Kunskapsfrukost om DDoS-attacker med Tomas Sundström från Arbor 4 maj 2016
Vårens andra frukostseminarium på Danilo Bergakungen handlade om DDoS-attacker – hur de uppträder i ett globalt och nationellt perspektiv, vilka trender man kan se men framförallt vad man ska göra för att undvika att attackerna skapar för stor förödelse. För attackerad blir man, förr eller senare, oftast förr. Många av er har blivit utsatta för många attackförsök utan att ni över huvud taget märkt något. För andra har angreppen fått besvärligare konsekvenser. Det finns sätt att minimera risken för att angriparna tar sig igenom och framförallt undvika skador på systemen. Vi återkommer till det strax.
Arbor är en av de ledande leverantörerna av skyddsutrustning. Som trusted advisor jobbar de nära de största ISP-företagen i världen. ”Våra främsta uppgifter är att skapa visibilitet och tillgänglighet. Vi synliggör trafiken och lyssnar hela tiden efter attacker. När vi upptäckt dem kan vi oskadliggöra dem för att återupprätta tillgängligheten.” berättar Tomas. DDoS-attacker är något som nästan alla hört talas om och som många fruktar. Media är snabba på att haka på och kanske spinner de på folks rädsla när de drar upp stora krigsrubriker som att rikets säkerhet är hotad när Aftonbladet går ner några minuter.
Nyligen kunde vi läsa om en stor attack som drabbade flera av de största mediehusen och i höstas var storbankerna måltavlor. ”De flesta DDoS-attacker är små och inte särskilt allvarliga – om man har rätt processer och verktyg. Är du rätt förberedd går det att plocka bort problemet innan det har blivit ett problem.” menar Tomas Sundström. Hur stor var då media-attacken som skapade så stora rubriker? Tittar man på topp 10-listan över den aktuella veckans största DDoS-attacker finns den inte med där. Faktiskt inte heller bland de 20 mest allvarliga attackerna. Den varade i 20 minuter och skickade 13 Megapackets per sekund (MPPS). Under 2 minuter var den uppe på 100 GPPS. ”Inget anmärkningsvärt alls. Vi tog bort den på 10 minuter.” berättar Tomas. Anledningen till att den här attacken sågs som så pass allvarlig handlar nog snarare om syftet och att det finns krafter som vill tysta ner medierna. Den är också ett uppvaknande som visar att väldigt många, såväl företag och organisationer som privatpersoner, inte har gjort sin hemläxa. Det skulle kunna få förödande konsekvenser, beroende på vad syftet är.
Som en av de värsta casen genom tiderna nämner Tomas Sundström attacken mot Sony Playstation. DDoS-attacken, som i sig inte var särskilt avancerad men omfattande, gjorde att nät- och säkerhetsfolket blev upptagna av att ”släcka bränder” i form av events och alerts. Därmed kunde brottslingarna ostört ta sig igenom brandväggarna med hjälp av utstuderade craftade attacker och hämta ut lösenord och kreditkortsuppgifter. 90 procent av de attacker som sker är dock betydligt mindre sofistikerade. ”I många fall är det gamers som försöker angripa sina kompisar.” säger Tomas och visar flera exempel på hur lätt det är att hitta enkla instruktioner på hur du genomför, eller helt enkelt köper dig en femdollars-attack efter en simpel googling. Den genomsnittliga attacken varar i mindre än 30 minuter och är på 3,5 Gigabit, med 700 KPPS (700 000 paket per sekund). Men trenden går mot större och större attacker och det börjar bli allt vanligare med attacker över 10 Gigabit. På siten www.digitalattackmap.com kan du få en överblick över pågående attacker världen över, som samlats upp av Arbor Networks system ATLAS tillsammans med olika ISP:er de sammarbetar med.
Vad kan man då göra för att motverka attacker? DDoS (som står för Distributed Denial of Service) är ju en form av överbelastningsattack där angriparen använder sig av ett stort antal klienter för att skicka så många anrop att siten eller nätägaren inte klarar att hantera dem, vilket får till följd att siten blir otillgänglig. Vi pratar alltså om ett tillgänglighetsproblem i första hand. Vad det innebär för det attackerade företaget beror därför på hur affärsmodellen ser ut och vad man betraktar som affärskritiskt. Säljer man varor för en miljon kr i timmen kostar det väldigt mycket att vara nere i tio minuter.
En möjlighet är förstås att öka kapaciteten men det är inte någon särskilt hållbar lösning. Hackarna kommer att fortsätta mata på tills de lyckas knäcka dig och då räcker inga bandbredder eller produkter i världen. ”Det handlar om att använda befintliga nätverksresurser på ett mer optimalt sätt”, säger Tomas och betonar vikten av att ta säkerhetsfrågor på allvar. ”Till syvende och sist måste ledningen ta beslutet hur stor risk man vill ta.” menar han.
Som kund hos Tripnet vet du säkert att vi har den utrustning som behövs och en hel del knep i bakfickan. Men precis som Tomas säger måste man anpassa skyddet efter varje system och gärna bygga ett skydd i flera lager. Brandväggar och anti-virus är en del, hur man bygger servermiljön är en annan del av detta multi layer-skydd. Ska man ha ett reaktivt skydd eller ett som håller utkik och rensar hela tiden? Det sistnämnda skyddet är det som finns på våra servrar och det är därför du sällan märker av attackerna. Givetvis finns det mer man kan göra, både internt och hos oss. Vi kör gärna en kortare workshop med dig, så att vi kan analysera systemet och föreslå rätt lösning.
Nästa gång vi bjuder in till kunskapsseminarium handlar det om informationssäkerhet. Den 29 september kommer Göran hit och pratar om vad som händer när attacken är ett faktum. Anmäl ditt intresse redan nu!