DDoS attacker som tjänst, en ökning som inte slutar
DDoS är inget nytt. Genomförandet av överbelastningsattacker har pågått länge och nyttjats av allehanda anledningar; ofta att störa ut eller sänka målet (en internetbaserad tjänst) från att vara tillgänglig och fungera. Det är också vanligt förekommande att DDoS-attacker används som en rökridå medan annan aktivitet sker samtidigt eller i nära anslutning till en attack. Medan IT-personalen är fullt upptagen med att få upp en e-handelsplattform som ligger nere sker ett dataintrång helt ostört— för att ge ett exempel av många.
Att köpa DDoS som tjänst har också funnits ett tag, men man noterade dock en ökning av tjänsteutbudet under förra året. Priser på DDoS-attacker som tjänst ligger på mellan 5 och 400 dollar, prissatt utifrån längd och volym på attacken. Det är både busenkelt och prisvärt (OBS, detta är inte något IT-Total tillhandahåller som tjänst) vilket gör att det är ett allt oftare förekommande hot mot företags digitala tillgångar.
Om vi bortser från viss felinformation tidigare i år* så slog AWS (AWS Shield) rekord tidigare i år i mängd hanterad smutsig trafik — ett rekord som tidigare hölls av Netscout Arbor (från 2018) som då låg på 1.7Tbps.
Det nya rekordet? 2.3Tbps. Och det var redan i februari 2020.
Molntjänsten Akamai såg sin största attack någonsin tidigare i år på 1.44 Tbps och konkurrenten Cloudflare såg runt en tusenfaldig ökning i attacker mellan maj som april. Antalet DDoS-attacker hade en stadigt nedåtgående trend innan den globala situation vi just nu lever i — men, precis som vanligt så tas tillfället i akt och ju mer kaos, desto mindre medel krävs för att spä på det kaoset. Sätt detta i relation till vad den volymkapacitet som anslutningspunkten till internet är för ert företag — eller vad ni nyttjar via bredbandet hemma för den delen. Nivåerna blir ganska så stora i jämförelse, ganska så fort.
Idag är det dock inte rekordslående attacker som är vanligast (eller skadligast), utan ofta är de istället anpassade för att helt enkelt bara uppnå sitt mål: att orsaka skada. Ett snitt på DDoS-attackers storlek ligger runt 100-500Gbps i svenska nät. Uppskattningsvis är det extremt få nät som kan klara av volym i den storleken. Så hur skyddar man sig?
De lösningar som växte fram i början för att motverkaDDoS-attacker krävde stora ingrepp hos den operatör som var närmast med hårdvaru-dedikerade lösningar och höga start- och driftkostnader. För att det skulle fungera ordentligt, behövdes även att denna operatör hade avtal och kommunikationsvägar färdiga mot sina partners. Det kunde även skötas med egen utrustning, men då blir det kundens egen kapacitet som sätter gränsen. Tyvärr, fungerar det så med många av de lösningarna än idag. Vi behöver något bättre.
Listan över vad som används för attacker växer också, en sammanfattning från zdnet summerar ihop några historiskt ovanliga metoder, såsom CoAP, WS-DD, ARMS och Jenkins (CoAP är applikationsprotokoll, WS-DD står för Web Services Dynamic Discovery, ARMS är Apple Remote Management Service samt Jenkins – en Automatiserings-server kopplat till tester, byggande samt deployment kopplat till utveckling). I grund och botten har man hittat sårbarheter och använt dessa som förstärkare av trafik.
Varför? Resultatet talar för sig själv – i fallet för Jenkins så var förstärkningen 100:1 – helt klart värt tiden att hitta en sårbar server.
IT-Total har riktat in sig mot att avhjälpa den delen av företags digitala tillgångar som är publikt tillgänglig på internet (exempelvis hemsidor eller applikationer). Konceptet är enkelt —egna nät och ingångspunkter som står redo att hantera DDoS, Intrusion Prevention, Web ApplicationFirewall, botskydd samt lastbalansering. På så vis har kunder ett heltäckande och intelligent skydd som inte bara stoppar icke-önskvärd trafik i termer av volym, utan även mer riktade och sofistikerade attacker. Man kan se det som att ditt företag har ett skydd i flera lager, där varje lager skyddar mot olika typer av hot — från nätverkslagret hela vägen till applikationslagret.
Anledningen varför vi har valt den här inriktningen är enkel och blir tydlig när man plockar isär en DDoS-attack för att se vad den består av. Ingredienserna är oftast två: sändare och mottagare. Sändarna är vanligen många varpå olika tekniker används för att förstärka trafiken mot de betydligt färre mottagarna — alltså måltavlorna — och volymen blir då hög. Det är inte enbart stora mängder webbtrafik och förfrågningar som används för att attackera utan även olika protokoll och andra tillvägagångssätt. I regel används lagen om minsta motstånd — alla har vi en latsida.
Vi tar sedan det konceptet och sprider ut trafiken mot flertalet punkter så att den volym som kan hanteras alltid är högre än en potentiell attackvolym (tänk er kapacitetsplanering på en riktigt härlig nivå). Lägg till det en fungerande kommunikation med peering-partners, så kan du som företag ganska enkelt försvara dig. Skulle man som organisation bygga upp motsvarande koncept på egenhand med en likvärdig skyddsnivå, skenar kostnaden iväg omgående.
Vi kan hjälpa er hantera, agera och säkra er publika del på internet. För vi bryr oss, på riktigt.
Läs mer om vår tjänst:
MSS Internet Threat Protection
*Anonymous tog den 15:e juni tillfället i akt och försökte sprida informationen att en massiv DDoS-attack pågick, som i verkligheten var ett fel hos T-Mobile i USA efter konfigurationsändringar.
(För er som är nyfikna, glöm inte bort vår ”Glossary” )
DoS/DDoS - Denial of Service/Distributed Denial of Service - nätverksattack med syfte att blockera åtkomsten till exempelvis en webserver, Det finns flera angreppsmetoder. Oftast skapas DoS via botnätverk som genererar massiv datatrafik som överbelastar servern eller dess värdnätverk. Attacken skadar den angripna organisationens rykte eller verksamhet.)
Källor:
https://www.helpnetsecurity.com/2020/03/27/ddos-attacks-increase-2020/
https://cybersecurityventures.com/the-15-top-ddos-statistics-you-should-know-in-2020/
https://betanews.com/2020/07/01/ddos-attacks-jump-during-lockdown/
https://blog.nexusguard.com/threat-report
https://www.sentinelone.com/blog/look-whos-back-its-ddos/
https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf
https://www.zdnet.com/article/fbi-warns-of-new-ddos-attack-vectors-coap-ws-dd-arms-and-jenkins/
Skriven av Björn Nilsson
Senior Cyber Security Architect på IT-Total Sweden AB med över 15 års erfarenhet inom IT och cybersäkerhet. Björn Nilsson brinner för att bygga Sveriges bästa cybersäkerhetsavdelning för kunder och medarbetare.
Taggar: