DDoS-hyökkäys (Distributed Denial of Service, hajautettu palvelunestohyökkäys) ei ole naurun asia; se tulvii verkkoosi pahansuovaa liikennettä, kaataa sovelluksesi ja estää laillisia käyttäjiä käyttämästä palveluasi. DDoS-hyökkäykset johtavat usein menetettyyn myyntiin, hylättyihin ostoskoreihin, maineen vahingoittumiseen ja tyytymättömiin käyttäjiin.
Tämän blogisarjan ensimmäisessä osassa käsiteltiin joitakin vaiheita, jotka sinun tulisi toteuttaa DDoS-hyökkäykseen (Distributed Denial of Service) valmistautuaksesi ennen kuin se tapahtuu. Tässä postauksessa käsitellään sitä, mitä tehdä nyt, kun hyökkäyksen kohteeksi on jo joutunut.
Vaikka et voi kontrolloida sitä, milloin hyökkäyksen kohteeksi joudut, alla kuvattujen vaiheiden noudattaminen voi auttaa sinua minimoimaan hyökkäyksen vaikutukset, saamaan sinut toipumaan ja ehkäisemään, ettei tällaista tapahdu enää uudelleen.
Hälyttää keskeiset sidosryhmät
Usein sanotaan, että ongelman korjaamisen ensimmäinen askel on ongelman olemassaolon tunnistaminen. Tätä varten sinun on varoitettava organisaation keskeisiä sidosryhmiä selittämällä, että kimppuusi on hyökätty ja mihin toimiin on ryhdytty sen lieventämiseksi.
Esimerkkejä keskeisistä sidosryhmistä ovat organisaation CISO, tietoturvaoperaatiokeskus (SOC), verkon IT-johtaja, operaatiopäälliköt, asianomaisten palvelujen liiketoimintapäälliköt ja niin edelleen.
Koska sinulla on luultavasti kädet täynnä töitä hyökkäyksen torjumisessa, hälytys on luultavasti parasta pitää lyhyenä ja ytimekkäänä.
Keskeisten tietojen – siinä määrin kuin sinulla on niitä – tulisi sisältää:
- Mitä on tapahtumassa
- Milloin hyökkäys alkoi
- Mitä omaisuuseriä (sovelluksia, palveluita, palvelimia jne.) vaikuttavat
- Vaikutus käyttäjiin ja asiakkaisiin
- Mihin toimiin on ryhdytty hyökkäyksen lieventämiseksi
Pitäkää sidosryhmät ajan tasalla, kun tapahtuma kehittyy ja/tai uutta tietoa tulee saataville. Tärkeimpien sidosryhmien jatkuva tiedottaminen auttaa ehkäisemään sekaannusta, epävarmuutta ja paniikkia sekä koordinoimaan toimia hyökkäyksen pysäyttämiseksi.
ilmoita tietoturvapalveluntarjoajallesi
Samanaikaisesti organisaatiosi sidosryhmille ilmoittamisen kanssa sinun kannattaa myös varoittaa tietoturvapalveluntarjoajaasi ja käynnistää kaikki heidän toimensa, joilla he voivat auttaa sinua hyökkäyksen käsittelyssä.
Turvapalveluntarjoajasi voi olla internet-palveluntarjoajasi (ISP), web-hosting-palveluntarjoajasi tai oma tietoturvapalvelusi.
Kullakin toimittajatyypillä on erilaiset valmiudet ja palveluvalikoima. Internet-palveluntarjoajasi saattaa auttaa minimoimaan verkkoosi saapuvan haitallisen verkkoliikenteen määrän, kun taas web-hosting-palveluntarjoajasi saattaa auttaa minimoimaan sovellusten vaikutukset ja skaalaamaan palvelua. Samoin tietoturvapalveluilla on yleensä erityisiä työkaluja nimenomaan DDoS-hyökkäysten käsittelyyn.
Sitäkin huolimatta, että sinulla ei vielä ole ennalta määriteltyä palvelusopimusta tai et ole tilannut niiden DDoS-suojaustarjontaa, sinun kannattaa kuitenkin ottaa yhteyttä ja kysyä, miten ne voivat auttaa.
Torjuntatoimenpiteiden aktivointi
Jos sinulla on käytössäsi torjuntatoimenpiteitä, nyt on aika aktivoida ne.
Yksi lähestymistapa on ottaa käyttöön IP-pohjaiset pääsynvalvontaluettelot (Access Control Lists, ACL), joilla estetään kaikki hyökkäyslähteistä tuleva liikenne. Tämä tehdään verkon reitittimen tasolla, ja sen voi yleensä hoitaa joko verkkotiimisi tai Internet-palveluntarjoajasi. Tämä on hyödyllinen lähestymistapa, jos hyökkäys tulee yhdestä lähteestä tai pienestä määrästä hyökkäyslähteitä. Jos hyökkäys tulee kuitenkin suuresta joukosta IP-osoitteita, tämä lähestymistapa ei välttämättä auta.
