Vaikka hajautettuja palvelunestohyökkäyksiä esiintyy läpi vuoden, monet merkittävimmistä hyökkäyksistä tapahtuvat loppuvuoden ja joulunpyhien aikaan.
Hanki merkityksellisiä tietoja suoraan asiantuntijoilta Microsoft Threat Intelligence -podcastista. Kuuntele nyt.
Juhlapyhien hajautetuilta palvelunestohyökkäyksiltä suojautuminen: oppaasi turvassa pysymiseen
Hajautettuja palvelunestohyökkäyksiä tekevät yksittäiset laitteet (botit) tai laiteverkot (bottiverkot), jotka on saastutettu haittaohjelmilla ja joilla hukutetaan verkkosivuja tai palveluita suurilla liikennemäärillä. Hajautettu palvelunestohyökkäys voi kestää muutaman tunnin tai jopa päiviä.
- Mitä: hajautettu palvelunestohyökkäys hukuttaa sivuston tai palvelimen suurella liikennemäärällä häiritäkseen sitä tai kaataakseen en.
- Miksi: rikolliset käyttävät hajautettuja palvelunestohyökkäyksiä kiristääkseen sivustojen omistajalta rahaa, saadakseen kilpailuetua tai poliittisista syistä.
- Miten: palveluina tarjottavien kyberrikosten liiketoimintamallin johdosta hajautetun palvelunestohyökkäyksen voi tilata sellaisia tarjoavasta palvelusta halvimmillaan jopa vain viidellä Yhdysvaltain dollarilla.1
IP-käynnistimet (IP booters), joitakutsutaan myös nimityksillä DDoS stressors ja IP stressors (eli DDoS-rasittimet tai IP-rasittimet), ovat käytännössä SaaS-palveluita (eli palveluina tarjottavia ohjelmistoja) kyberhyökkääjille. Näiden palveluiden avulla kuka tahansa voi valjastaa bottiverkon käynnistämään massiivisia hajautettuja palvelunestohyökkäyksiä ilman minkäänlaista koodausosaamista.
- 1: organisaatioilla on yleensä vähemmän resursseja verkkojensa ja sovellustensa valvontaan, mikä tarjoaa uhkaaville toimijoille helpommat mahdollisuudet hyökkäyksen toteuttamiseen.
- 2: verkkoliikenteen määrä on ennätyksellisen suuri (tänä vuonna myynnin odotetaan nousevan 1,33 biljoonaan Yhdysvaltain dollariin), erityisesti verkkokauppasivustoissa ja pelipalveluntarjoajilla, mikä vaikeuttaa IT-henkilöstön mahdollisuuksia erottaa oikea ja haitallinen liikenne toisistaan.
- 3: taloudellista hyötyä tavoittelevilla hyökkääjillä on juhlapyhien aikana mahdollisuus saada suurempia voittoja, koska tulot ovat suurimmillaan ja palvelun käytettävyys on kriittistä.
Viime vuonna korostimme sitä, miten juhlapyhinä nähtiin piikki tällaisissa hyökkäyksissä. Tämä korostaa entisestään tehokkaan suojauksen merkitystä.
Mikä tahansa verkkosivuston tai palvelimen käyttökatkos juhlapyhäkauden huippusesongin aikana voi johtaa myynnin ja asiakkaiden menetykseen, korkeisiin korjauskustannuksiin ja mainehaittoihin. Vaikutus on entistä merkittävämpi pienemmille organisaatioille, sillä niiden voi olla vaikeampi toipua hyökkäyksestä.
Yleensä hajautetut palvelunestohyökkäykset jaetaan kolmeen pääluokkaan, joihin kuhunkin kuuluu erilaisia kyberhyökkäyksiä. Uusia hajautettujen palvelunestohyökkäysten hyökkäysvektoreita ilmenee joka päivä, kun kyberrikolliset hyödyntävät entistä kehittyneempiä tekniikoita, esimerkiksi tekoälypohjaisia hyökkäyksiä. Hyökkääjät voivat käyttää verkkoa vastaan useita eri hyökkäystyyppejä, myös eri luokista.
Volumetriset hyökkäykset: Nämä hyökkäykset kohdistuvat kaistanleveyteen. Näiden hyökkäysten tavoitteena on kaataa verkkokerros suurella liikennemäärällä.
