nulo nos principais indicadores de desempenho de negócios.

Os autores de botnets são usados ​​para implementar ou imitar o comportamento de navegadores de desktop em seus códigos maliciosos, assim como os donos de sites costumam acreditar que os navegadores de PC realmente importam. Este último mudou recentemente, então dentro de alguns anos, também deve ocorrer uma mudança no primeiro.

Já afirmamos que nada mudou significativamente durante 2018, mas a mudança e o progresso mantiveram um ritmo estável. Um dos exemplos mais significativos é o Aprendizado de Máquina, em que as melhorias foram especialmente evidentes, particularmente na área de Redes Adversariais Geradoras. Lentamente, mas com firmeza, o ML está atingindo o mercado de massa. O mundo da aprendizagem de máquinas tornou-se mais acessível e, até o final do ano, não está mais restrito a acadêmicos.

Esperávamos ver os primeiros ataques DDoS baseados em ML (ou de outra forma relacionados) no início de 2019, mas isso ainda não aconteceu. Esperamos que tal desenvolvimento ocorra por causa do baixo custo dos dados gerados por ML agora, mas aparentemente não é baixo o suficiente.

Se você pensar no estado atual da indústria “humana automatizada”, colocar a neuro-rede em cima disso não é uma má ideia. Tal rede aprenderia o comportamento humano real no contexto do gerenciamento do conteúdo das páginas da web. Isso é algo que todo mundo chamaria de “experiência do usuário de IA” e, é claro, essa rede equipada com um mecanismo de navegador poderia produzir um arsenal muito interessante para ambos os lados, ataque e defesa.

Claro, ensinar a rede é caro, mas distribuir e terceirizar esse sistema pode ser muito acessível e, possivelmente, gratuito, especialmente se malwares, aplicativos hackeados e assim por diante forem considerados. Potencialmente, tal mudança poderia afetar toda a indústria, da mesma forma que as GAN transformaram o que pensamos em “realidade visual” e “confiabilidade”.

Como essa é também uma corrida entre os mecanismos de pesquisa com o Google em primeiro lugar e todos os outros que tentam fazer engenharia reversa dos algoritmos, ela pode chegar a uma situação em que um bot não imitaria um ser humano aleatório, mas uma pessoa específica sentado atrás de um computador vulnerável selecionado. Versões de Captcha e Recaptcha podem servir como exemplos de como os invasores aprimoram suas ferramentas e técnicas de ataque.

Depois do memcached, havia muita conversa sobre a possibilidade de uma nova classe de arma de ataque DDoS – uma vulnerabilidade, bot, serviço comprometido, algo que poderia eternamente enviar dados específicos para um endereço específico escolhido pelo atacante.Um comando do invasor poderia liberar um fluxo contínuo perpétuo de tráfego, como syslog ou uma inundação maciça. Isso é apenas uma teoria. Não podemos dizer se tais servidores, ou dispositivos, realmente existem, mas se existirem, seria um eufemismo dizer que eles poderiam representar uma arma extremamente perigosa nas mãos erradas.

Em 2018, também observamos um aumento no interesse pela governança da Internet e serviços associados de todos os tipos de governos e organizações sem fins lucrativos em todo o mundo. Vemos isso como um desenvolvimento neutro até o ponto em que as liberdades fundamentais podem ser suprimidas, o que esperamos que não aconteça, especialmente nas nações desenvolvidas.

Após anos coletando e analisando o tráfego de ataque globalmente, o Qrator Labs está implementando o primeiro bloco de solicitações.Os modelos que usamos para prever comportamentos maliciosos nos permitem determinar com grande confiança se um usuário é legítimo ou não. Nós aderimos à nossa filosofia central de experiência de usuário ininterrupta, sem desafios ou captchas de JavaScript e, em 2019, esperamos conseguir a capacidade de bloquear a primeira solicitação maliciosa de violar nossas defesas.

