Det forekommer Denial-of-service (DDoS)-angrep eller tjenestenektangrep hele året, men noen av de mest høyprofilerte angrepene skjer i julesesongen.
Få innsikt rett fra ekspertene på Microsoft Threat Intelligence Podcast. Lytt nå.
DDoS-forsvar i julesesongen: Din veiledning til sikkerhet
DDoS-angrep utføres av enkeltenheter (boter) eller nettverk av enheter (botnett) som er infisert med skadelig programvare og brukes til å oversvømme nettsteder eller tjenester med store mengder trafikk. DDoS-angrep kan vare i noen timer eller til og med dager.
- Hva: Et DDoS-angrep oversvømmer et nettsted eller en server med feilaktig trafikk for å forstyrre tjenesten eller frakoble den.
- Hvorfor: Kriminelle bruker DDoS-angrep til å utpresse nettsteders eiere for penger, oppnå konkurransefordeler eller av politiske årsaker.
- Hvordan: Takket være forretningsmodellen nettkriminalitet-som-tjeneste, kan et DDoS-angrep bestilles fra en DDoS-abonnementstjeneste for så lite som USD 5.1
IP-bootere – også kjent som DDoS-stressorer – er i all vesentlighet programvare-som-tjeneste for cyberangripere. Disse tjenestene gjør at alle kan bruke et botnett til å sette i gang en stor DDoS-angrepskampanje, uten å kunne noe om koding.
- Én: Organisasjoner har vanligvis reduserte ressurser engasjert i nettverkene og programmene – slik at det er flere muligheter for trusselaktører til å utføre angrep.
- To: Trafikken er på sitt største (i år forventes salget å nå USD 1,33 billion), spesielt for e-handelsnettsteder og spilleverandører, slik at det blir vanskeligere for IT-ansatte å skille mellom lovlig og ikke-lovlig trafikk.
- Tre: For angripere som søker økonomisk vinning, kan muligheten for større utbetalinger være høyere i julesesongen fordi inntektene er på sitt høyeste og driftstid for tjenestene er avgjørende.
I fjor viste vi hvordan det var en økning i slike angrep i julesesongen, noe som understreket behovet for et solid forsvar.
Nedetid for et nettsted eller en server i høysesongen kan resultere i tapt salg og kunder, store gjenopprettingskostnader eller skadet omdømme. Effekten er enda større for mindre organisasjoner, siden det kan bli vanskeligere for dem å gjenopprette etter et angrep.
Et DDoS-angrep faller generelt under tre hovedkategorier, med et utvalg forskjellige cyberangrep i hver kategori. Nye DDoS-angrepsvektorer dukker opp hver dag fordi cyberkriminelle bruker stadig mer avanserte teknikker, for eksempel angrep basert på kunstig intelligens. Angripere kan bruke flere angrepstyper, blant annet fra forskjellige kategorier, mot et nettverk.
Volumetriske angrep: Retter angrepet mot båndbredde. De er utformet for å overvelde nettverkslaget med trafikk.
Eksempel: DNS (domenenavnserver)-forsterkningsangrep som bruker åpne DNS-servere til å oversvømme et mål med DNS-responstrafikk
Protokollangrep: Retter angrepet mot ressurser. De utnytter svakheter i protokollstabelens lag 3 og lag 4.
Eksempel: Et SYN (synchronization packet flood)-angrep, som bruker alle tilgjengelige serverressurser (og dermed gjør en server utilgjengelig).
Ressurslagangrep: Retter angrepet mot nettprogrampakker. De forstyrrer overføringen av data mellom verter
Eksempel: Et HTTP/2 Rapid Reset-angrep, som sender et bestemt antall HTTP-forespørsler ved hjelp av HEADERS fulgt av RST_STREAM, og gjentar dette mønsteret for å generere stor trafikk på de utpekte HTTP/2-serverne.
Det er ikke mulig å unngå helt å bli utsatt for et DDoS-angrep, men proaktiv planlegging og forberedelser kan bidra til at du får et mer effektivt forsvar.
Når det er sagt, er det viktig å huske at større trafikk i julesesongen kan gjøre det vanskeligere å oppdage avvik.
- Evaluer sikkerhetsrisikoer og -problemer: Start med å identifiserte programmene i organisasjonen som er utsatt for det offentlige Internett. Sørg også for å notere deg programmets vanlige virkemåte, slik at du kan reagere raskt hvis det begynner å virke på en annen måte enn forventet.
- Sørg for å være beskyttet: Med DDoS-angrep på topp i julesesongen trenger du en DDoS-beskyttelsestjeneste med avanserte reduksjonsfunksjoner som kan håndtere angrep av alle størrelser. Se blant annet etter følgende tjenestefunksjoner: trafikkovervåking, beskyttelse som er skreddersydd akkurat ditt program, telemetri, overvåking og varsling for DDoS-beskyttelse samt tilgang til et raskt responsteam.
- Opprett en DDoS-responsstrategi: Det er viktig å ha en responsstrategi for å hjelpe deg med å identifisere, redusere og raskt gjenopprette etter DDoS-angrep. En viktig del av strategien er å samle et DDoS-responsteam med tydelig definerte roller og ansvarsområder. DDoS-responsteamet må forstå hvordan man identifiserer, reduserer og overvåker angrep, og kunne koordinere med interne interessenter og kunder.
- Ta kontakt for å få hjelp under et angrep: Hvis du tror at du er under angrep, kan du ta kontakt med de riktige tekniske ekspertene, for eksempel et etablert DDoS-responsteam, for å få hjelp med etterforskningen av angrepet mens det pågår og med analysen av angrepet etterpå, når den er utført.
- Lær og tilpass etter et angrep: Du vil sikkert legge et angrep bak deg så fort som mulig, men det er viktig å fortsette å overvåke ressursene og undersøke angrepet i ettertid. Sørg for at analysen etter angrepet inkluderer følgende:
- Forekom det forstyrrelser i tjenesten eller brukeropplevelsen på grunn av en mangel på skalerbar arkitektur?
- Hvilke programmer eller tjenester led mest?
- Hvor effektiv var DDoS-responsstrategien, og hvordan kan den forbedres?
Følg Microsoft