Det du måste veta om DDoS

4 april 2023

En särskild förmåga för det oönskade

Innan David får ordet vill jag presentera hans specialistgrupp. De är ett team experter som utformar, guidar, implementerar och skräddarsyr unika DDoS-skydd till Tele2s kunder. Det som sticker ut, och som är en del i att Tele2s skydd blir så effektivt, är att David och teamet har direktkontakt med kunden. Således elimineras mellanhänder och svårtydda blanketter. Utöver ett betydligt mer anpassat skydd resulterar det också i att nya och uppdaterade DDoS-skydd hanteras avsevärt snabbare.

Men nu över till David Ilhan.

Alla kan utsättas för DDoS

Jag heter David och har jobbat på Tele2 sedan 2008. Jag är en del av ett team experter som ansvarar för DDoS-skydd till Tele2s kunder. Säkerhet angår alla, men just teknisk säkerhet har fångat mitt intresse särskilt. Därför har jag kommit att specialisera mig på internetrelaterade risker, som hur man uppnår ett riktigt bra skydd mot DDoS-attacker.

Det försämrade cybersäkerhetsläget har inte undgått någon. I kriget i Ukraina har DDoS också använts som en del av krigföringen i syfte att störa och försvaga infrastruktur och möjlighet att kommunicera. Med andra ord är det inte bara verksamheter i Sverige och världen som drabbats av den ökade mängden överbelastningsattacker.

I takt med att DDoS blivit mer och mer känt ser jag också att synen på behov av DDoS-skydd (äntligen!) gått från nice-to-have till need-to-have. Myndigheten för samhällsskydd och beredskap, MSB, har ett flertal gånger uppmanat till skyndsam översyn av sina säkerhetslösningar. Två av de återkommande riskområdena som lyfts är ransomware och just DDoS.

Jag kan sammanfatta året på följande sätt (med risk för att det blir lite tekniskt):

• Merparten är inte tillräckligt uppdaterade om sitt DDoS-skydd.

• Några är osäkra på om de har ett skydd, medan andra har gjort betydande ändringar i sina externa webbtjänster utan att addera eller ändra sitt DDoS-skydd. Det handlar om vilka förbindelser som kommunicerar över internet som ska skyddas, vilka IP-adresser som används idag (och som därigenom behöver skyddas) eller vilka kommunikationsprotokoll (som TCP och UDP) som tillåts på webbsidan. Ett DDoS-skydd som inte är uppdaterat kan vara lika dåligt som att inte ha något.

• En vanlig uppfattning är att DDoS-attacker innebär enorma datamängder mot specifika mål, en så kallad volymetrisk attack. Den typen av attack finns såklart också, men idag har cyberkriminella utvecklat en hel palett med olika attacktyper. Bland det första vi gör med kunder som vill skydda sig genom Tele2 DDoS Defense är en gemensam säkerhetsgenomgång av kundens förutsättningar. Vissa skyddsåtgärder bygger Tele2s team, och andra åtgärder måste kunden införa själv - exempelvis om kunden har egen brandvägg, lastbalanserare och servrar. I vissa fall krävs även ändringar i egna applikationer. Det är ganska vanligt att man behöver hjälp, vilket är helt rimligt. Ibland slutar det med att Tele2 får uppdraget att sköta brandväggarna, eller att vi gör ett nätverksprojekt där vi tillsammans ser över vilka kommunikationsformer som bör användas.

• Varje månad kommer nya eller uppdaterade attacktyper. Det är alltså inte nog med att man måste uppdatera vad som ska skyddas, utan det måste också vara uppdaterat gällande hur det skyddsvärda ska skyddas.

En viktig åtgärd är att ta en helhetssyn på skyddet. I de senaste vågorna av DDoS-attacker har det funnits tydliga tecken på att angriparna riktar in sig på kommunikationsprotokollen TCP och TCP SYN, specifikt genom att skicka ett stort antal förfrågningar utan att avsluta någon förfrågan. Om det inte finns skydd för sådana ”flood-meddelanden” i brandvägg, server eller applikation finns risken att detta resulterar i en överbelastningsattack, trots att mängden trafik i volym är minimal - det är alltså inte en volymetrisk attack. För att göra det mer förståeligt – tänk dig att du är en telefonväxel där varje TCP-session är ett samtal som kommer in. Om den uppringande inte lägger på och växeln inte har automatisk nedstängning efter en viss tid av inaktivitet riskerar växeln att bli full och kanske krascha.