Mellanox

Escolhemos os switches 100G Mellanox como resultado de nossos testes internos nos anos anteriores. Ainda selecionamos equipamentos que atendam às nossas necessidades em situações específicas. Em primeiro lugar, os switches não devem descartar nenhum pacote pequeno enquanto estiverem trabalhando na taxa de linha – não pode haver degradação alguma. Em segundo lugar, nós gostamos do preço. No entanto, isso não é tudo. O custo é sempre justificado pela maneira como o fornecedor reage às suas especificações.

Os switches Mellanox funcionam no Switchdev, transformando suas portas em interfaces Linux comuns. Sendo uma parte do kernel principal do Linux, o Switchdev é descrito na documentação como “um modelo de driver no kernel para dispositivos de comutação que descarregam o plano de dados de encaminhamento do kernel”. Essa abordagem é muito conveniente, pois todas as ferramentas que utilizamos estão disponíveis em uma API, o que é extremamente natural para todos os programadores modernos, desenvolvedores e engenheiros de rede. Qualquer programa que use a API de rede padrão do Linux pode ser executado no switch. Todas as ferramentas de monitoramento e controle de rede construídas para servidores Linux, incluindo as caseiras, estão disponíveis. Por exemplo, implementar mudanças na tabela de rotas é muito mais confortável em comparação com o que foi feito antes do Switchdev. Até o nível do chip de rede, todo o código é visível e transparente, possibilitando aprender e fazer modificações, até o momento específico em que você precisa saber exatamente como o chip é construído, ou pelo menos a interface externa.

Um dispositivo Mellanox sob controle Switchdev é a combinação que achamos mais adequada às nossas necessidades, já que a empresa fornece suporte completo para o já robusto sistema operacional de código aberto pronto para uso.

Ao testar o equipamento antes de executá-lo na produção, descobrimos que algum tráfego encaminhado foi descartado. Nossa investigação mostrou que foi causada pelo tráfego em uma interface foi encaminhado através do processador de controle, que naturalmente não poderia lidar com grandes volumes dele. Não sabíamos a causa exata de tal comportamento, mas supúnhamos que isso estava ligado à manipulação de redirecionamentos de ICMP. A Mellanox confirmou a causa do problema e pedimos que fizessem algo sobre isso. Mellanox reagiu rapidamente, fornecendo-nos uma solução de trabalho a curto prazo.

Ótimo trabalho, Mellanox!

Protocolos e código aberto

DNS-over-HTTPS é uma tecnologia mais complexa que o DNS-over-TLS. Nós vemos o primeiro florescendo e o segundo sendo lentamente esquecido. É um exemplo claro em que “mais complexo” significa “mais eficiente”, já que o tráfego DoH é indistinguível de qualquer outro HTTPS. Nós já vimos isso com a integração de dados RPKI, quando foi inicialmente posicionada como uma solução anti-seqüestro e não acabou bem, mas depois reapareceu como uma arma poderosa contra erros como vazamentos estáticos e configurações incorretas de roteamento. Ruído transformado em sinal e agora o RPKI é suportado nos maiores IX’s, o que é uma ótima notícia.

O TLS 1.3 chegou. O Qrator Labs, assim como o setor de TI em geral, acompanharam de perto o processo de desenvolvimento desde o rascunho inicial até todas as etapas do IETF para se tornar um protocolo compreensível e gerenciável que estamos prontos para suportar em 2019. O suporte já é evidente no mercado. queremos manter o ritmo na implementação desse protocolo de segurança robusto e comprovado. Não sabemos como os produtores de hardware de mitigação de DDoS se adaptarão às realidades do TLS 1.3, mas, devido à complexidade técnica do suporte ao protocolo, isso pode levar algum tempo.

Estamos seguindo também o HTTP / 2. Por enquanto, o Qrator Labs não suporta a versão mais recente do protocolo HTTP, devido à base de código existente em torno deste protocolo. Bugs e vulnerabilidades ainda são encontrados com bastante frequência no novo código; Como um provedor de serviços de segurança, ainda não estamos prontos para oferecer suporte a esse protocolo sob o SLA que concordamos com nossos consumidores.

