AGS Bloggen

DDoS-beskyttelse - slik beskytter du din bedrift mot angrep utenfra

Skrevet av Malin Aileen Edvardsen | 22. november 2022

I dette blogginnlegget skal du få vite mer om typiske angrepsmetoder, og tiltak du kan gjøre for å sikre din bedrift mot DDoS angrep.

Beskyttelse mot data-angrep 

Jeg heter Malin, og jobber som kundesuksess ansvarlig i AGS IT-partner. Min rolle er å bidra til og utvikle nye og eksisterende kunder med våre tjenester, og har et brennende engasjement for sikkerhet.

Før min tid i AGS har jeg flere år bak meg fra ISP/Datacom bransjen - og med det har jeg fått god erfaring om hvilke trusler som finnes og hva man gjøre for å sikre seg best mulig mot ondsinnede trusler utenfra.

 

 

 

 

Del 1 - Hva er DDoS?

DDoS, som også er kjent som Distrubuted Denial of Service – oppstår når ditt nettverk eller din server er under et cyber angrep.

DDoS angrep selges i dag rimelig på internett i ulike varianter.
Under vil jeg oppsummere noen av de vanligste angrepene.

• Volumetrisk angrep

  • Store mengder uønsket trafikk beslaglegger kapasiteten i kundens nett.
  • 75 % av DDoS angrepene er Volumetriske


• Protokoll angrep

  • Hyppige kall med Lag 3 og 4 trafikk sendes mot nettelementer som last-balansere, brannmurer og applikasjons-servere, inntil interne tabeller fylles opp.
  • 12 % av DDoS angrepene er Protokoll angrep.


• Applikasjons angrep

  • Er rettet mot spesifikke deler av en applikasjon. Hacker utnytter kjente sårbarheter og sender mange forespørsler inntil applikasjonen er utilgjengelig for andres bruk.
  • L7 angrep er ofte vanskelig å detektere når angriper oppfører seg som en legitim bruker.
  • Mail og VoIP applikasjoner er ofte utsatt for angrep.
  • 13 % av DDoS angrepene er rettet mot applikasjoner.

 

 

 

Del 2 - Typisk aktivitet:

Botnet – utnytter sårbarhet på enheter som er koblet til nettet


  • Mirai er et type angrep som går etter bruker-enheter som er koblet på nett – og gjennom Mirai sårbarheten ser vi misbruk av enheter med svake passord eller mangel på sikkerhetsoppdatering
  • Et angrep mot Dyn tok ned profilerte nettsteder som Twitter, Spotify, Netflix, Airbnb og PayPal. Over 1 Tbps med trafikk ble generert mot Dyn ‒ og DNS port 53 ble angrepet med TCP/UDP pakke. Mirai-botnettet (IoT/Linux) besto av 20 000 enheter. Derfor jeg skriver om dette, er for og gi en liten pekepinn på hva disse aktørene kan være i stand til.

 

DDoS utpressingskampanjer fra grupperinger som Lazarus, Bear og Armada (LBA)

Oppsummering fra et kravbrev

  • Virksomheten mottar pengekrav med trussel om et DDoS angrep som vil ramme virksomheten dersom innbetaling av 2 BTC ikke finner sted innen fristen (2 BTC = 427 000 NOK per 3.11.2022)
  • Betales ikke kravet innen fristen økes det til 4 BTC, deretter med 1 BTC per dag.
  • For å demonstrere sin evne, oppgis en IP-adresse hos kunde som blir utsatt for et “mindre” angrep i 2 timer.
  • De oppgir å ha en kapasitet til å utføre et volumetrisk DDoS angrep rettet mot virksomheten på 2Tbps

 

 

 

Del 3 - Tiltak og beskyttelse

Flere pro-russiske cyberaktører har vært aktive den siste tiden. Siden Russlands invasjon av Ukraina i februar 2022, har disse grupperingene lovet støtte til den russiske regjeringen eller truet med å gjennomføre cyberoperasjoner for å gjengjelde angrep mot Russland eller materiellstøtte til Ukraina.
Grupperingene har i hovedsak vist sin støtte til Kreml gjennom tjenestenekt- og løsepengevirusangrep. DDoS (Distributed Denial of Service) er en metode for å overbelaste en webside eller nettjeneste slik at brukerne ikke kommer inn på siden eller får logget seg på tjenesten.
NSM har tidligere varslet om at krigen i Ukraina har aktualisert betydningen av å være årvåken om cyberhendelser, og ha gode og gjennomøvde beredskapsplaner.

Nasjonal sikkerhetsmyndighet ønsker nå at virksomheter forsikrer seg om at de klarer å håndtere tjenestenektangrep. Tiltak som virksomheter kan etablere umiddelbart er å ta kontakt med sine leverandører av internettilknytning, datasentertjenester, skytjenester, og andre tjenester som webservere og innholdsleveringsnettverk (CDN - Content Delivery Network). Disse leverandørene tilbyr ofte tjenester eller annen funksjonalitet for å håndtere distribuerte tjenestenektangrep som kan begrense angrepets omfang mot virksomhetens egen IKT-infrastruktur.


Referert fra Nasjonal Sikkerhetsmyndighet

Her kan du lese hele rapporten fra Nasjonal sikkerhetsmyndighet 2022
https://nsm.no/getfile.php/1311995-1664550278/NSM/Filer/Dokumenter/Rapporter/NDIG%202022.pdf

 

 

DDoS beskyttelse som en tjeneste:


1. Standard


  • Automatisk filtrering av kjente «signaturer» på angrep
  • Automatisert tjeneste uten SLA
  • Analysering av trafikk på aksess med maksimalt 62 offentlige IP-adresser (/26 nett)
  • Bestilles som tilleggstjeneste per aksess

2. Business

  • Automatisk filtrering av kjente «signaturer» på angrep
  • Automatisk null-routing av angrepet host, ivaretar tilgjengelighet for øvrige tjenester
  • Leveres med SLA
  • Bestilles som en felles-tjeneste og beskytter Kundens IP-subnet som annonseres på Internett

3. Advanced

  • Automatisk filtrering av kjente «signaturer» på angrep
  • Automatisk og/eller manuell vask av angrep, ivaretar tilgjengelig for alle tjenester også den som er under angrep
  • Kundetilpasset filtreringsprofiler, støtter flere objekter
  • Leveres med SLA
  • Bestilles som en felles-tjeneste og beskytter Kundens IP-subnet som annonseres på Internett

 

Sikkerhets-kjeden

 

 

 

 

AGS Sikkerhetssenter


Vi er alltid på vakt for deg! Oppdag vårt sikkerhetssenter og hold tritt med truslene. La oss ta oss av trusseljungelen, slik at du kan fokusere på det du elsker.