Jos hyökkäyksen kohteena on sovellus tai verkkopohjainen palvelu, voit myös yrittää rajoittaa samanaikaisten sovellusyhteyksien määrää. Tämä lähestymistapa tunnetaan nimellä nopeuden rajoittaminen, ja se on usein web-hosting-palveluntarjoajien ja CDN:ien suosima lähestymistapa. Huomaa kuitenkin, että tämä lähestymistapa on altis suurelle määrälle vääriä positiivisia tuloksia, koska sillä ei voida erottaa toisistaan haitallista ja laillista käyttäjän liikennettä.
Dedikoidut DDoS-suojaustyökalut antavat sinulle laajimman kattavuuden DDoS-hyökkäyksiä vastaan. DDoS-suojaustoimenpiteet voidaan ottaa käyttöön joko laitteena datakeskuksessasi, pilvipohjaisena pyyhkäisypalveluna tai hybridiratkaisuna, jossa yhdistyvät laitteistolaite ja pilvipalvelu.
Todennäköisesti nämä vastatoimenpiteet käynnistyvät välittömästi, kun hyökkäys havaitaan. Joissain tapauksissa tällaiset työkalut – kuten polun ulkopuoliset laitteistolaitteet tai manuaalisesti aktivoitavat on-demand-vahinkojen lieventämispalvelut – saattavat kuitenkin vaatia asiakasta käynnistämään ne aktiivisesti.
Kuten edellä mainittiin, vaikka sinulla ei olisikaan käytössäsi erityistä tietoturvaratkaisua, useimmat tietoturvapalvelut mahdollistavat hätätilanteen käyttöönoton hyökkäyksen aikana. Tällaiseen käyttöönottoon liittyy usein kova maksu tai velvoite tilata palvelu myöhemmin. Tämä saattaa kuitenkin olla välttämätöntä, jos sinulla ei ole muuta vaihtoehtoa.
Hyökkäyksen etenemisen seuraaminen
Hyökkäyksen aikana sinun tulisi seurata sen etenemistä, jotta näet, miten se kehittyy ajan myötä.
Joitakin keskeisiä kysymyksiä, joita kannattaa yrittää arvioida tuona aikana:
- Minkä tyyppisestä DDoS-hyökkäyksestä on kyse? Onko kyseessä verkkotason tulva vai sovelluskerroksen hyökkäys?
- Mitkä ovat hyökkäyksen ominaisuudet? Kuinka suuri hyökkäys on (sekä bittiä sekunnissa että paketteja sekunnissa)?
- Tuleeko hyökkäys yhdestä IP-lähteestä vai useista lähteistä? Voitko tunnistaa ne?
- Miltä hyökkäysmalli näyttää? Onko se yksittäinen jatkuva tulva, vai onko se burst-hyökkäys? Koskeeko se yhtä protokollaa vai useita hyökkäysvektoreita?
- Pysyvätkö hyökkäyksen kohteet samoina vai vaihtavatko hyökkääjät kohteitaan ajan mittaan?
Hyökkäyksen etenemisen seuraaminen auttaa myös puolustuksen virittämisessä.
Arvioi puolustuksen suorituskykyä
Viimeiseksi, kun hyökkäys kehittyy ja vastatoimenpiteet otetaan käyttöön, sinun on mitattava niiden tehoa.
Kysymys on yksinkertainen:
Turvatoimittajasi pitäisi toimittaa sinulle SLA-dokumentti (Service Level Agreement), jossa sitoudut heidän palveluvelvoitteisiinsa. Kaksi tämän asiakirjan tärkeintä mittaria ovat Time-to-Mitigate (TTM) ja Consistency-of-Mitigation.
- Time-to-Mitigate mittaa sitä, kuinka nopeasti toimittajasi sitoutuu pysäyttämään hyökkäyksen.
- Consistency-of-Mitigation -mittari taas mittaa sitä, kuinka hyvin se pysäyttää hyökkäyksen. Tämä metriikka määritellään yleensä sen haitallisen liikenteen osuutena, joka pääsee verkkoon.
Jos huomaat, että tietoturvasi ei täytä SLA-velvoitettaan – tai mikä vielä pahempaa – ei pysty pysäyttämään hyökkäystä lainkaan, nyt on myös aika arvioida, onko sinun tehtävä muutoksia.
Lataa Radwaren ”Hackers Almanac”, niin saat lisätietoja.
Lataa nyt