Säkerhet Cloud Cybersäkerhet

23 Sep 2020

DDoS attacker som tjänst, en ökning som inte slutar

DDoS är inget nytt. Genomförandet av överbelastningsattacker har pågått länge och nyttjats av allehanda anledningar; ofta att störa ut eller sänka målet (en internetbaserad tjänst) från att vara tillgänglig och fungera. Det är också vanligt förekommande att DDoS-attacker används som en rökridå medan annan aktivitet sker samtidigt eller i nära anslutning till en attack. Medan IT-personalen är fullt upptagen med att få upp en e-handelsplattform som ligger nere sker ett dataintrång helt ostört— för att ge ett exempel av många. 

Att köpa DDoS som tjänst har också funnits ett tag, men man noterade dock en ökning av tjänsteutbudet under förra året. Priser på DDoS-attacker som tjänst ligger på mellan 5 och 400 dollar, prissatt utifrån längd och volym på attacken. Det är både busenkelt och prisvärt (OBS, detta är inte något IT-Total tillhandahåller som tjänst) vilket gör att det är ett allt oftare förekommande hot mot företags digitala tillgångar. 

Om vi bortser från viss felinformation tidigare i år* så slog AWS (AWShield) rekord tidigare i år i mängd hanterad smutsig trafik — ett rekord som tidigare hölls av Netscout Arbor (från 2018) som då låg på 1.7Tbps.  

Det nya rekordet? 2.3Tbps. Och det var redan i februari 2020.  

Molntjänsten Akamai såg sin största attack någonsin tidigare i år på 1.44 Tbps och konkurrenten Cloudflare såg runt en tusenfaldig ökning i attacker mellan maj som april. Antalet DDoS-attacker hade en stadigt nedåtgående trend innan den globala situation vi just nu lever i — men, precis som vanligt så tas tillfället i akt och ju mer kaos, desto mindre medel krävs för att spä på det kaoset. Sätt detta i relation till vad den volymkapacitet som anslutningspunkten till internet är för ert företag — eller vad ni nyttjar via bredbandet hemma för den delen. Nivåerna blir ganska så stora i jämförelse, ganska så fort.  

Idag är det dock inte rekordslående attacker som är vanligast (eller skadligast), utan ofta är de istället anpassade för att helt enkelt bara uppnå sitt mål: att orsaka skada. Ett snitt på DDoS-attackers storlek ligger runt 100-500Gbps i svenska nät. Uppskattningsvis är det extremt få nät som kan klara av volym i den storleken. Så hur skyddar man sig? 

De lösningar som växte fram i början för att motverka DDoS-attacker krävde stora ingrepp hos den operatör som var närmast med hårdvaru-dedikerade lösningar och höga start- och driftkostnader. För att det skulle fungera ordentligt, behövdes även att denna operatör hade avtal och kommunikationsvägar färdiga mot sina partners. Det kunde även skötas med egen utrustning, men då blir det kundens egen kapacitet som sätter gränsen. Tyvärr, fungerar det så med många av de lösningarna än idag. Vi behöver något bättre. 

Listan över vad som används för attacker växer också, en sammanfattning från zdnet summerar ihop några historiskt ovanliga metoder, såsom CoAP, WS-DD, ARMS och Jenkins (CoAP är applikationsprotokoll, WS-DD står för Web Services Dynamic Discovery, ARMS är Apple Remote Management Service samt Jenkins – en Automatiserings-server kopplat till tester, byggande samt deployment kopplat till utveckling) I grund och botten har man hittat sårbarheter och använt dessa som förstärkare av trafik. 
Varför? Resultatet talar för sig själv – i fallet för Jenkins så var förstärkningen 100:1 – helt klart värt tiden att hitta en sårbar server. 

Attacks per day_IT-Total

IT-Total har riktat in sig mot att avhjälpa den delen av företags digitala tillgångar som är publikt tillgänglig på internet (exempelvis hemsidor eller applikationer). Konceptet är enkelt — egna nät och ingångspunkter som står redo att hantera DDoSIntrusion Prevention, Web Application Firewall, botskydd samlastbalansering. På så vis har kunder ett heltäckande och intelligent skydd som inte bara stoppar icke-önskvärd trafik i termer av volym, utan även mer riktade och sofistikerade attacker. Man kan se det som att ditt företag har ett skydd i flera lager, där varje lager skyddar mot olika typer av hot — från nätverkslagret hela vägen till applikationslagret.  

