Vid det här laget är det tyvärr många som tvingas lära sig vad överbelastningsattacker, eller så kallade DDoS-attacker, är och hur man hanterar dem. Att det handlar om IT-brott vet många, men vad skiljer en DDoS-attack från ett vanligt dataintrång? Svaret ingår i begreppet: denial of service – alltså att tjänst förvägras.
Det här anser Olli Lähteenmaa, Arbor Networks.
Syftet med en DDoS-attack är att förhindra leverans av onlinetjänster som människor är beroende av. Finansiella verksamheter samt webbplatser för spel och e-handel är bland de främsta målen för DDoS-attacker, och till den gruppen hör också molntjänstleverantörer som är värd för webbplatser eller tjänstprogram för företagskunder. Till och med ett kort avbrott i en tjänst kan kosta ett företag miljoner i förlorade affärsintäkter, utan att ens räkna in följderna i form av bortstötta kunder och skadat anseende.
DDoS-attacker och dataintrång är mycket olika till sin karaktär. Därför är komponenterna i den säkerhetsinfrastruktur som vanligen används mot intrång – gränsbrandväggar, system för upptäckt/förebyggande av intrång (IDI/IPS) och liknande – inte särskilt effektiva för lindring av DDoS-attacker. Dessa säkerhetsprodukter har förvisso sin givna plats i en skiktad försvarsstrategi som avser att skydda datas konfidentialitet och integritet. Däremot kan de inte åtgärda det som utgör grunden för DDoS-attacker, nämligen nätverkets tillgänglighet.
I själva verket är just dessa komponenter i allt högre grad målet för DDoS-attacker, i syfte att sätta dessa ur spel. I den 13:e årliga globala rapporten om infrastruktursäkerhet (WISR) – Arbors Networks årliga undersökning bland säkerhetsexperter i både tjänstleverantörssegmentet och företagssegmentet – visades en markant ökning av DDoS-attacker riktade mot infrastruktur jämfört med året innan. Bland de tillfrågade från företag hade 61 procent erfarit attacker mot nätverksinfrastrukturen, och 52 procent hade drabbats av att brandväggar eller IPS-enheter upphört att fungera eller bidragit till avbrott under en DDoS-attack. Attacker mot infrastruktur är mindre vanliga bland tjänstleverantörer, där det främsta målet för DDoS-attacker alltjämt är deras kunder. Ändå var 10 procent av attackerna mot tjänstleverantörer riktade mot nätverksinfrastruktur, och ytterligare 15 procent mot tjänstinfrastruktur.
Datacenteroperatörer rapporterade samtidigt att 36 procent av inkommande attacker var riktade mot routrar, brandväggar, belastningsutjämnare och annan datacenterinfrastruktur. Omkring 48 procent av de tillfrågade från datacenter hade erfarit att brandväggar, IDS-/IPS-enheter och belastningsutjämnare hade upphört att fungera och därmed bidragit till ett avbrott under en DDoS-attack – en ökning från 43 procent 2016.
Infrastrukturkomponenter är särskilt sårbara för TCP-överbelastningsattacker, som syftar till att förbruka de anslutningstillståndstabeller (sessionsregister) som används av många belastningsutjämnare, brandväggar, IPS och applikationsservrar för att identifiera legitim pakettrafik. Sådana attacker kan till och med slå ut högkapacitetsenheter som är kapabla att följa status för miljontals anslutningar. I vår senaste WISR stod TCP-överbelastningsattacker för närmare 12 procent av alla rapporterade attacker.
Trots sin sårbarhet ligger brandväggar, IPS och belastningsutjämnare alltjämt högst på listan över säkerhetsåtgärder som organisationer säger sig tillämpa för att lindra DDoS-attacker. Bland tjänstleverantörer var brandväggar det näst vanligaste DDoS-lindringsalternativet, medan på företagssidan var brandväggar förstahandsvalet för 82 procent av de tillfrågade. Det är lite nedslående att några av de mest populära åtgärderna för DDoS-lindring också är de minst effektiva, med tanke på hur enkelt en statusbaserad attack kan överbelasta dem.
Något positivt är ändå att den ökade frekvensen av DDoS-attacker som rapporterades i vår undersökning 2016 tycks ha framkallat bredare tillämpning av intelligenta DDoS-lindringssystem (IDMS) under 2017. Omkring hälften av de tillfrågade angav att ett IDMS nu ingick i gränsskyddet, vilket är en markant ökning från det föregående årets 29 procent.
En organisation som levererar tjänster via webben behöver ett starkt, specialbyggt DDoS-skydd. Säkerhetsexperter rekommenderar alltjämt som bästa praxis en hybridlösning som kombinerar ett lokalt inrättat försvar med molnbaserade lindringsfunktioner. Särskilt med avseende på attacker mot nätverksinfrastruktur bör en tillägnad, lokal DDoS-tillämpning användas framför infrastrukturkomponenter för att skydda dessa mot attacker, så att de kan arbeta obehindrat.
