Ddos-attacker kan drabba alla – så skyddar du ditt företag

Rapporter om aggressiva ddos-attacker, eller överbelastningsattacker, återkommer titt som tätt. Attackerna skakar om företag och organisationer, och även kunderna som blir drabbade.

Den dåliga nyheten är att en attack kan inträffa när som helst, helt utan förvarning, och den kan vara förödande för ditt system. Den goda nyheten är att det finns sätt att förbereda sig.

En ddos-attack är bara en annan form av ett belastningsprov på en miljö. Det är inte helt utan grund att säga att kapacitetsplaneringsverktyg faktiskt är ett sätt att lagligt utföra ddos-attacker. Det första steget i att förbereda sig väl är att veta vad man ska leta efter.

Läs också: Så pratar du it-säkerhet med högdjuren på företaget – det här ska du absolut inte säga

Det finns vanligtvis två typer attacker:

1. Olagliga attacker med ont uppsåt från botnät och/eller serverpark finns i tre varianter.

• Nätverkslager med grundläggande applikationsfunktionalitet
• Högvolymstrafik
• Avancerade applikationsattacker

2. Sociala attacker.

Skillnaden mellan de båda vilar i avsikten av attacken. Om du inte kan identifiera ett ont uppsåt så har man helt enkelt fått uppleva en social attack. Exempel på en social attack är en framgångsrik pr-kampanj som lockar till sig så många besökare att webbplatsen kraschar. Men oavsett orsak kan båda attacker vara överväldigande.

Så, kan du alltid skydda dig mot alla typer av ddos-attacker? Det raka svaret är nej, men du kan alltid förbereda din sajt och ditt systemskydd så att de är likställiga med ditt företags riskprofil gällande förlorade affärer på grund av nedtid.

Hur? Det enkla svaret är: kapacitetsplanering. Det är den mest förbisedda hörnstenen i alla försvar. Alla har en teoretisk uppfattning om vad som behövs göras om en angripare anfaller, men tills en attack faktiskt inträffar så finns det inget sätt att veta vad som fungerar och vad som inte fungerar. Det vanligaste problemet i dag när det gäller kapacitetsplanering är mellan front-end webbapplikationer och back-end databaser, en avvikelse som kan göra er sårbara för en attack.

Med detta sagt, den första insikten för att förbereda sig för en attack är att ha rätt motåtgärder på plats. Den andra insikten är att veta hur er omgivning reagerar på ett sådant scenario. Det bästa man kan göra är att försöka replikera en attack i en så kontrollerad miljö som möjligt. En rekommendation är att mobilisera en tredje parts lasttestorganisation för att faktiskt simulera en attack. På så sätt kan man förstå följderna och eliminera alla "om" från sin handlingsplan.

Men den brännande frågan är: Hur förbereder man sig inför, svarar på och mildrar en attack när den inträffar? Har ni avsatt resurser? Har ni engagerat internetleverantörer för att skapa svarta hål i trafiken? Blackholing är ett gemensamt försvar mot skräppost, där en ISP blockerar paket från en domän eller ip-adress, en teknik som kan användas mot ddos-attacker. Eller hoppas ni att er IDS, brandvägg eller router kan filtrera bort trafiken? Det finns många metoder och strategier som används, men vanligtvis testas de inte i förväg.

Du bör validera att ditt systemskydd är konfigurerat och att det fungerar mot din applikation. Många organisationer investerar idag i systemskydd, men väldigt få validerar vilken typ av skydd man behöver mot mer avancerade attacker.

Vilka typer av test behöver du? Endast standard lasttest kommer inte att räcka men normal trafik blandat med nätverkslagerattacker och “applikations-tweeks” som Slowloris kommer att testa ditt systemskydd rejält. ddos-stresstest ska utföras genom testkluster som är utspridda på ett flertal platser runt om i världen för att kunna göra identifieringen och blacklist en verklig utmaning.

Läs också: 700 miljarder på säkerhet – här lägger företagen sina pengar

Attackvolymerna idag är så pass stora att lasttrafik upp till 500 Gbit/s bandbredd och en miljon samtidiga användare är vettigt att börja med. Laster ska testa ditt system till bristningsgränsen, snabbt.

Att mildra effekterna av en attack är komplext och utmanande. Tekniken förbättras hela tiden och fler IDS-lösningar har förmågan att identifiera attacker och utrota dem antingen på brandväggsnivå, eller vid utkanten av nätverket innan den tränger in i servrarna och kraschar dem. Denna teknik är ganska effektiv mot mindre attacker, men inte mot de större, mer kända attackerna.

Kontentan är det alltid finns en risk vid nätnärvaro. Men det betyder inte att man ska dra sig undan från att skapa och upprätthålla en stor webbplats eller en mobil applikation. Istället ska man vidta lämpliga åtgärder för att skydda denna investering och de intäkter som genereras för din verksamhet.

Min tumregel är att allt från fem till tio procent av ett företags it-budget bör anslås till test- ochkapacitetsplanering. Och tro mig, om du någonsin befinner dig i en situation efter en ddos-attack kommer du känna dig övertygad om att dessa pengar var väl investerade.