En DDoS-attack (Distributed Denial of Service) är inget att skratta åt; den översvämmar ditt nätverk med skadlig trafik, lägger ner dina program och hindrar legitima användare från att få tillgång till din tjänst. DDoS-attacker leder ofta till förlorad försäljning, övergivna kundvagnar, skada på rykte och missnöjda användare.
I den första delen av den här bloggserien diskuterades några av de steg du bör ta för att förbereda dig för en DDoS-attack (Distributed Denial of Service) innan den inträffar. I det här inlägget diskuteras vad du ska göra nu när du är utsatt för en attack.
Och även om du inte kan kontrollera när du blir utsatt för en attack kan du genom att följa de steg som beskrivs nedan hjälpa dig att minimera effekterna av attacken, få dig på väg att återhämta dig och hjälpa dig att förhindra att det här händer igen.
Varsko viktiga intressenter
Det sägs ofta att det första steget för att lösa ett problem är att erkänna att man har ett. Därför måste du varna de viktigaste intressenterna inom organisationen och förklara att du är utsatt för ett angrepp och vilka åtgärder som vidtas för att mildra det.
Exempel på nyckelintressenter är organisationens CISO, Security Operations Center (SOC), IT-chefen för nätverket, driftschefer, verksamhetschefer för berörda tjänster och så vidare.
Då du troligen kommer att ha fullt upp med att bekämpa attacken, är det förmodligen bäst att hålla varningen kort och koncis.
Nyckelinformation – i den mån du har den – bör omfatta:
- Vad som händer
- När attacken startade
- Vilka tillgångar (program, tjänster, servrar osv.) som är tillgängliga för att hantera attacken.) påverkas
- Inverkan på användare och kunder
- Vilka åtgärder vidtas för att mildra attacken
Håll intressenterna informerade allteftersom händelsen utvecklas och/eller ny information blir tillgänglig. Genom att hålla viktiga intressenter löpande informerade kan man förhindra förvirring, osäkerhet och panik och hjälpa till att samordna insatserna för att stoppa attacken.
Informera din säkerhetsleverantör
Samtidigt med att du informerar intressenterna inom din organisation vill du också varna din säkerhetsleverantör och initiera eventuella åtgärder från deras sida för att hjälpa dig att hantera attacken.
Din säkerhetsleverantör kan vara din internetleverantör (ISP), webbhotellleverantör eller en dedikerad säkerhetstjänst.
Varje typ av leverantör har olika kapacitet och omfattning av tjänster. Din internetleverantör kan hjälpa dig att minimera mängden skadlig nätverkstrafik som når ditt nätverk, medan din webbhotellleverantör kan hjälpa dig att minimera applikationspåverkan och skala upp din tjänst. På samma sätt har säkerhetstjänster vanligtvis dedikerade verktyg specifikt för att hantera DDoS-attacker.
Även om du inte redan har ett fördefinierat tjänsteavtal eller inte är prenumerant på deras erbjudande om DDoS-skydd bör du ändå ta kontakt för att se hur de kan hjälpa dig.
Aktivera motåtgärder
Om du har några motåtgärder på plats är det dags att aktivera dem.
En metod är att implementera IP-baserade åtkomstkontrollistor (ACL) för att blockera all trafik som kommer från angreppskällor. Detta görs på nätverksrouternivå och kan vanligtvis hanteras antingen av ditt nätverksteam eller av din internetleverantör. Det är ett användbart tillvägagångssätt om angreppet kommer från en enda källa eller ett litet antal angreppskällor. Men om attacken kommer från en stor pool av IP-adresser kanske detta tillvägagångssätt inte hjälper.
Om målet för attacken är ett program eller en webbaserad tjänst kan du också försöka begränsa antalet samtidiga programanslutningar. Detta tillvägagångssätt är känt som hastighetsbegränsning och är ofta det tillvägagångssätt som webbhotell och CDN:er föredrar. Observera dock att detta tillvägagångssätt är känsligt för en hög grad av falska positiva resultat, eftersom det inte kan skilja mellan skadlig och legitim användartrafik.
Dedikerade DDoS-skyddsverktyg ger dig den bredaste täckningen mot DDoS-attacker. DDoS-skyddsåtgärder kan användas antingen som en apparat i ditt datacenter, som en molnbaserad skrubbtjänst eller som en hybridlösning som kombinerar en hårdvaruenhet och en molntjänst.
Idealt kommer dessa motåtgärder att sätta in omedelbart när en attack upptäcks. I vissa fall kan dock sådana verktyg – till exempel hårdvaruenheter utanför vägen eller manuellt aktiverade begränsningstjänster på begäran – kräva att kunden aktivt initierar dem.
Som nämnts ovan, även om du inte har en dedikerad säkerhetslösning på plats, tillåter de flesta säkerhetstjänster akut on-boarding under en attack. Sådan on-boarding är ofta förenad med en rejäl avgift eller en skyldighet att prenumerera på tjänsten senare. Detta kan dock vara nödvändigt om du inte har något annat alternativ.
Bevaka attackens utveckling
Under hela attacken bör du övervaka dess utveckling för att se hur den utvecklas med tiden.
Några av de viktigaste frågorna att försöka bedöma under tiden:
- Vilken typ av DDoS-attack är det? Är det en översvämning på nätverksnivå eller är det en attack på applikationsnivå?
- Vilka är attackens egenskaper? Hur stor är attacken (både i termer av bitar per sekund och paket per sekund)?
- Kommer attacken från en enda IP-källa eller från flera källor? Kan du identifiera dem?
- Hur ser attackmönstret ut? Är det en enda ihållande översvämning eller är det en burst-attack? Är det fråga om ett enda protokoll eller om flera angreppsvektorer?
- Är angreppets mål detsamma eller ändrar angriparna sina mål med tiden?
Att spåra angreppets utveckling hjälper dig också att justera dina försvarsåtgärder.
Bedömning av försvarets prestanda
Slutligt, medan angreppet utvecklas och dina motåtgärder sätts in, måste du mäta deras fortsatta effektivitet.
Frågan här är enkel: Fungerar försvaret eller kommer angreppstrafiken igenom?
Din säkerhetsleverantör bör förse dig med ett SLA-dokument (Service Level Agreement) som anger deras serviceåtaganden. Två av de viktigaste mätvärdena i detta dokument är Time-to-Mitigate (TTM) och Consistency-of-Mitigation.
- Time-to-Mitigate mäter hur snabbt leverantören förbinder sig att stoppa attacken.
- Mätvärdet Consistency-of-Mitigation mäter å andra sidan hur väl leverantören stoppar attacken. Detta mått definieras vanligtvis som andelen skadlig trafik som tillåts ta sig igenom till ditt nätverk.
Om du upptäcker att din säkerhetsleverantör inte uppfyller sitt SLA-åtagande – eller ännu värre – inte kan stoppa angreppet överhuvudtaget, är det nu också dags att bedöma om du behöver göra en förändring.
Ladda ner Radwares ”Hackers Almanac” för att lära dig mer.
Ladda ner nu
.