A verdadeira questão de 2018 para o Qrator Labs era: “Por que as pessoas querem muito o HTTP / 2? E foi assunto de um debate acalorado ao longo do ano. As pessoas ainda tendem a pensar no dígito “2” como a versão “mais rápida, mais forte, melhor”, o que não é necessariamente o caso em todos os aspectos daquele protocolo em particular. No entanto, o DoH recomenda HTTP / 2 e é aí que ambos os protocolos podem ter muito impulso.

Uma preocupação com o desenvolvimento dos pacotes e dos recursos de protocolo da próxima geração é que ela geralmente depende muito da pesquisa acadêmica, e o estado do setor de mitigação de DDoS é muito ruim. A seção 4.4 do esboço da IETF, “QUIC gerenciabilidade” , que faz parte do futuro conjunto de protocolos QUIC, pode ser vista como um exemplo perfeito: afirma que “as práticasatuais de detecção e mitigação de [ataques DDoS] geralmente envolvem medição usando dados de fluxo de rede ”, sendo este último, muito raramente, um caso em ambientes corporativos da vida real (e apenas parcialmente para configurações ISP) – e de qualquer maneira dificilmente um“ caso geral ” na prática – mas definitivamente um caso geral documentos de pesquisa acadêmica que, na maioria das vezes, não são apoiados por implementações adequadas e testes do mundo real contra toda a gama de possíveis ataques DDoS, incluindo os de camada de aplicativos (que, devido ao progresso na implantação mundial de TLS, obviamente nunca ser manipulado com qualquer tipo de medição passiva). Definir a tendência de pesquisa acadêmica adequada é outro desafio para as operadoras de mitigação de DDoS em 2019.

A Switchdev atendeu plenamente às expectativas que expressamos um ano atrás. Esperamos que o trabalho contínuo em tornar o Switchdev ainda melhor se fortaleça nos próximos anos, já que a comunidade é forte e crescente.

O Qrator Labs está seguindo com a ativação do Linux XDP para ajudar a aumentar ainda mais a eficiência do processamento de pacotes. O descarregamento de alguns padrões de filtragem de tráfego mal-intencionado da CPU para a NIC, e até mesmo para o switch de rede, parece bastante promissor, e esperamos continuar nossa pesquisa e desenvolvimento nessa área.

Mergulho profundo com bots

Muitas empresas buscam proteção de bots, e não é surpresa que vimos grupos trabalhando em diferentes áreas desse campo em 2018. O que achamos interessante é que uma grande parte dessas empresas nunca experimentou um ataque DDoS direcionado, pelo menos uma negação típica de tentativa de serviço para drenar recursos finitos como largura de banda ou capacidade de CPU. Eles se sentem ameaçados pelos bots, mas não conseguem distingui-los dos usuários reais ou determinar o que estão realmente fazendo. Eles só sabem que querem se livrar dos bots percebidos.

Os problemas com bots e scrapers também têm um importante componente econômico. Se 30% do tráfego for ilegítimo e originado na máquina, 30% dos custos de suporte a esse tráfego serão desperdiçados. Hoje, isso pode ser visto como um imposto adicional inevitável nas empresas da Internet. É difícil diminuir o número exatamente para zero, mas os proprietários de empresas preferem ver o número o mais baixo possível.

A identificação torna-se um problema significativo na internet atual, já que os melhores bots não precisam mais imitar os seres humanos – eles ocupam o mesmo espaço, como os parasitas. Temos repetido há algum tempo que qualquer informação disponível publicamente, sem autorização ou autenticação, é e terminaria como propriedade comum – ninguém poderia impedir isso.

Em 2018, nos concentramos em questões de gerenciamento de identidade e bot. No entanto, o escopo mais amplo aqui é diferente;Vivemos em uma época em que não existe uma maneira exata de saber a razão pela qual um cliente solicita a resposta do servidor. Você leu corretamente: em última análise, toda empresa quer que um cliente compre alguma coisa, essa é a razão da existência e da meta, portanto, algumas empresas querem olhar mais fundo em quem solicita o quê do servidor – se houver uma pessoa real por trás.

