Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.
В рамках программ Cloudflare Impact мы предоставляем продукты для кибербезопасности, помогающие защитить доступ к официальной информации о голосовании и обеспечить безопасность конфиденциальных данных избирателей. Двумя основными программами в этой области являются Athenian Project, посвященный защите государственных и местных органов власти, которые проводят выборы, и Cloudflare for Campaigns, проект с набором продуктов Cloudflare для защиты веб-сайтов политических кампаний и государственных партий, а также внутренних команд.
Однако недели перед выборами и сам день выборов не были полностью лишены нападок. Используя данные Cloudflare Radar, которые демонстрируют глобальный интернет-трафик, атаки и технологические тренды и идеи, мы можем изучить модели трафика, типы атак и основные источники атак, связанные как с участниками Athenian Project, так и с Cloudflare for Campaigns.
Для обеих программ общий объем трафика неудивительно увеличился по мере приближения дня выборов. Атаки SQL Injection (SQLi) и HTTP Anomaly были двумя крупнейшими категориями атак, которые были смягчены брандмауэром веб-приложений Cloudflare (WAF), а Соединенные Штаты были крупнейшим источником наблюдаемых атак — подробнее об этом последнем пункте см. ниже.
Ниже мы рассмотрим тенденции, наблюдаемые в обеих группах клиентов с 1 октября 2022 года до дня выборов 8 ноября.
Афинский проект
В течение октября ежедневные пиковые объемы трафика фактически удвоились в течение месяца, при этом отчетливо просматривалась структура будних и выходных дней. Тем не менее, значительный рост трафика наблюдается в понедельник, 7 ноября, и вторник, 8 ноября (день выборов), при этом пик понедельника чуть меньше пика октября в 2 раза, а во вторник было два пика, один чуть менее чем в 4 раза выше, чем пик октября, а другой был чуть более чем в 4 раза выше. При увеличении масштаба первый пик приходится на 13:00 UTC (08:00 по восточному времени, 05:00 по тихоокеанскому времени), а второй — на 04:00 UTC (23:00 по восточному времени, 2000 по тихоокеанскому времени). Первый, похоже, совпадает с открытием избирательных участков на восточном побережье, а второй, похоже, совпадает со временем закрытия избирательных участков на западном побережье.
Однако агрегирование трафика здесь представляет собой несколько вводящую в заблуждение картину. Хотя оба всплеска были вызваны увеличением трафика на нескольких сайтах клиентов, второй усугубился значительным увеличением трафика для одного клиента. Тем не менее, увеличение трафика ясно показывает, что избиратели обращались к сайтам местных органов власти в день выборов.
Несмотря на это увеличение общего трафика, трафик атак, сдерживаемый брандмауэром веб-приложений Cloudflare (WAF), оставался удивительно стабильным в течение октября и ноября, как показано на графике ниже. Очевидным исключением была атака, которая произошла в понедельник, 10 октября. Эта атака была нацелена на одного участника Афинского проекта и была смягчена ограничением скорости запросов.
Атаки SQL-инъекций (SQLi) показали значительный рост в объеме за полторы недели до дня выборов, наряду с более ранним значительным всплеском 24 октября. Хотя в последние выходные октября (29 и 30 октября) наблюдалась значительная активность атак SQLi, выходные 5 и 6 ноября были относительно тихими. Однако эти атаки снова участились в преддверии и в день выборов, как показано на графике ниже.
Попытки атак, смягченные с помощью набора правил HTTP Anomaly, также участились за неделю до дня выборов, хотя и в гораздо меньшей степени, чем атаки SQLi. Как показано на графике ниже, самые большие всплески наблюдались 31 октября/1 ноября и сразу после полуночи по всемирному координированному времени 4 ноября (с позднего вечера до раннего вечера в США). Объем соответствующих запросов также вырос в преддверии дня выборов, но без значительных кратковременных всплесков. Также на графике 10 октября отчетливо видна короткая, но серьезная атака. Однако она произошла через несколько часов после упомянутой выше атаки с ограничением скорости — неясно, связаны ли они между собой.
