Den årliga säkerhetsrapporten, WISR – Worldwide Infrastructure Security Report – från Arbor visar att företag agerar på säkerhetshot på skilda sätt.
När de svarande ombads ange vilket skydd de hade mot överbelastningsattacker (DDoS attacks) framkommer bland annat att Bland 82% använder brandväggar och 57% hade så kallade intrusion detection/prevention systems (IDS/IPS) på plats. Bara 28% hade satsat på intelligenta DDoS Mitigation Systems.
Brandväggar och IDS/IPS har absolut en funktion i säkerhetsarbetet. De kan utgöra ett första skydd mot attacker som syftar till att identitetsstölder eller industrispionage. Men i sig själva är de inte tillräckligt bra för att skydda mot attacker som syftar till att ta ned webbsidor. Faktum är att de ofta är de huvudsakliga målen för överbelastningsattacker där syftet är att slå ut nätverksinfrastrukturen.
Säkerhetsbeslut präglas ofta av en approach där ansvariga går igenom en standardchecklista: Vilka verktyg behöver vi? Och när det gäller det yttre skyddet, är det vanligt att brandväggar i detta fallet anses vara ett måste. Det beror ofta på att brandväggar ses som ett led i företagens strävan efter att uppfylla regler av olika typer: Vad säger lagen att vi måste ha på plats? Tyvärr är det mycket vanligt att företag lever i illusionen att om de bara uppfyller de juridiska kraven så innebär det också att de är säkra. De har ju checkat av den viktigaste rutan i listan.
Men istället för att checka av en teoretisk lista med lösningar, borde företag fokusera mer på hur deras risksituation ser ut i förhållande till de DDoS-hot som ständigt finns. En avgörande fråga är: Vilka DDoS-risker exponeras vi mot, och är vi redo att hantera dem? Svaren blir troligen i stil med nedanstående:
Volymetriska DDoS attacker:
Denna typ av attacker överbelastar bandbredden antingen internt hos målet eller mellan målet och internet. Det uppnås genom att angriparen ser till att blockera tillgången till och flödet av tjänster genom attacker som är så omfattande att de slår ut målet. Denna typ av attacker fortsätter dessutom att öka i storlek och attacker som är större än1 terabit är på väg att bli den nya verkligheten att förhålla sig till. För att försvara sig mot dessa attacker krävs en lösning med motsvarande kapacitet, vilket på grund av storleken betyder att den kommer att ligga molnet.
TCP State Exhaustion attacks:
Dessa attacker riktar sig mot den särskilda koppling (connection state tables) som finns i många infrastrukturkomponenter, exempelvis lastbalanserare, brandväggar och applikationsservrar. Även avancerade enheter med kapacitet att hantera miljontals kopplingar kan tas ned via denna typ av attacker.
Attacker på applikationslagret: Dessa attacker är ute efter specifika applikationer eller tjänster i applikationslagret. Dessa attacker är speciellt luriga eftersom de kan vara mycket effektiva även om de utförs av en enstaka maskin som genererar förhållandevis lite trafik. Det gör det extra svåra att upptäcka och hantera dessa attacker. För att försvara sig mot dem krävs en enhet som kan skilja på legitima data som kommer in i nätverket och hot som utformats för att se ut som legitima data – en tuff uppgift när trafik dessutom ökar i volym och hastighet.
Multi-layer, multi-vector attacks:
DDoS-attacker utformas allt oftare som en samlad attack som består av en kombination av flera attacktyper. Effekten blir en typ av kaos med olika typer av försvarsverktyg som jobbar samtidigt. För inte länge sedan rapporterades en attack mot Chiles största bank där 9,500 servrar och arbetsstationer slogs ut – vilket i sig orsakade stora problem. Men det visade sig I slutändan att det i själva verket var en rökridå som banade väg för angriparnas verkliga mål – att tillskansa sig 10 miljoner dollar via bankens SWIFT-nätverk.
Utgående attacker inifrån: Avancerade angripare vänder på steken genom att plantera malware i företagets nätverk. Dessa kan sedan användas för att driftsätta attacker både mot interna och externa mål. Angripare använder ofta uppkopplade enheter som ett sätt att infiltrera nätverket. Botnät av uppkopplade enheter har varit orsaken till flera stora attacker under senare tid.
Kommande hot:
Som om dessa hot inte vore nog, dyker det ständigt upp nya hot. För att vara steget före gäller det att ha tillgång till den information kring säkerhetshot som finns.
Ett starkt IT-försvar kräver att företaget kan skydda sig mot alla dessa typer av hot. Att bortse från ett av dem lämnar företaget öppet för att drabbas av angrepp. Ett försvar på flera nivåer och i flera lager och som dessutom innehåller en kombination av molnbaserade lösningar och on-premise-lösningar är en smart investering. Dessutom bör lösningen dra fördel av kvalificerad och global hotinformation.
Säkerhetsexperter kan ibland titta på dessa risker och dra slutsatsen att det är för dyrt och komplicerat att införa ett så heltäckande skydd. Det är här hanterade DDoS-tjänster kommer in i bilden. Att outsourca till en expert som redan gjort de nödvändiga investeringarna i teknik och kompetens visar sig ofta vara ett utmärkt val. Det sparar företaget pengar, optimerar företagets användning av sina egna resurser och minimerar risker. Och det innebär att checklistans tid är utdaterad!
/Olli Lähteenmaa, Arbor Networks