Relevanta riskanalyser avgörande för affären

Överbelastningsattacker (DDoS-attacker) utgör en betydande risk för alla verksamheter som är beroende av sina nätverk och webbplatser.

Olli Lähteenmaa, Arbor Networks

Och idag det svårt att komma på en enda som inte faller inom rament för detta. Tänk på Internetbaserade banktjänster, logistiktjänster, resebokningar, patientportaler, telekommunikation, online- handel – ja, nästan alla affärsmodeller är idag beroende av transaktioner online. Många har helt gått över till onlineverksamhet.

Vi har alla upplevt frustrationen, eller till och med desperationen, när den onlinetjänst vi förväntar oss inte är tillgänglig på en gång när vi vill eller behöver den. Föreställ dig att det händer tusentals eller till och med miljontals kunder över hela världen, på samma gång, så förstår du den potentiella konsekvensen av enda DDoS-attack på din organisation. Att upprätthålla tillgängligheten till digitala plattformar, nätverk, applikationer och tjänster är inte bara en säkerhetsfråga – det är en fråga om en betydande affärsrisk.

Det krävs inte mycket för att ta ned en betydande del av Internet. I november 2016 ledde en oavsiktlig felkonfiguration hos ett större Internetinfrastrukturföretag till avbrott hos flera stora operatörer. Även om ruttläckan var oavsiktlig och inte skadlig, var den 90 minuters brist på tillgänglighet som den ledde till plågsam både för operatörerna och deras kunder.

En samordnad attack kan få mycket mer skadliga konsekvenser. Till skillnad från avancerade hot eller dataläckor, som är utformade för att vara dolda och för att kunna stjäla värdefulla data, känns en lyckad DDoS-attack igen på en gång. Symptomen är allt från dålig prestanda och oregelbundna avbrott, till en ström av kundklagomål och slutligen fullständig otillgänglighet.

Överstiger hotmöjligheterna plötsligt din skyddskapacitet?

DDoS-attacker har funnits lika länge som e-handeln själv. Etablerade organisationer med en betydande närvaro online har alltid vidtagit åtgärder för att säkerställa tillgängligheten. Men fundera på om det skydd som du kanske upprättade för flera år sedan fortfarande är adekvat för dagens attacker. DDoS-hoten har blivit mer komplexa, dynamiska och med flera vektorer. Angriparna utnyttjar i allt högre grad en kombination av attackmetoder, för att de antar att minst en kommer att lyckas medan de andra avleder skydden. Sådan attacktyper är bland annat:

  • Volumetriska: Stora bandbreddsförbrukande attacker som översvämmar nätverkspipes och routergränssnitt.
  • TCP-tillståndsutmattning: Attacker som förbrukar alla tillgängliga TCP-anslutningar (Transmission Control Protocol) i Internetinfrastrukturenheter som brandväggar, lastbalanserare och webbservrar.
  • Applikationslager: Låga och långsamma attacker som är avsedda att gradvis försvaga resurserna i applikationsservrar.

Dessutom är det idag mycket enklare för mindre sofistikerade angripare att starta attacker, på grund av lättillgängliga och billiga gör-det-själv-attackverktyg och DDoS-hyrtjänster. Hotbilden har förvärrats ytterligare av den snabba spridningen av otillräckligt säkrade IoT-enheter (Internet of Things) som konsumeras till botnät och beväpnas för att starta DDoS-attacker med flera vektorer.

Utvärdera risker och skydd

Med ökningen av flervektorsattacker är säkerhetsexperter överens om att en minskning av risken med DDoS-attacker kräver ett omfattande skydd med flera synkroniserade lindringsmetoder.

Brandväggar har länge utgjort den första skyddslinjen, liksom lösningar som genomdriver policys för att förhindra obehörig dataåtkomst. Tyvärr är brandväggar inte särskilt effektiva när det gäller tillgänglighetshot som dagens DDoS-attacker med flera vektorer. Moderna brandväggar genomför tillståndskänslig paketinspektion – och upprätthåller register över alla anslutningar som passerar genom brandväggen. De fastställer om ett paket är början på en ny anslutning, del av en befintlig anslutning eller ogiltigt. Men som tillståndskänsliga och seriellt anordnade enheter utgör brandväggarna ett tillskott till attackytan och kan bli DDoS-mål. De har ingen inbyggd förmåga att upptäcka eller stoppa DDoS-attacker eftersom attackvektorerna använder öppna portar och protokoll. Därför har brandväggarna en benägenhet att bli DDoS-attackernas första offer, eftersom deras förmåga att spåra anslutningar är uttömd. Då de är seriellt anordnade kan de även göra nätverket långsammare.

IDMS (Intelligent DDoS Mitigation Solutions) är specialbyggda för DDoS-skydd och distribueras lokalt, framför brandväggen. De lösningarna kan hantera huvuddelen av alla attacker: 80 procent av DDoS-attackerna har faktiskt en attackstorlek som är mindre än 1 Gbps. Men de är inte tillräckliga för det växande antalet storskaliga attacker som vi ju sett en hel del av nyligen. De här större attackerna begränsas bäst i molnet. Dagens bästa skyddspraxis är en intelligent integrerad kombination av lokala och molnbaserade lösningar.

När man förstår att överbelastning är en affärsrisk är det vettigt att utföra en riskanalys för att bedöma sårbarheter, förstå konsekvenserna av en DDoS-attack i olika scenarier och fastställa vilka åtgärder som måste finnas på plats för optimal risklindring.

Dagens DDoS-hot är inte detsamma som det var för tio eller ens fem år sedan. Om tillgänglighet är av största vikt för ditt företag måste skydden uppdateras för att matcha hotet.

/Olli Lähteenmaa, Arbor Networks