Всем привет! В 2024 году веб-атаки оставались одной из главных угроз для онлайн-ресурсов российских организаций. И под ударом находились уже не только основные сайты организаций. В этой серии постов мы расскажем, как изменилось число веб-атак на сайты отечественного бизнеса за последний год, какие ресурсы являются главной целью хакеров и какие методики актуальны сегодня.
Для отчета мы проанализировали информацию о веб-атаках на 132 российские организации, отраженных сервисом WAF ГК «Солар» с января по декабрь 2024 года. Среди атакуемых компаний - госсектор, ИТ, почтовые сервисы, ритейл, банки, промышленность, телеком и другие.
Количество и интенсивность веб-атак
С января по декабрь 2024 года сервис WAF зафиксировал 1,8 млрд событий ИБ – это в 2,4 раза больше, чем за аналогичный период прошлого года. А крупнейшая L7-атака, отраженная сервисом в 2024 году, составила 1,5 млн RPS – это в 5 раз больше показателей 2023 года.
Максимальное количество веб-атак на один интернет-сайт в течение 2024 года держалось на уровне 3,4 млн штук в месяц, что соответствует минимальным показателям 2023 года. Таким образом, злоумышленники перестали тратить максимум своих ресурсов только на один основной сайт организации.
При анализе интернет-сайтов видно, что в 2024 году произошел существенный рост среднего количества веб-атак в разрезе одного домена – от 15 до 65 млн событий ИБ в месяц, или в четыре раза. Такая статистика говорит о том, что хакеры совершают веб-атаки и на основные сайты компаний, и на другие ресурсы, имеющие принадлежность к той или иной организаций. Это создает необходимость ставить под защиту все веб-ресурсы организаций, включая корпоративные, тестовые и т.д.
Средний временной интервал между веб-атаками на один сайт в 2024 году держался на уровне второй половины 2023 года (159 секунд), иными словами – злоумышленники не увеличивали интенсивность атак на отдельно взятые интернет-ресурсы.
Однако фиксируется снижение временного среднего интервала между событиями ИБ на один домен почти в три раза – до 3,6 секунд в среднем в 2024 году. Это является еще одним подтверждением того, что злоумышленники стали чаще атаковать различные сайты российских компаний.
Порты и методы веб-атак
2024 год отметился существенным снижением веб-атак на 80-й порт (HTTP) с 13% в первом полугодии 2024 года до 1% во втором полугодии и соответствующим ростом на 443-й порт (HTTPS). Это связано с миграцией интернет-ресурсов с протокола HTTP на HTTPS с поддержкой шифрования данных.
Что касается методов запроса, то половина года – с апреля по сентябрь – была стабильна, 44% запросов приходились на метод GET (используется для получения данных от веб-сервера, чтобы, например, показать страницу сайта), и 40% - на POST (отправка данных на сайт, в том числе вредоносных, например – SQL-инъекций). Заметное изменение произошло в декабре 2024 года, когда доля GET-запросов достигла рекордной за последние два года величины 72%, однако ситуация в любой момент может измениться в обратную сторону.
Приоритет и виды веб-атак
В 2024 году фиксируется незначительное снижение событий ИБ высокого приоритета, от успешной реализации которых ожидается наибольший ущерб. Вместе с этим заметен существенный рост событий ИБ среднего приоритета, линия тренда которых совпадает с линией тренда роста доли сканеров.
Снижение событий ИБ низкого приоритета в общем объеме на 17 п.п., до 30% в 2024 году показывает рост потенциального ущерба для веб-приложений и значимость качественной защиты на основе WAF.
Динамика двух лет показала незначительное снижение активности ботов (примерно на 1 п.п. в месяц) до 13% в 2024 году. Активность ботов определяется WAF автоматически по признаку использования браузером. Злоумышленники расширяют практику применения ботов, которые работают с браузерами или имитируют работу браузеров, что следует из ландшафта, где растет общее количество автоматизированных атак, но не увеличивается динамика по показателю “Боты”, который отражает масштаб использования без браузерных ботов.
Также фиксируется снижение доли с 14% до 6% среднемесячного количества ИБ-событий, которые блокируются по черным спискам IP. Формирование списков автоматизировано, занесение IP-адресов в них происходит на основе составных событий и правил, разработанных с применением экспертизы и опыта команды Solar MSS. Это связано с усложнением методик ведения атак, в том числе с применением зараженных устройств в сетях домашнего интернета, которые не представляется возможным блокировать по IP.
