2016 var året då uppkopplande enheter i stor skala blev till vapen för DDoS-attacker

Arbor Networks, säkerhetsdivisionen inom NETSCOUT släpper nu den tolfte upplagan av säkerhetsrapporten Worldwide Infrastructure Security Report (WISR).

Rapporten baseras på stora mängder data från 356 av världens ledande företag och organisationer som hanterar nätverk in-house, som molntjänst eller i form av tjänsteleverantör. Rapporten visar exempelvis hur hot upptäckts och hur incidenter hanterats samt hur aspekter som budget och personalsammansättning har påverkat säkerhetshanteringen. Rapportens fokus ligger på utmaningar med den dagliga driften som internetoperatörer ställts inför samt på de strategier som de har infört för att hantera utmaningarna.

Årets rapport visar att situationen för nätverkstekniker och säkerhetsteamen har förändrats, både i form av hur mycket som står på spel och hur attackerna ser ut. Förändringen drivs till stor del av framväxten av så kallade IoT-botnets, där attacknätverk utgörs av internetuppkopplade enheter.

Uppkopplade enheter bidrar till en betydande effektivisering och nya affärsmöjligheter. Samtidigt kan kriminella hackers använda dem som vapen in sina DDoS-attacker på grund av att det ofta finns inbyggda tekniska sårbarheter. Årets rapport går på djupet med hur IT-brottslingar ser till att identifiera och utnyttja uppkopplade enheter, hur botnets som Mirai fungerar och ger praktiska råd på hur det går att försvara sig mot attacker.

Den största överbelastningsattacken (Distributed Denial of Service – DDoS) under 2016 var på 800 Gbps, en ökning med 60% jämfört med förra året då den största attacken var på 500 Gbps. Dessutom har attackerna både blivit mer frekventa och komplexa. Det innebär att företag i allt större utsträckning inför särskilda IT-skydd mot överbelastningsattacker, att de implementerar parallella skydd på olika nivåer och satsar allt mer på sina processer för hantering av attacker, vilket alla är exempel på framsteg inom ett område som i övrigt blir allt tuffare.

”De svarande har tvingats vänja sig vid att attackerna ökar i både storlek och komplexitet år efter år,” säger Darren Anstee, Arbor Networks Chief Security Technologist. ”Under det senaste året har det dock skett betydande förändringar på grund av att attacknätverken allt oftare är baserade på internetuppkopplade enheter. Det finns miljontals enheter som relativt enkelt används som vapen när hackare vill utföra massiva attacker. Den nya situationen tycks ha ökat medvetenheten hos företag, myndigheter och utbildningsinstitutioner, då rapportresultaten visar att det skett betydande förbättringar i hur man inför ny teknik och smarta processer för att hantera hoten”.

Viktiga resultat från rapporten:

Innovation och utnyttjande av uppkopplade enheter driver utvecklingen av överbelastningsattacker. Botnets som utnyttjar inbyggda säkerhetsbrister i uppkopplade enheter och tillgängligheteten till Mirai-koden innebär att individer enklare än någonsin kan genomföra extremt stora attacker.

Storlek : Attackernas storlek har ökat dramatiskt på grund av en ökad aktivitet och på grund av att uppkopplade enheter ingår allt oftare i stora botnets.

– Sedan Arbor släppte sin första WISR-rapport 2005, har DDoS-attackernas storlek ökat med 7900 percent, vilket är ett genomsnitt på 44% per år.

– Under de senaste fem åren har attackstorleken ökat med 1233%, vilket motsvarar en ökning på 68% per år.

Frekvens : Risken att drabbas av en DDoS-attack har aldrig varit större.

– 53% av tjänsteleverantörerna drabbades av minst 21 attacker under året – en ökning med 44% jämfört med förra året.

– 21% av datacenters drabbades av fler än 50 attacker per månad. Förra året var denna siffra endast 8%.

– 45% av företag, myndigheter och utbildningsinstitutioner drabbas av fler än tio attacker per månad – en ökning med 17% från 2015.

Komplexitet : Det är en ökande trend att attacker sker på olika fronter och mot olika delar av den drabbades infrastruktur samtidigt. Dessa så kallade multivector-attacker är populära då de är svåra att skydda sig mot bland annat då det krävs skydd på flera nivåer.

– 67% av tjänsteleverantörerna och 40% av företagen, myndigheterna och utbildningsinstitutionerna drabbades av multivector-attacker.

Konsekvenserna av DDoS-attacker tydligare än någonsin: DDoS-attacker har gjort många ledande webbaserade tjänster oanvändbara, vilket inte sällan har kostat de drabbade miljontals dollar i uteblivna intäkter. Det är en av orsakerna till att högsta ledningen på företagen numera ser skydd mot DDoS-attacker som en prioritet.

– 61% av alla datacenteroperatörer rapporterade att de drabbats av attacker som var så stora att de helt fyllde datacentrets bandbredd.

– 25% av alla datacenters och molnleverantörer drabbades av attacker som kostade dem 100 000 USD eller mer och 5% drabbades av attacker som kostade dem mer än 1 miljon USD.

– 41% av företag, myndigheter och utbildningsinstitutioner rapporterade att de drabbades av DDoS-attacker som överskred deras totala internetkapacitet. Nästan 60% av aktörerna I denna kategori anger att varje minut som internetdriften är nere kostar dem mer än 500 USD.

Bättre säkerhetsprocesser på plats  

Årets undersökning visar att det finns en bättre förståelse än tidigare för hur DDoS-attacker kan skada varumärket och intäkterna. Det är slutsatsen baserat på att allt fler inför särskilda lösningar för att skydda sin organisation. Rapporten visar att samtliga branscher har blivit bättre på att både införa tekniska lösningar och smartare processer.

–  77% av tjänsteleverantörerna kan komma tillrätta med en attack på under 20 minuter.

– Nästan 50% av företag, myndigheter och utbildningsinstitutioner arbetar nu förebyggande genom att simulera DDoS-attacker varje år, och 30% gör det minst en gång per kvartal.

– Andelen svarande som jobbar inom datacenterbranschen eller som molnleverantör och som bara använder brandväggslösningar för att skydda sig mot DDOS-attacker har sjunkit från 71% till 40%.