Não é de admirar que os donos de empresas muitas vezes aprendam com os técnicos que uma parte significativa do tráfego do site é originada por bots, não por clientes.

Os seres humanos automatizados que mencionamos anteriormente também poderiam ter como alvo algum recurso de rede específico com um complemento do navegador instalado – e acreditamos que a maioria dessas extensões é instalada propositadamente, para perseguir um objetivo específico, conhecido apenas pelos criadores dessas redes. Clique em fraude, manipulação de anúncios, análise – tais tarefas são eficientemente realizadas com a ajuda de seres humanos reais no ponto em que a automação falha. Imagine como a situação mudaria se o aprendizado de máquina fosse aplicado ao link correto na cadeia.

Analisadores e raspadores, que fazem parte do problema mais amplo do bot, se tornaram uma questão em que mergulhamos em 2018, primeiro graças aos nossos clientes, que nos abordaram com suas experiências e deram a opção de investigar mais o que estava acontecendo com seus recursos. Esses bots podem nem se registrar em métricas típicas, como a largura de banda ou a carga da CPU do servidor. No momento, estamos testando várias abordagens, mas, no final, fica claro o que os clientes precisam – para bloquear esses intrusos no primeiro pedido.

Durante a epidemia de raspagem que vimos na Rússia e no CIS, ficou claro que os bots envolvidos são capazes de criptografia. Uma solicitação por minuto é uma taxa que poderia facilmente passar despercebida sem a análise do tráfego de entrada. Em nossa humilde opinião, o cliente deve decidir o próximo passo depois de obter nossa análise e marcação. Seja para bloqueá-los, deixá-los passar ou falsificá-los (não os enganar) – não cabe a nós decidirmos.

No entanto, existem certos problemas com automações puras, ou “bots”, como estamos acostumados a chamá-los. Se você tem certeza de que o bot malicioso gerou uma solicitação específica, a primeira coisa que a maioria decide é bloqueá-lo, não enviando nenhuma resposta do servidor. Chegamos à conclusão de que isso é insensato, porque tais ações apenas dão mais retorno à automação, permitindo que ela se adapte e encontre uma solução alternativa. A menos que os bots estejam tentando um ataque de negação de serviço, recomendamos não bloquear imediatamente tais automações, já que o resultado de tais jogos de gato e rato não poderia ser mais do que um grande desperdício de tempo e esforço.

Essa é a principal razão pela qual o Qrator Labs escolhe marcar o tráfego suspeito e / ou malicioso e deixar a decisão sobre as próximas etapas para o proprietário do recurso, levando em consideração sua audiência, serviço e metas de negócios. Um desses exemplos é a extensão do navegador de bloqueio de anúncios. A maioria dos anúncios são scripts e, ao bloquear scripts, você não está necessariamente bloqueando anúncios e pode bloquear outra coisa, como um desafio de javascript. É fácil imaginar como isso pode aumentar, resultando em perda de receita para um grande grupo de empresas de internet.

Quando os invasores são bloqueados e recebem o feedback de que precisam, eles podem se adaptar rapidamente, aprender e atacar novamente. As tecnologias do Qrator Labs são construídas sobre a filosofia simples de que a automação não pode receber nenhum feedback que possa usar: você não deve bloqueá-las nem passá-las, apenas marque-as. Depois de tais marcas serem feitas, você deve considerar seu objetivo real – o que elas querem? Por que eles estão visitando esse recurso específico ou página da web? Talvez você possa alterar um pouco o conteúdo da página de uma maneira que nenhum humano sentiria a diferença, mas a realidade do bot ficaria de cabeça para baixo? Se eles forem analisadores, eles poderão obter informações de análise enganosas na forma de dados incorretos.

Ao discutir esses problemas ao longo de 2018, rotulamos esses ataques como o ataque direto às métricas de negócios. Seu website e seus servidores podem parecer bem, sem queixas dos usuários, mas você acha que algo está mudando … como o preço de CPA de um anúncio que você tira de alguma plataforma programática lentamente, mas direcionando os anunciantes para outro lugar.