Threat Intelligence_IT-Total
Anledningen varför vi har valt den här inriktningen är enkel och blir tydlig när man plockar isär en DDoS-attack för att se vad den består av. Ingredienserna är oftast två: sändare och mottagare. Sändarna är vanligen många varpå olika tekniker används för att förstärka trafiken mot de betydligt färre mottagarna — alltså måltavlorna — och volymen blir då hög. Det är inte enbart stora mängder webbtrafik och förfrågningar som används för att attackera utan även olika protokoll och andra tillvägagångssätt. I regel används lagen om minsta motstånd — alla har vi en latsida. 

Source Countries_IT-Total
Vi tar sedan det konceptet och sprider ut trafiken mot flertalet punkter så att den volym som kan hanteras alltid är högre än en potentiell attackvolym (tänk er kapacitetsplanering på en riktigt härlig nivå). Lägg till det en fungerande kommunikation med peering-partners, så kan du som företag ganska enkelt försvara dig. Skulle man som organisation bygga upp motsvarande koncept på egen hand med en likvärdig skyddsnivå, skenar kostnaden iväg omgående.  


Vi kan hjälpa er hantera, agera och säkra er publika del på internet. För vi bryr oss, på riktigt.

 

Läs mer om vår tjänst:

MSS Internet Threat Protection

 

*Anonymous tog den 15:e juni tillfället i akt och försökte sprida informationen att en massiv DDoS-attack pågick, som i verkligheten var ett fel hos T-Mobile i USA efter konfigurationsändringar.

 

 

(För er som är nyfikna, glöm inte bort vår ”Glossary” )

Glossary

DoS/DDoS - Denial of Service/Distributed Denial of Service - nätverksattack med syfte att blockera åtkomsten till exempelvis en webserver, Det finns flera angreppsmetoder. Oftast skapas DoS via botnätverk som genererar massiv datatrafik som överbelastar servern eller dess värdnätverk. Attacken skadar den angripna organisationens rykte eller verksamhet.)

 

Källor:

https://securityaffairs.co/wordpress/57429/cyber-crime/cost-ddos-attack-service.html#:~:text=A%20DDoS%20attack%20service%20typically,to%20%24400%20for%2024%20hours.

https://www.helpnetsecurity.com/2020/03/27/ddos-attacks-increase-2020/

https://cybersecurityventures.com/the-15-top-ddos-statistics-you-should-know-in-2020/

https://betanews.com/2020/07/01/ddos-attacks-jump-during-lockdown/

https://blog.nexusguard.com/threat-report

https://www.sentinelone.com/blog/look-whos-back-its-ddos/

https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf

https://www.zdnet.com/article/fbi-warns-of-new-ddos-attack-vectors-coap-ws-dd-arms-and-jenkins/

Björn Nilsson

Skriven av Björn Nilsson

Senior Cyber Security Architect på IT-Total Sweden AB med över 15 års erfarenhet inom IT och cybersäkerhet. Björn Nilsson brinner för att bygga Sveriges bästa cybersäkerhetsavdelning för kunder och medarbetare.

DDoS attacker som tjänst, en ökning som inte slutar

DDoS är inget nytt. Genomförandet av överbelastningsattacker har pågått länge och nyttjats av allehanda anledningar; ofta att störa ut eller sänka…

Bli inte offer för förfalskad e-post

Att skydda tillgång till sin information blir viktigare och viktigare. Organisationer inför tvåfaktorsautentisering (MFA) för sina anställda för all…

5 vanliga myter om IT-säkerhet vid hemmajobb

Gästskribent: Nils von Greyerz, SentinelOne

Cyberattackerna ökar när fler jobbar hemifrån och företagen blir mer utsatta. Hur säker är din…

Prenumerera på bloggen: