Forebyggelse av tjenestenektangrep
Tjenestenektangrep - også kalt DDoS-angrep - er lite teknisk avanserte angrep. Denne type angrep handler gjerne om oppmerksomhet snarere enn å påføre skade.
Hva er et tjenestenektangrep?
Et tjenestenektangrep hindrer tilgang til eller utførelse av en tjeneste. Angrepet utføres oftest ved å overbelaste kommunikasjonsprotokoll, applikasjon, nettverkskapasitet, maskinvare eller andre ressurser. Det kan også gjennomføres ved å skape feiltilstander som blokkerer en tjeneste eller funksjon, og som krever at utstyr eller tjenester må startes på nytt. Angrep kan i verste fall ødelegge utstyr.
Tjenestenektangrep med rekordstor datatrafikk får mye oppmerksomhet, men et angrep kan også rettes mot en flaskehals eller «single point of failure» hvor et system kan være sårbart for et angrep som bruker langt lavere trafikkvolum og dermed er vanskeligere å oppdage.
Hva er formålet?
Formålet med tjenestenektangrep er ofte en signaleffekt, for eksempel ved å ramme nettsidene til en virksomhet. Formålet kan også være å provosere fram uønsket atferd, enten i virksomheten som angripes eller hos brukere av tjenesten som angripes.
Formålet med angrepet kan også være å ramme virksomhetskritisk tjeneste eller infrastruktur, og et tjenestenektangrep kan være en del av et større sammensatt angrep. Tjenestenektangrep kan også brukes som virkemiddel i digital utpressing hvor det fremsettes trusler om alvorlige angrep dersom det ikke betales løsepenger.
Få oversikt
Første steg når en virksomhet skal etablere tiltak mot tjenestenektangrep er å etablere eller oppdatere oversikt over hvilke tjenester som skal eksponeres mot det offentlige internettet, hvilken maskinkapasitet og andre ressurser som brukes til disse tjenestene, og hvilke nettverkstilknytninger virksomheten har etablert. Hvilke ressurser er plassert i virksomhetens interne nettverk og hva er plassert i datasenter eller i en skytjeneste?
Det er også nødvendig å kontrollere at tjenester som kun skal brukes internt i virksomhetens nettverk ikke er eksponert mot det offentlige internettet og dermed ikke kan angripes direkte fra eksterne enheter.
Sikring av infrastruktur og tjenester er en aktivitet som er beskrevet i tiltak 1.1.5, 1.1.6 og deler av tiltak 1.2.3 i NSMs grunnprinsipper for IKT-sikkerhet. Formålet med dette steget er å skaffe oversikt over hvor det er nødvendig å etablere tekniske tiltak mot tjenestenektangrep og etablere den nødvendige perimetersikringen mot det offentlige internettet, se tiltak 2.2.7 og grunnprinsipp 2.4.
Det er nødvendig å oppdatere denne oversikten når infrastruktur og konfigurasjon av systemer endres slik at tiltakene mot tjenestenektangrep opprettholdes.
Utnytt mulighet for ytre beskyttelse
Flere effektive sikkerhetstiltak mot tjenestenektangrep kan etableres hos virksomhetens leverandører. Ta kontakt med leverandør av nettverkstilknytninger (ISP) og spør hvilke sikkerhetsmekanismer som kan etableres i leverandørens infrastruktur for å detektere og stoppe tjenestenektangrep. Undersøk også om leverandør av DNS-tjenester kan tilby funksjoner som kan gi denne typen beskyttelse, for eksempel geoblokking.
Dersom tjenester bruker innholdsleveringsnettverk (CDN – Content Delivery Network) er dette tjenester som kan tilby flere effektive tiltak for deteksjon av og beskyttelse mot tjenestenektangrep. Vær likevel oppmerksom på at et tjenestenektangrep som overbelaster systemene som leverer innhold fra din virksomhet til innholdsleveringsnettverket må håndteres med tiltak i de systemene som er overbelastet.
Skybaserte tjenester bør bruke de beskyttelsestiltak mot tjenestenekttiltak som leverandøren av skytjenesten tilbyr ettersom vi antar at disse er tilpasset de tiltak leverandøren har etablert for å beskytte sin egen infrastruktur som helhet.
Etabler muligheter for skalering
De fleste tjenester som er eksponert mot internett bør være i stand til å håndtere ordinær trafikk med varierende trafikkvolum og tilfeldige trafikktopper uten å bli overbelastet. Riktig dimensjonering av maskinkapasitet, bruk av virtualisering og lastdeling mellom flere tjenestemaskiner vil bidra til bedre kontroll også i en ekstraordinær trafikksituasjon.
For skybaserte tjenester er det viktig å etablere en øverste grense for trafikk og systemlast for å begrense den økonomiske konsekvensen av et tjenestenektangrep.
Mulighet til å endre tilgang til enkelte funksjoner i en tjeneste kan være et effektivt hjelpemiddel for å håndtere både ordinære trafikktopper og tjenestenektangrep. Et eksempel på et midlertidig tiltak vil være å begrense funksjonaliteten til en tjeneste slik at deler av tjenesten kun er tilgjengelig for registrerte brukere som har logget seg inn. Det er hensiktsmessig at den enkelte virksomhet selv vurderer i hvor stor grad funksjonalitet kan begrenses og når tjenesten bør stenges fordi det ikke er mulig å levere en akseptabel tjenestekvalitet.
Plan for håndtering av tjenestenektangrep
Det er nødvendig å etablere en plan for håndtering av tjenestenektangrep. Målet er å beholde muligheten til å prioritere virksomhetskritiske funksjoner uten å svekke evnen til å effektivt håndtere et angrep. En virksomhet bør ikke miste den administrative tilgangen til tjenester og infrastruktur under håndtering av et angrep.
Ofte vil rask etablering av geoblokkering være et tidlig steg i håndteringen av et tjenestenektangrep. Dette krever at virksomheten har god forståelse for hva som er normale trafikkmønstre og er i stand til å skille en uventet trafikktopp med ordinær trafikk fra et tilsiktet tjenestenektangrep. Det er også viktig å være oppmerksom på at menneskelige feil fra virksomhetens egne medarbeidere kan føre til en utilsiktet overbelastning av tjenester.
Oppdatert kontaktinformasjon til leverandører og rutiner for hva disse kan bidra med under et angrep må også være dokumentert i planen.
Etabler tilstrekkelig overvåking
Det er nødvendig å etablere overvåking som gir mulighet til å bygge opp erfaring om hva som er normale trafikkmønstre og variasjoner og hva som kan være angrep. Det er viktig at målinger omfatter forskjellige komponenter av tjenesten slik at det er mulig å detektere et angrep som er rettet mot enkelte komponenter, for eksempel tjenestens søkefunksjon eller dynamisk generering av sider på et nettsted. Denne typen overvåking gir i utgangspunktet grunnlag for effektiv drift av virksomhetens tjenester. I praksis vil overvåking rettet mot tjenestenektangrep i hovedsak dreie seg om tilpasning av denne driftsovervåkingen.
Kontrollér etablerte sikkerhetstiltak
Det er viktig å kontrollere at tiltakene mot tjenestenektangrep virker. Det er vanligvis ikke hensiktsmessig å gjennomføre storskala stresstesting for å teste om tiltakene virker ved unormalt store trafikkvolum, men det er viktig å verifisere at mekanismene virker slik det er beskrevet. Stresstesting av flaskehalser og «single point of failure» kan være hensiktsmessig.