Esimerkki: tällainen hyökkäys voi olla esimerkiksi DNS-vahvistushyökkäys, jossa kohde hukutetaan DNS-vastausliikenteellä avointen DNS-palvelinten avulla.
Protokollahyökkäykset: Nämä hyökkäykset kohdistuvat resursseihin. Ne hyödyntävät kerroksen 3 ja 4 protokollapinon heikkouksia.
Esimerkki: tällainen hyökkäys on esimerkiksi SYN-hyökkäys (synkronointipakettien hukutushyökkäys), joka kuluttaa kaikki käytettävissä olevat palvelinresurssit (minkä johdosta palvelin ei ole käytettävissä).
Resurssikerroksen hyökkäykset: Nämä hyökkäykset kohdistuvat verkkosovelluspaketteihin. Ne häiritsevät tiedonsiirtoa isäntien välillä.
Esimerkki: tällainen hyökkäys on esimerkiksi HTTP/2 Rapid Reset -hyökkäys, jossa lähetetään tietty määrä HTTP-pyyntöjä HEADERS-parametrilla, jonka jälkeen tulee RST_STREAM, ja tätä mallia toistamalla luodaan suuri määrä liikennettä kohteena oleviin HTTP/2-palvelimiin.
Vaikka hajautettujen palvelunestohyökkäysten kohteeksi joutumista ei voi täysin välttää, ennakoiva suunnittelu ja valmistautuminen voivat auttaa sinua luomaan tehokkaamman puolustuksen.
On kuitenkin tärkeää muistaa, että suurempi liikennemäärä juhlapyhäkaudella voi vaikeuttaa poikkeavuuksien havaitsemista.
- Arvioi riskit ja haavoittuvuudet: Aloita tunnistamalla organisaatiostasi ne sovellukset, jotka ovat tavoitettavissa julkisen internetin kautta. Muista myös huomioida sovelluksesi normaali toiminta, jotta voit reagoida nopeasti, jos alkaa käyttäytyä poikkeavasti.
- Varmista suojauksesi: Koska hajautettuja palvelunestohyökkäyksiä esiintyy eniten juhlapyhien aikaan, tarvitse suojauspalvelun, jonka kehittyneet reagointiominaisuudet kykenevät suojautumaan minkä tahansa mittakaavan hyökkäyksiltä. Palvelussa tulisi olla toiminnot liikenteen valvonnalla, sovelluksen mukaan räätälöidylle suojaukselle, DDoS-suojauksen telemetrialle, valvonnalle ja hälytyksille sekä mahdollisuus saada tukea valmiusryhmältä.
- Luo strategia hajautettujen palvelunestohyökkäysten varalle: Reagointistrategia on erittäin tärkeä, että pystyt tunnistamaan hajautetun palvelunestohyökkäyksen, ehkäisemään sen ja toipumaan siitä nopeasti. Olennainen osa strategiaa on määrittää DDoS-valmiusryhmä, jolla on selkeästi määritetyt roolit ja vastuualueet. Tämän valmiusryhmän täytyy osata tunnistaa, ehkäistä ja valvoa hyökkäyksiä sekä koordinoida toimintaa sisäisten sidosryhmien ja asiakkaiden kanssa.
- Pyydä apua hyökkäyksen aikana: jos olet mielestäsi joutunut hyökkäyksen kohteeksi, ota yhteyttä soveltuviin teknisiin asiantuntijoihin, esimerkiksi määritettyyn valmiusryhmään, joka auttaa tutkimaan hyökkäystä sen aikana sekä tekemään hyökkäyksen jälkianalyysin.
- Opi ja mukaudu hyökkäyksen jälkeen: Vaikka haluatkin todennäköisesti jatkaa toimintaa mahdollisen hyökkäyksen jälkeen mahdollisimman nopeasti, on tärkeää jatkaa resurssien valvontaa ja tehdä hyökkäyksen jälkianalyysi. Varmista, että hyökkäyksen jälkianalyysissä huomioidaan seuraavat:
- Ilmenikö palvelussa tai käyttökokemuksessa häiriöitä johtuen skaalattavan arkkitehtuurin puutteista?
- Mitkä sovellukset tai palvelut kärsivät eniten?
- Miten tehokas DDoS-reagointistrategia oli? Miten sitä voitaisiin parantaa?
Seuraa Microsoftia