Osynlig DDoS och handeln med digitala sårbarheter

I dagens inlägg går vi igenom Tele2s insikter och resurseffektiva lösningar från den senaste tidens DDoS-attacker. Vi inleder dock med en inblick i hur digitala sårbarheter blivit en global handelsvara.

22 maj 2023

Sårbarheter i olika digitala tillgångar

Den senaste tiden har vi kunnat läsa i media om ett flertal inträffade säkerhetshändelser. Vår bedömning är att de allvarligaste i hög grad fortsätter kopplas till utnyttjande av sårbarheter i mjukvaror och osäkra enheter. Oönskade sårbarheter i just enheter, applikationer, servrar och brandväggar möjliggör för en angripare att utnyttja oavsiktligt inbyggda brister.

Zero-day-sårbarheter som de kallas, är en onödigt kraftfull metod för intrång. Tillverkarna av ”det som kan utsättas” arbetar förstås prioriterat med att hitta denna typ av sårbarheter, men det finns tyvärr även cyberkriminella som har det som yrke.

Cyberbrottslighet är som bekant idag en icke-sammanhållande mångmiljardindustri. Inom denna finns en rad aktörer som exempelvis stjäl tillgångar, överbelastar eller utpressar sina offer. Men det finns också aktörer som tjänar pengar på att upptäcka brister, utan att själva utföra någon attack.

Flera storföretag har så kallade bounty-program, det vill säga vänligt inställda belöningsprogram där en anmälare av en nyupptäckt sårbarhet kan få en god ersättning. Syftet är premiera att sårbarheter rapporteras till den som kan åtgärda dem, utan att någon utsätts för skada. Samtidigt får den upptäckande skäligt betalt. Dessa bounty-program har en direkt koppling till att tillverkarna tar fram säkerhetsuppdateringar som bygger bort sårbarheter.

Detta är ett sätt, men det finns även andra aktörer som vill köpa sårbarheter (och som i många fall är beredda att betala ansenligt mer). Säljare och köpare hittar varandra i såväl lösryckta forum som på officiella marknadsplatser. Jag behöver inte ens leda in er på de mörkaste delarna av internet (eller darknet) för att visa just en sådan; Zerodium, en av de mest kända. Här mäklas digitala sårbarheter till internationella köpare enligt en särskild process som ”kvalitetssäkrar” för köparen att sårbarheten faktiskt är så kraftig som påstås.

Vad är värdet på en sårbarhet då? Beloppet avgörs av vilken skada den kan åstadkomma, och vad som krävs för att utföra den. Allra mest betalas för sårbarheter som inte kräver något av den som angrips, så kallat zero click. Grovt förenklat betyder det att angriparen kan hacka den utsatta utan att denna behöver klicka på exempelvis en länk.

Så hur skyddar man sig mot digitala sårbarheter då? Det finns inte en enkel lösning men en effektiv metod för att motstå många former av intrång är att bygga säkerhet i flera lager där det mest skyddsvärda också är längst ifrån extern exponering. Dessa många lager, ibland beskrivet som lager i en lök, syftar till att segmentera miljöer och aktivt förhindra en angripare från att ta sig vidare och ställa till större skada. Det är komplext, men givet behovet av multilagerskydd ser vi ett särskilt fokus från våra kunder för dessa typer av åtgärder. Det handlar om åtgärder som både innefattar teknik som detekteringssystem, säkerhetssystem och zonbrandväggar men också kompetens i form av att designlösningar med säkra datacenter och nätverk.

Osynlig DDoS

Är DDoS är alltid gigantiska mängder trafik mot ett riktat mål? Nja, verkligheten har blivit något annat, något som också kräver helt andra åtgärder för att hantera det. Dessa datavolymmässigt stora, kallade volymetriska attacker, fortsätter enligt internationell statistik att minska.

De senaste veckornas koordinerade våg av DDoS-attacker mot svenska verksamheter innebar faktiskt i det närmaste inga volymetriska attacker. Detta är annars en attackmetod som DDoS-skyddslösningar blivit allt bättre på att hantera automatiskt, något som angriparna förstås konstaterat och som leder till att de hittar nya attackmönster.

Vi ser därför en tydlig trend i att attackerna görs på andra parametrar, men att skadan ofta ger samma oönskade effekt - att webbsidan eller webbtjänsten blir överbelastad och inte går att nå. Utan att bli för teknisk använder angriparna speciella verktyg som öppnar många webbsessioner hos den utsatte, skickar ett större antal av specifika (små) paket eller använder en mix av flera olika attacktyper.

Under denna attackvåg såg vi att flera kunder sökte Tele2s experthjälp för att komma till rätta med sårbarheter som kopplas till verksamhetens egna webbservrar och webbapplikationer - således vilka regelverk som behöver uppdateras för att skydda sig mot dessa ”nya” metoder för överbelastningsattacker.

Kombinationen av kraftfullt system för DDoS-skydd och hög kompetens för effektiva åtgärder blir därmed det vinnande konceptet för att motstå mixen av gamla och nya attackmönster inom DDoS.

Avslutningsvis, vem kan utföra dessa nya attacker då? Nära på alla. Det krävs inga stora botnet eller resursstarka förmågor. Metoden används sannolikt redan av både enskilda angripare och på de många plattformarna för DDoS-as-a-service.

Vad händer hos Tele2 nu?

Det är fortsatt bråda dagar. Vi ser ett ökande intresse för både säkerhetslösningar och säkerhet i lösningar. Annorlunda uttryckt, att säkerhet ska genomsyra såväl befintliga lösningar för digital kommunikation men också att man tittar mot nya generationers kommunikations- och datacenterlösningar som har en helt annan inbyggd säkerhet.

I nästa inlägg får ni träffa min kollega Karin som kommer berätta mer om detta.

Vänliga hälsningar

Martin Fransson
Säkerhetschef Tele2 Företag