Det är därför av vikt att man har lösningar som stänger samtal (eller TCP-sessioner) som inte används som det är tänkt. Mitt exempel med låg-volymetriska TCP- och TCP SYN-attacker funkar på samma sätt, men där angriparen sätter upp tusentals egna sådana sessioner mot den som angrips, som aldrig avslutas. Om kunden inte har brandvägg genom Tele2 har vi också olika lösningsförslag på skydd som vi råder våra kunder att implementera.

Andra typer av DDoS-attacker

Jag har redan varit inne på att hotet hela tiden ändras. Även om du som kund behöver ha koll på vad som ska skyddas och hur det ska skyddas, jobbar Tele2s team mycket med att uppdatera det generella skyddet för alla som använder Tele2 DDoS Defense.

Ett exempel på sådant generellt skydd är skyddsmekanismer mot att cyberkriminella utnyttjar felaktigt konfigurerade servrar på internet genom användning av en specifik applikation. Angriparen gör ett speciellt anrop, och servern svarar felaktigt med stora mängder data. Detta volymmässigt minimala anrop, några byte i storlek, kan besvaras med data som är flera tusen gånger större (mätt i datavolym). Resultatet innebar en betydande hävstångseffekt, eller som det kallas i DDoS-sammanhang, en amplifiering. Det finns förstås även andra it-sårbarheter, exempelvis att spoofa en IP-adress via olika verktyg. Angripare som använder denna attackmetod börjar därför med att ”presentera sig” med den IP-adress de vill angripa, för att därefter ställa ett stort antal frågor till just felkonfigurerade servrar. Resultatet: det riktas enorma mängder data mot den av angriparen utpekade IP-adressen. Attackmetoden kallas reflektions- och amplifieringsattack.

Attackmetoder som dessa har många gånger ett övergripande skydd, vilket kan behöva anpassas till varje kunds unika förutsättningar. Därför har vårt team en väldigt nära dialog med de kunder som har kritiska beroenden till sina internettjänster.

Nästa steg i Tele2 DDoS-skydd och internetsäkerhet

Just nu pågår ett intensivt utvecklingsarbete kring våra lösningar inom säkerhet på Tele2. Jag kan inte avslöja några detaljer än, men det som precis lanserats är Tele2s uppdaterade tjänst för Internet Firewall.

Avslutande tips

För att förstå om du har ett tillräckligt skydd mot DDoS eller andra typer av överbelastningsattacker har jag några tips som du inte vill missa:

• Följ CERT-SE:s råd gällande överbelastningsattacker, exempelvis detta.

• För mer svårupptäckta attacker (som i TCP/TCP SYN-exemplet ovan) – vilka mitigeringsåtgärder som brandvägg eller lastbalanserare kan och behöver du aktivera redan idag?

• Data innebär kunskap – har du tillgång till data som gör det enkelt att identifiera trafikavvikelser? Tillförlitlig data visar hur ett normalt trafikmönster ser ut, och därmed också vad som är avvikande.

• Var gör ett DDoS-skydd mest nytta? Många gånger har företagets internetleverantör främst möjlighet att ge ett övergripande skydd. I vissa fall behöver det kompletteras med andra lösningar.

• Vad har internetförbindelsen för värde för din verksamhet? Ett formellt klargörande av detta är ofta till nytta för att förstå vikten av skydd. Tänk då också på att överbelastningsattacker kan innebära att ni inte kan kommunicera ut (beroende på nätverkslösning).

• Om ni har DDoS-skydd via er internetleverantör – vem är internt ansvarig för detta hos er? Vilka mitigeringsåtgärder har implementerats och finns skyddet dokumenterat hos er?Finns interna processer eller rutiner som gör att DDoS-skyddet måste uppdateras hos leverantören när ändringar utförs på publika tjänster eller IP-nät? Om detta inte finns infört ökar risken för överbelastningsattacker.

• Ha en årlig genomgång av ert DDoS-skydd med er internetleverantör. Detta är en kvalitativ åtgärd som säkerställer att skyddet är korrekt konfigurerat, att larmnivåer inte är onödigt höga eller låga, samt ger råd om nya skyddsåtgärder bör införas.

Samtliga åtgärder ovan är förknippade med inga eller mycket låga kostnader. Resultatet är att ni får ett effektivt skydd mot cyberkriminellas många former av överbelastningsattacker.

Tack för mig och hoppas vi hörs kring framtida DDoS-skydd.

Vänliga hälsningar

David Ilhan Säkerhetsspecialist - DDoS-skydd / Tele2 Företag