Allt du behöver veta om DDoS-attacker

Den omfattande och snabba digitaliseringen av samhället har även öppnat nya dörrar för cyberkriminella. Attacker som tidigare utfördes av enskilda hackers med begränsade anspråk kan idag vara storskaliga, avancerade och ha mäktiga politiska eller kommersiella intressen som avsändare.  

En av de vanligaste angreppsmetoderna idag är DDoS-attacker. Förkortningen DDoS står för Distributed Denial of Service, vilket kan översättas till distribuerad överbelastningsattack. 

Kortfattat innebär en DDoS-attack att ett stort antal enheter, ofta kapade sådana, samtidigt skickar ett massivt antal anrop till en tjänst man vill slå ut. Anropen är till sin natur normala och därför svåra att skilja ut från legitim trafik. Problemet är att de genomförs i en mängd som snabbt kan fylla hela tjänstens bandbredd och därmed göra dess anslutning obrukbar.

Olika syften och motiv bakom DDoS-attacker 

Motiven bakom DDoS-attacker varierar, men huvudsakligen är de politiska eller ekonomiska. De sistnämnda kan bestå av utpressning eller attacker från mindre nogräknade konkurrenter, medan politiska attacker kan motiveras av allt från aktivism till storskalig cyberkrigföring mellan nationalstater.

Den ursprungliga källan är tyvärr ofta svår att identifiera med någon större precision, då man vanligen använder sig av ofrivilliga mellanhänder i form av kapade enheter (så kallade botnät). Dessutom kan initiativtagaren köpa DDoS-attacker helt anonymt via darknet, där dessa säljs som mer eller mindre färdigpaketerade tjänster. Den fientlige aktören behöver med andra ord inte ens vara insatt i den underliggande tekniken – allt som behövs är pengar och uppsåt.  

Hur vet jag om min verksamhet är utsatt? 

Eftersom det idag är förhållandevis enkelt att iscensätta DDoS-attacker har utsattheten ökat i största allmänhet. Många organisationer som tidigare gjorde bedömningen ”vi är inte intressanta” har behövt tänka om efter att de själva eller liknande verksamheter utsatts för angrepp.  

Däremot är vissa branscher och sektorer mer utsatta än andra, exempelvis banker och offentlig sektor, men också storföretag samt media- och handelssajter. I princip bör alla med en verksamhetskritisk närvaro på Internet låta genomföra en individuell riskbedömning.  

Av avgörande betydelse för bedömningen är vad man riskerar vid en period av störningar eller stillestånd i sina onlinetjänster. Denna risk ska sedan ställas i förhållande till vilka proaktiva åtgärder som är nödvändiga och påkallade.  

Vissa samhällskritiska branscher och sektorer har dock regulatoriska krav på sig att ha proaktiva åtgärder på plats mot olika typer av cyberattacker. 

Så skyddar du din organisation 

Eftersom DDoS-attacker till sin natur är distribuerade över många källor och består av till synes normala anrop är de svåra att skilja ut och skydda sig emot.  

Medan exempelvis en brandvägg kan blockera trafik från kända ursprung (IP-nummer), är det själva trafikvolymen som skapar problem vid en DDoS-attack. DDoS kan fylla en accesslina så att brandväggen inte ens får något att ta hand om. 

Därför är risken alltid överhängande att legitim trafik påverkas under en pågående attack. Utmaningen består av att minimera negativa effekter för användarna tills attacken är över, vilket kan innebära allt från några minuter upp till flera dagar, men oftast mindre än ett par timmar.  

Trots de besvärliga angreppsmetoderna kan man ändå i viss mån förbereda sig för eventuella DDoS-attacker. Först och främst är det viktigt att vara medveten om att en sådan kan ske och att ha en tydlig åtgärdsplan. Att i förväg se till att loggar kommer att finnas tillgängliga är en viktig del av förberedelserna, liksom att ha effektiva kontaktvägar till operatören och eventuella tjänsteleverantörer.   

När attacken väl äger rum måste den så snabbt som möjligt kunna identifieras, inte minst via analys av loggar: vilken eller vilka tjänster attackeras, med vilken metod och var härstammar attacken ifrån? 

Ju mer information du har, desto större är möjligheterna att avstyra attacken. Ofta krävs koordinerade insatser från din organisation, operatören och tjänsteleverantörerna för att minimera skadeverkningarna av en DDoS-attack.

All information som samlas in längs vägen kommer också att vara till nytta när utsatta system ska återställas till ett nytt, säkrare normalläge.   

Överväg DDoS-skydd 

DDoS-mitigering på operatörs- eller leverantörsnivå innebär att man utser specifikt vilka objekt (eller grupper av objekt) man vill skydda, exempelvis mejlservrar, webbservrar och andra applikationer. Skyddet anpassas individuellt för olika skyddsobjekt och mitigering sker automatiskt när trafiken i nätet når ett tröskelvärde.  

Förenklat fungerar DDoS-skydd som en "tvättmaskin" som skiljer ut den legitima trafiken från den dåliga. I många fall kan effekterna av attacken avvärjas helt. Vid en mer långvarig attack kan även tjänster ingå som innebär att du får hjälp att dirigera om trafiken och tillämpa mer effektiva filter. 

Att investera i löpande DDoS-skydd innebär inte att din organisation helt kan sluta oroa sig över DDoS-attacker. Däremot har verksamheter med en kraftfull DDoS-mitigeringstjänst de bästa förutsättningarna för skademinimering.