Matar o incentivo dos atacantes é a única maneira de neutralizar isso. Tentar parar os bots resulta apenas em tempo e dinheiro desperdiçados. Se eles clicarem em algo do qual você se beneficia, torne esses cliques ineficientes; se eles analisarem você, forneça informações não confiáveis ​​que eles não distinguirão de dados legítimos e confiáveis.

Clickhouse

Em geral, o serviço de filtragem do Qrator Labs envolve dois estágios: primeiro, avaliamos imediatamente se uma solicitação é maliciosa com a ajuda de verificações sem estado e com monitoração de estado e, segundo, decidimos se manteremos ou não a fonte na lista negra e por quanto tempo. A lista negra resultante pode ser representada como a lista de endereços IP exclusivos.

Na primeira etapa desse processo, alistamos técnicas de aprendizado de máquina para entender melhor o fluxo natural de tráfego para um determinado recurso, já que parametrizamos o serviço para cada cliente individualmente com base nos dados que coletamos.

É aí que entra o Clickhouse. Para entender precisamente por que um endereço IP foi proibido de se comunicar com um recurso, temos que seguir o modelo de aprendizado de máquina para o Clickhouse DB. Ele trabalha muito rápido com grandes blocos de dados (considere um ataque DDoS de 500 Gbps, continuando por algumas horas entre as pausas) e os armazena de uma maneira que é naturalmente compatível com as estruturas de aprendizado de máquina que usamos no Qrator Labs. Mais registros e mais tráfego de ataque resultam em resultados melhores e mais robustos de nossos modelos para uso no aprimoramento do serviço em tempo real, sob os ataques mais perigosos.

Usamos o banco de dados Clickhouse para armazenar todos os registros de tráfego de ataque (ilegítimo) e padrões de comportamento de bots. Implementamos essa solução específica porque ela prometia uma capacidade impressionante de processamento de conjuntos de dados massivos em um estilo de banco de dados, rapidamente. Usamos esses dados para análise e para construir os padrões que usamos na filtragem de DDoS e para aplicar o aprendizado de máquina para melhorar os algoritmos de filtragem.

Uma vantagem significativa do Clickhouse, em comparação com outros bancos de dados, é que ele não lê toda a cadeia de dados – pode levar apenas o segmento necessário, muito menor, se você estiver armazenando tudo de acordo com as diretrizes.

Conclusão

Por algum tempo, temos vivido com ataques multifatores que exploram vários protocolos de ataque para tornar um alvo indisponível.

A higiene digital e as medidas de segurança atualizadas devem e na verdade podem cobrir 99% dos riscos reais que uma entidade individual provavelmente encontrará, exceto para casos extremos ou propositalmente direcionados, e impedir que um serviço de Internet “comum” enfrente problemas.

Por outro lado, os ataques DDoS são capazes de cortar a conexão à Internet de qualquer país do mundo, embora apenas alguns possam ser efetivamente direcionados externamente. Esse não é o caso no BGP, onde é possível apenas desligar um número de pontos em qualquer mapa que você gostaria de desenhar.

O conhecimento da segurança da rede continua a crescer, o que é excelente. No entanto, uma vez que você olha para os números ligados a amplificadores em redes ou opções para enganar outra pessoa – eles não estão indo para baixo! Isso ocorre porque, a cada ano, a quantidade de tempo que os alunos passam na escola de segurança na Internet, ou seja, as pessoas começando a se importar com a maneira como escrevem código e criam seus aplicativos, não corresponde à quantidade de tempo necessária para garantir permitir que alguém use esses recursos para organizar um ataque DDoS bem-sucedido ou pior.

Uma das descobertas mais significativas de 2018 foi que a maioria das pessoas ainda espera substancialmente mais da tecnologia do que a que pode ser fornecida atualmente. Nem sempre foi esse o caso, mas no momento vemos uma forte tendência a pedir demais, independentemente dos recursos de software ou hardware. As pessoas continuam esperando mais, o que provavelmente não mudará por causa das promessas feitas em campanhas de marketing. No entanto, as pessoas estão comprando essas promessas, e as empresas sentem que devem trabalhar para cumpri-las.