Помимо этого, за год снизилась доля сложных атак до 30%, на 16 п.п. год к году. При этом во второй половине 2024 года произошла некоторая стабилизация данной динамики на уровне порядка 20% в месяц. Наиболее вероятно, что это связано с сильным ростом сканирований и, соответственно, перераспределением долей разных видов событий ИБ в общей статистике. Под сложными атаками высокого уровня понимаются SQL-инъекции, LFI, RCE и другие веб-атаки, которые могут нанести существенный ущерб работе веб-приложений. Для их детектирования и блокировки используются как коробочные правила, так и кастомные, настроенные с учетом особенностей работы веб-приложений.
Главным трендом 2024 года стал существенный рост доли ИБ-событий, связанных со сканированием веб-приложений. Такие события могут говорить о поиске хакерами уязвимостей для того, чтобы впоследствии осуществить такие веб-атаки, как инъекции. Также к сканерам относятся события ИБ, когда WAF автоматически определяет, что пользователь ведет себя как бот. Средняя доля сканеров в сравнении с 2023 годом выросла в два раза, до 51%, т.е. в два раза. При этом в декабре 2024 года доля выросла до рекордных 77%.
Отдельно стоит отметить рост числа сканирований сайтов в ритейле за ноябрь-декабрь 2024 года и новогодние праздники 2025 года в сравнении с аналогичным периодом прошлого года.
Если в 2023 году значительное увеличение числа сканирований наблюдалось только в середине ноября – до 25 тысяч в час в пиковой фазе, то в 2024 году практически весь ноябрь и декабрь сопровождался резкими всплесками таких ИБ-событий – максимум до 70 тысяч в час.
При этом почти до конца декабря продолжительность сканирований не превышала одного часа раз в 5-7 дней. Затем хакеры резко изменили тактику – с 25 декабря фиксируются ежедневные атаки длительностью от двух до восьми часов в сутки. Такая тенденция сохранялась вплоть до окончания новогодних праздников в 2025 году. Это говорит о том, что злоумышленникам удалось наладить методики автоматизированных атак с помощью роботизированных сканеров на интернет-магазины, а с конца декабря они поставили их на постоянный поток, что чревато приостановкой работы ресурсов и утечкой данных.
Отрасли
Самыми атакуемыми отраслями в 2024 году оказались: почтовые сервисы, грузопассажирские перевозки и ритейл. При этом анализ показал снижение количества атак на сектор грузопассажирских перевозок в сравнении с 2023 годом и кратный рост веб-атак на почтовые сервисы и ритейл. Отдельно отметим, что это сектора, где большинство клиентов – физлица (B2C-бизнес). Злоумышленники атакуют такие отрасли с целью негативно повлиять на пользовательский опыт и лишить бизнес прибыли.
Отрасль | Веб-атаки на одну организацию (2023) | Веб-атаки на одну организацию (2024) |
Почтовые сервисы | 2,3 млн | 7,5 млн |
Ритейл | 1,6 млн | 3,9 млн |
Государственный сектор | 0,6 млн | 2 млн |
Грузопассажирские перевозки | 2,4 млн | 1,8 млн |
Промышленность | 0,5 млн | 0,4 млн |
Отдельно отметим, что число веб-атак на интернет-магазины увеличилось в 2,5 раза в сравнении с аналогичным периодом прошлого года, с 1,6 млн до почти 3,9 млн событий ИБ. При этом больше всего веб-атак было не в ноябре, в период «Черной пятницы», а в преддверии 8 марта. Отдельно отметим, что количество атак на одну организацию в данной отрасли в марте в 2,8 раза выше среднегодового показателя за весь 2024 год.
Госсектор также по-прежнему остается в фокусе внимания хакеров. Недоступность госресурсов приводит к тому, что граждане не смогут получить важную информацию или государственную услугу, что также оказывает негативное влияние на жизни граждан.
Выводы
1. Число веб-атак в 2024 году на сайты российских компаний увеличилось более чем в два раза в сравнении с 2023 годом.
2. Хакеры стали атаковать не только основные страницы-витрины компаний, но и другие порталы – например, корпоративные ресурсы и веб-приложения. Это означает, что все они нуждаются в круглосуточной защите.
3. В два раза выросло количество среднее количество сканирований – злоумышленники стали чаще искать уязвимости на сайтах компаний.
4. Почтовые сервисы, ритейл и госсектор возглавили топ наиболее атакуемых отраслей, это связано с желанием хакеров оказать максимально негативное влияние на бизнес и жизнь граждан, которые часто пользуются услугами организаций из данных секторов.
5. Более чем в два раза год к году выросло число веб-атак на интернет-магазины – почти до 4 млн за 2024 год. При этом больше всего веб-атак было не в ноябре, в период «Черной пятницы», а в преддверии 8 марта.
Автор: Алексей Пашков, руководитель направления WAF ГК "Солар"
