Skip to main content

    DDoS er noe som man kan øve på. Bedrifter bør øve seg på forskjellige DDoS-scenarioer, hvordan går de frem, hvordan håndteres hendelsene, hvilke prosedyrer følges, og hvem varsles? Dette er spørsmål enhver bedrift som muligens er utsatt for DDoS, bør kunne svare på.

    Det er lett for meg å si, men det å forberede sine CSIRT (Computer Security Incident Response Team), enten det er innleid team eller in-house, er essensielt. Jeg underviser i SANS-kurset "Hacker Tools, Techniques, Exploits, and Incident Handling", noe som tillater meg å ha en mening om dette. Det er ekstremt viktig å ha en plan samt kontinuerlig forberede seg for når angrepne inntreffer. 

     

    Slik kan du "løse" DDoS-angrep

    Det er flere måter man kan "løse" DDoS på mens man er under angrep. Jeg lister opp de viktigste her:

    • Invester i en dedikert anti-DDoS-løsning, eksempelvis Riorey. 
    • Opprett et CSIRT 
    • Øv! Lag fiktive DDoS-scenarioer for ditt eget team. Dette kan være planlagt på forhånd eller som en øvelse som skjer på en rolig dag uten at teamet er forberedet på forhånd. 
    • Lag prosedyrer for hvordan man går frem, slik at man har en ledetråd å følge når angrepet først har inntruffet. 
    • Etabler et kontaktpunkt (krisetelefon) til din ISP. De har ofte mulighet til å hjelpe med å styre trafikken for å hjelpe bedriften, i det minste til å kunne gjøre egne tiltak. Det er viktig å huske på at mens angrepet pågår, kan tjenesten være så mettet at den heller ikke lar seg administrere. Da må man kunne jobbe med ISP for å klare å få hodet over vannet igjen. Et direkte nummer til ISP er på sin plass, spesielt så man slipper å måtte ringe til kundeservice først, de har sannsynligvis et produkt å selge deg også (høyere linjekapasitet).  

    Man kan øke beskyttelsen mot DDoS på flere måter. Slik mange fremlegger det i dag, virker det som om alt håp er ute. Man må nesten se litt på hvilken trusselagent man beskytter seg mot. DDoS vil alltid vinne til slutt, men skal virkelig en guttunge som har en dårlig dag, få lov til å ta ned butikken? Nei, da må bedriftene respondere bedre. 

     

    Bedriften bør forberede retningslinjer for hvordan teamet gjør følgende: 

    • Blokkerer IP-adresser per region (geo-ip)
    • Blokkerer IP-adresser per subnet
    • Kontakter ISP, hva skal de be om, hva skal gjøres? 

    Med få tastetrykk bør driftsvakt raskt kunne etablere full blokkering for henvendelser som kommer utenfra kjernelandene man opererer i. Eksempelvis om 90 % av kundene dine opererer fra Norge, bør man kunne iverksette strakstiltak som blokkerer alle andre.

    Maskinkraften fra maskiner som kommer fra et DDoS kun fra Norge, vil være betydelig svakere enn hva det vil innebære å ta imot angrep fra resten av verden. Merk at DDoS kan være stort nok til at du ikke klarer å filtrere en gang, da er det viktig å kunne kontakte ISP for å gjøre den samme operasjonen. De har større kapasitet og vil ikke like enkelt tas ned. 

     

    Overlev lenge nok til å få respondert

    Bedriften bør også prøve å kartlegge dagens trafikkmønstre. Hvordan ser en vanlig kunde ut? Hvordan kan vi, ved et angrep, skille legitime brukere fra angripere? Dersom man raskt kan skille ut angriper fra kunde basert på karakteristikk i requestene, kan man enklere blokkere angripere. Et slikt scenario er absolutt noe et CSIRT bør øve på.

    For eksempel kan det være at angriperne misbruker søkefunksjonalitet på produktet ditt. Klarer du å identifisere denne karakteristikken, kan du kanskje deaktivere de rette funksjonene mens resten av produktet leverer, kun for å overleve lenge nok til å få reagert med alle tiltakene. 

     

    Hvem forsvarer du deg mot?

    Det er flere utsagn om at DDoS ikke handler om sikkerhet, men sannheten er at det er et direkte angrep mot tilgjengeligheten. Dette var guttestreker, vandalisme, men det gjør ikke saken noe mindre alvorlig. Det sier vel litt at en guttunge kan ta ned butikken vår? Dette bør vi være forberedt på til neste gang.

    Sjekker man leieprisen for DDoS-angrep i dag, ser vi at man kan leie 1.5GBPS i én time for 40 kr! Så hva med å kjøre et angrep selv med 1.5GBPS? Det MÅ man kunne overleve i dag, ellers kan man dø til hvilken som helst tenåring som heller har lyst å kjøpe DDOS enn en pose chips. Andre leverandører sier de kan levere 5-15GBPS over én dag til kr 130.

    Man må stille seg spørsmålet, hvem forsvarer man seg mot? DDoS vil alltid kunne vinne til slutt. Det er ofte et løp om hvem som har mest ressurser. En guttunge bør ikke klare å ta ned butikken, men det er kanskje akseptabelt at en nasjon eller meget veletablert motstander kan klare det. Dette er vurderinger som man må stille seg når man vurderer investeringer og tiltak for å prøve å utbedre problemet mest mulig. 

     

     

     

    Oslo

    Drammensveien 288

    0283 Oslo

     

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Stockholm

    Kammakargatan 22

    111 40 Stockholm