Det er ikke sjovt med et DDoS-angreb (Distributed Denial of Service); de oversvømmer dit netværk med skadelig trafik, hvilket lægger dine applikationer ned og forhindrer legitime brugere i at få adgang til din tjeneste. DDoS-angreb resulterer ofte i mistet salg, opgivne indkøbsvogne, skade på omdømme og utilfredse brugere.
Den første del af denne blogserie behandlede nogle af de trin, du bør tage for at forberede dig på et DDoS-angreb (Distributed Denial of Service), før det sker. Dette indlæg vil diskutere, hvad du skal gøre nu, når du er udsat for et angreb.
Og selv om du ikke kan kontrollere, hvornår du bliver udsat for et angreb, kan du ved at følge nedenstående trin hjælpe dig med at minimere virkningen af angrebet, få dig på vej til at komme dig og hjælpe dig med at forhindre, at det sker igen.
Advarsel til vigtige interessenter
Det siges ofte, at det første skridt til at løse et problem er at erkende, at du har et problem. Derfor skal du advare de vigtigste interessenter i organisationen og forklare, at du er udsat for et angreb, og hvilke skridt der tages for at afhjælpe det.
Eksempler på nøgleinteressenter er organisationens CISO, Security Operations Center (SOC), IT-direktør for netværket, driftsledere, forretningsledere for de berørte tjenester osv.
Da du sandsynligvis vil have hænderne fulde med at bekæmpe angrebet, er det nok bedst at holde denne advarsel kort og præcis.
Nøgleoplysninger – i det omfang du har dem – bør omfatte:
- Hvad der sker
- Hvornår angrebet startede
- Hvilke aktiver (applikationer, tjenester, servere osv.) er berørt
- Indflydelse på brugere og kunder
- Hvilke skridt tages for at afbøde angrebet
Hold interessenterne informeret, efterhånden som hændelsen udvikler sig, og/eller nye oplysninger bliver tilgængelige. Hvis du løbende holder de vigtigste interessenter informeret, kan du forhindre forvirring, usikkerhed og panik og hjælpe med at koordinere indsatsen for at stoppe angrebet.
Informer din sikkerhedsleverandør
Sammen med at underrette interessenterne i din organisation skal du også advare din sikkerhedsleverandør og iværksætte eventuelle skridt fra deres side for at hjælpe dig med at håndtere angrebet.
Din sikkerhedsleverandør kan være din internetudbyder (ISP), webhostingudbyder eller en dedikeret sikkerhedstjeneste.
Hver leverandørtype har forskellige muligheder og omfang af tjenester. Din internetudbyder kan hjælpe dig med at minimere mængden af skadelig netværkstrafik, der når dit netværk, mens din webhostingudbyder kan hjælpe dig med at minimere applikationspåvirkningen og opskalere din tjeneste. Ligeledes vil sikkerhedstjenester normalt have dedikerede værktøjer specifikt til at håndtere DDoS-angreb.
Selv om du ikke allerede har en foruddefineret aftale om service eller ikke er abonneret på deres DDoS-beskyttelsestilbud, bør du ikke desto mindre tage kontakt for at se, hvordan de kan hjælpe.
Aktiver modforanstaltninger
Hvis du har modforanstaltninger på plads, er det nu, du skal aktivere dem.
En tilgang er at implementere IP-baserede adgangskontrollister (ACL’er) for at blokere al trafik, der kommer fra angrebskilder. Dette gøres på netværksrouterniveau, og det kan normalt håndteres enten af dit netværksteam eller din internetudbyder. Det er en nyttig fremgangsmåde, hvis angrebet kommer fra en enkelt kilde eller et lille antal angrebskilder. Men hvis angrebet kommer fra en stor pulje af IP-adresser, hjælper denne fremgangsmåde måske ikke.
Hvis målet for angrebet er et program eller en webbaseret tjeneste, kan du også forsøge at begrænse antallet af samtidige programforbindelser. Denne fremgangsmåde er kendt som hastighedsbegrænsning og er ofte den foretrukne fremgangsmåde hos webhostingudbydere og CDN’er. Bemærk dog, at denne fremgangsmåde er udsat for en høj grad af falske positive resultater, da den ikke kan skelne mellem ondsindet og legitim brugertrafik.
Dedikerede DDoS-beskyttelsesværktøjer vil give dig den bredeste dækning mod DDoS-angreb. DDoS-beskyttelsesforanstaltninger kan enten implementeres som et apparat i dit datacenter, som en cloud-baseret scrubbing-tjeneste eller som en hybridløsning, der kombinerer en hardwareenhed og en cloud-tjeneste.
Disse modforanstaltninger træder i kraft med det samme, når et angreb er opdaget. I nogle tilfælde kan sådanne værktøjer – såsom hardwareenheder uden for stien eller manuelt aktiverede on-demand afbødningstjenester – dog kræve, at kunden aktivt sætter dem i gang.
Som nævnt ovenfor giver de fleste sikkerhedstjenester mulighed for nødopstart under et angreb, selv hvis du ikke har en dedikeret sikkerhedsløsning på plads. En sådan on-boarding er ofte forbundet med et heftigt gebyr eller en forpligtelse til at abonnere på tjenesten på et senere tidspunkt. Det kan dog være nødvendigt, hvis du ikke har andre muligheder.
Monitor Attack Progression
Igennem hele angrebet bør du overvåge dets progression for at se, hvordan det udvikler sig over tid.
Nogle af de vigtigste spørgsmål, som du skal forsøge at vurdere i løbet af denne tid:
- Hvilken type DDoS-angreb er der tale om? Er det en oversvømmelse på netværksniveau, eller er det et angreb på applikationsniveau?
- Hvad er angrebets karakteristika? Hvor stort er angrebet (både i form af bits pr. sekund og pakker pr. sekund)?
- Virker angrebet fra en enkelt IP-kilde eller fra flere kilder? Kan du identificere dem?
- Hvordan ser angrebsmønsteret ud? Er det en enkelt vedvarende oversvømmelse, eller er det et burst-angreb? Er der tale om en enkelt protokol, eller er der tale om flere angrebsvektorer?
- Er målene for angrebet de samme, eller ændrer angriberne deres mål over tid?
Sporing af angrebets udvikling vil også hjælpe dig med at justere dit forsvar.
Vurder forsvarets ydeevne
Sluttelig skal du, efterhånden som angrebet udvikler sig, og dine modforanstaltninger bliver iværksat, måle deres fortsatte effektivitet.
Spørgsmålet her er enkelt:
Dette spørgsmål er her simpelt: Virker forsvaret, eller kommer angrebstrafikken igennem?
Din sikkerhedsleverandør bør give dig et SLA-dokument (Service Level Agreement), som fastlægger hans serviceforpligtelser. To af de vigtigste målinger i dette dokument er Time-to-Mitigate (TTM) og Consistency-of-Mitigation.
- Time-to-Mitigate måler, hvor hurtigt din leverandør forpligter sig til at standse angrebet.
- Metingen Consistency-of-Mitigation måler derimod, hvor godt den er i stand til at standse angrebet. Denne måling defineres normalt som andelen af ondsindet trafik, der får lov til at komme igennem til dit netværk.
Hvis du opdager, at din sikkerhed ikke opfylder sin SLA-forpligtelse – eller endnu værre – slet ikke er i stand til at stoppe angrebet, er det nu også på tide at vurdere, om du skal foretage en ændring.
Download Radwares “Hackers Almanac” for at få mere at vide.
Download nu