Распределение атак за исследуемый период с 1 октября по 9 ноября показывает, что на атаки, классифицированные как SQLi и HTTP Anomaly, пришлось чуть более двух третей запросов, смягченных WAF. Почти 14% были отнесены к категории «Специфические для программного обеспечения», что включает атаки, связанные с конкретными CVE. Баланс атак был смягчен правилами WAF в таких категориях, как включение файлов, XSS (межсайтовый скриптинг), обход каталогов и внедрение команд.
По сообщениям СМИ, иностранные противники активно пытаются вмешиваться в выборы в США. Хотя это может иметь место, анализ смягченных атак, нацеленных на клиентов Athenian Project, показал, что более 95% смягченных запросов (атак) исходили с IP-адресов, геолокация которых находится в США. Однако это не означает, что сами злоумышленники обязательно находятся в стране, а скорее то, что они, похоже, используют скомпрометированные системы и прокси-серверы в Соединенных Штатах для запуска своих атак на эти сайты, защищенные Cloudflare.
Cloudflare для кампаний
В отличие от участников Athenian Project, трафик на сайты-кандидаты, являющиеся участниками Cloudflare for Campaigns, начал расти за несколько недель до дня выборов. График ниже показывает заметное увеличение (~50%) пиковых объемов трафика, начиная с 12 октября, с дополнительным ростом (50-100%), начавшимся неделей позже. Посещаемость этих сайтов немного снизилась к концу октября, но вновь значительно увеличилась в преддверии дня выборов и во время него.
Однако, опять же, эти сводные данные о трафике представляют собой нечто вроде вводящей в заблуждение картины, поскольку на одном сайте-кандидате было в несколько раз больше трафика, чем на других сайтах-участниках. В то время как на других сайтах также наблюдались аналогичные изменения в трафике, они были незначительными по сравнению с теми, которые испытал сайт-выброс.
Тенденция трафика, сниженного с помощью WAF, для сайтов кампании следовала той же схеме, что и общий трафик. Как показано на графике ниже, трафик атак также начал расти примерно 19 октября, а к концу месяца еще больше увеличилось. Всплеск 27 октября, видимый на графике, был вызван атакой, нацеленной на сайт одного клиента, и был устранен с помощью методов смягчения «уровня безопасности», которые используют информацию о репутации IP, чтобы решить, следует ли и как представлять проблемы для входящих запросов.
На две главные категории правил, HTTP Anomaly и SQLi, вместе приходилось почти три четверти защищенных запросов, а атаки с обходом каталога составили чуть менее 10 % защищенных запросов для этого набора клиентов. Проценты аномалий HTTP и обхода каталогов были выше, чем для атак, нацеленных на участников Athenian Project, а процент SQLi был немного ниже.
Опять же, большинство атак, защищенных с помощью WAF, были совершены с IP-адресов в США. Однако среди участников Cloudflare for Campaigns на Соединенные Штаты приходилось только 55% атак, что значительно ниже, чем 95% участников Athenian Project. Баланс распределяется по длинному хвосту стран, а союзники, включая Германию, Канаду и Великобританию, входят в первую пятерку. Однако, как отмечалось выше, злоумышленники могут находиться где-то еще и использовать ботнеты или другие скомпрометированные системы в этих странах для проведения атак.
Повышение безопасности данных
Мы гордимся тем, что местные органы власти, избирательные кампании, партии штатов и организации, занимающиеся избирательными правами, доверяют нам защиту своих веб-сайтов и обеспечение бесперебойного доступа к информации и достоверным результатам выборов. Обмен информацией об угрозах, с которыми сталкиваются эти веб-сайты, помогает нам дополнительно поддерживать их ценную работу, позволяя им и другим участникам избирательного пространства принимать активные меры для повышения безопасности сайта.
Узнайте больше о том, как подать заявку на участие в Athenian Project, и ознакомьтесь с Cloudflare Radar, чтобы в режиме реального времени получать информацию об интернет-трафике, тенденциях атак и многом другом.