Talvez seja a natureza do progresso e da evolução. Hoje em dia, as pessoas se sentem frustradas e desapontadas por não terem o que são “garantidas” e pelo que pagaram. Então, é aí que os problemas atuais se originam, onde não podemos “comprar” completamente um dispositivo e todos os seus softwares que farão o que queremos, ou onde os serviços “gratuitos” têm um preço alto em termos de dados pessoais. .

O consumismo nos diz que queremos algo, e devemos pagar por isso com nossas vidas. Precisamos dos tipos de produtos ou serviços que se atualizam para nos vender melhores ofertas no futuro, com base nos dados que nos reuniram de maneiras que talvez não gostem? Poderíamos antecipar que, em 2019, após os casos da Equifax e Cambridge Analytica, poderemos ver uma explosão final de aquisição e abuso de dados pessoais.

Após dez anos, não mudamos nossas crenças básicas sobre a arquitetura da rede interconectada. Essa é a razão pela qual continuamos a apoiar os princípios mais fundamentais da rede de filtragem do Qrator Labs – BGP-anycast, a capacidade de processar tráfego criptografado, evitar captchas e outros obstáculos, mais visibilidade para usuários legítimos em comparação com bots de ataque.

Olhando para o que continua a acontecer com especialistas em cibersegurança e empresas no campo, queremos enfatizar outra questão: quando se trata de segurança, nenhuma abordagem ingênua, simples ou rápida é aplicável.

Esse é o principal motivo pelo qual o Qrator Labs não possui centenas ou até dezenas de pontos de presença, em comparação com os CDNs. Mantendo um número menor de centros de depuração, todos conectados aos ISPs da classe Tier-1, conseguimos uma verdadeira descentralização do tráfego. Essa é também a razão pela qual não tentamos construir firewalls, que são totalmente diferentes do que o Qrator Labs faz – conectividade.

Nós temos contado histórias sobre captchas e testes e verificações de javascript por algum tempo e aqui estamos nós – as redes neurais estão ficando extremamente úteis na solução do primeiro, e o último nunca foi um problema para o invasor habilidoso e persistente.

Este ano também sentimos uma mudança bastante empolgante: durante anos, o DDoS era um problema para apenas um número limitado de áreas de negócios, geralmente aquelas onde o dinheiro está acima do nível da água: comércio eletrônico, negociação / estoques, sistemas bancários / de pagamento. No entanto, com o crescimento contínuo da Internet, observamos que ataques DDoS agora estão sendo aplicados a todos os outros serviços de Internet disponíveis. A era do DDoS começou com o aumento da largura de banda e o número de computadores pessoais em uso em todo o mundo; Não é surpresa que, em 2018, com microchips de silício em todos os dispositivos ao nosso redor, o cenário de ataques esteja evoluindo tão rapidamente.

Se alguém espera que essa tendência mude, provavelmente está enganado. Assim como nós, talvez, também somos. Ninguém pode dizer como a Internet realmente evoluirá e espalhará seu impacto e poder nos próximos anos, mas, de acordo com o que vimos em 2018 e continuamos a observar em 2019, tudo vai se multiplicar. Até 2020, o número de dispositivos conectados na Internet deverá ultrapassar 30 bilhões, além do fato de que já passamos do ponto em que a humanidade gerou mais tráfego do que a automação que criou. Então, em breve, teremos que decidir como administrar toda essa “inteligência”, artificial ou não, já que ainda estamos vivendo no mundo onde apenas um ser humano pode ser responsável por algo estar certo, bem como errado.

2018 foi um ano de oportunidades para aqueles do lado negro. Vemos o crescimento em ataques e hacks em termos de complexidade, volume e frequência. Crooks obteve algumas ferramentas poderosas e aprendeu a usá-las. Os mocinhos fizeram pouco mais do que apenas observar esses desenvolvimentos. Esperamos ver essa mudança este ano, pelo menos nas questões mais dolorosas.