Cybersecurity and Infrastructure Security Agency (CISA), Yhdysvaltain liittovaltion poliisi FBI ja Multi-State Information Sharing and Analysis Center (MS-ISAC) ovat julkaisseet yhteisen oppaan tarjotakseen organisaatioille ennakoivia toimenpiteitä todennäköisyyden vähentämiseksi ja hajautettujen palvelunestohyökkäysten todennäköisyyden ja vaikutusten pienentämiseksi.
DDoS-hyökkäykset voivat maksaa organisaatioille merkittävästi aikaa ja rahaa, sekä aiheuttaa mainehaittoja, kun niiden resurssit ja tarjotut palvelut ovat hyökkäysten aikana ja niiden seurauksena asiakkaiden saavuttamattomissa.
Opas löytyy osoitteesta https://www.cisa.gov/sites/default/files/publications/understanding-and-responding-to-ddos-attacks_508c.pdf ja tämä kirjoitus on suomenkielinen, vapaasti muotoiltu yhteenveto siitä.
DoS vai DDoS?
Palvelunestohyökkäykset ovat kyberhyökkäysten erityinen alalaji, joka:
- kohdistuu tiettyyn sovellukseen, sovellusjoukkoon tai verkkosivustoon
- tavoittelee kohdejärjestelmän kaikkien resurssien kuluttamista
- tekee kohteesta tavoittamattoman tai saavuttamattoman
- estää käyttäjien pääsyn palveluun
DoS-hyökkäyksiä on muutamia erilaisia tyyppejä. Yleisimmät tyypit ovat seuraavat:
- Verkkoresurssien ylikuormitus, joka kuluttaa käytettävissä olevien verkkolaitteistojen tai ohjelmistojen resurssit, tai
kohteen kaistanleveyden.- Suorassa verkon resursseihin kohdistuvassa ylikuormitushyökkäyksessä ylikuormitetaan
resursseja käyttämällä sellaisia taktiikoita kuten palvelimella olevan haavoittuvuuden hyödyntämistä tai tulvimalla
palvelimiin suuri määrä pyyntöjä. - Heijastusvahvistushyökkäyksessä tekijä kuluttaa verkon resursseja heijastamalla suuria määriä verkkoliikennettä kohteeseen. Tekijä käyttää kolmannen osapuolen palvelinta välittäjänä, joka isännöi ja vastaa annetussa, väärennetyssä lähde-IP -osoitteessa.
- Suorassa verkon resursseihin kohdistuvassa ylikuormitushyökkäyksessä ylikuormitetaan
- Protokollaresurssien ylikuormitus kuluttaa kohteen käytettävissä olevat istunto- tai yhteysresurssit
- Sovellusresurssien ylikuormitus kuluttaa kohteen käytettävissä olevat laskenta- tai tallennusresurssit
DoS-hyökkäys luokitellaan hajautetuksi palvelunestohyökkäykseksi (DDoS), kun ylikuormittava liikenne tulee useammasta kuin yhdestä, yhdessä toimivasta hyökkäävästä lähteestä. DDoS-hyökkääjät käyttävät usein botnet-verkkoa – ryhmää kaapattuja Internetiin yhdistettyjä laitteita – suorittamaan laajamittaisia hyökkäyksiä, jotka näyttävät olevan kohteena olevan tahon näkökulmasta joukko useita erilaisia hyökkääjiä. Bottiverkon voi muodostaa monenlaisista laitteista, mukaan lukien esim. Internet of Things eli IoT-laitteet.
Hyökkäysten seurauksista
Mitä enemmän liikennettä DDoS-hyökkäys tuottaa, sitä vaikeampaa organisaation on reagoida hyökkäykseen ja toipua siitä. Myös liikenteen lisääntyminen vaikeuttaa hyökkäyksen tutkintaa, koska lisääntynyt liikenne yksinkertaisesti tekee hyökkäyksen todellisen lähteen tunnistamisen hankalammaksi. Vaikka DDoS-hyökkäysten välitön vaikutus voi usein olla mitätön, voivat seuraukset hyökkäyksen laajuudesta riippuen olla vakavia, esim.
- kriittisten palvelujen menettäminen tai heikkeneminen
- tuottavuuden heikkeneminen
- suuret korjauskustannukset
- akuutti mainehaitta
Organisaatioiden tulisikin sisällyttää toimenpiteitä näiden mahdollisten vaikutusten korjaamiseksi tietoturvatapahtumien käsittelyyn ja toiminnan jatkuvuuteen liittyviin politiikoihin ja ohjeisiin.
Vaikka DDoS-hyökkäys ei todennäköisesti vaikuta järjestelmän luottamuksellisuuteen tai sen tietojen eheyteen, se vaikuttaa saatavuuteen häiritsemällä kyseisen järjestelmän käyttöä. Hyökkääjä voi käyttää DDoS-hyökkäystä kääntääkseen huomion pois muista haitallisista operaatioista, esim. haittaohjelmien levittämisestä tai varastettujen tietojen lähettäminen ulos organisaatiosta. Hyökkäyksen kohteen onkin tärkeää pysyä valppaana muita mahdollisia ilmiöitä vastaan koko DDoS-vastatoimien keston ajan. Pelkkään DDoS-hyökkäystä vastaan puolustautumiseen ei pidä keskittyä niin paljon, että muu turvallisuuden seuraaminen jää huomiotta.
Hyökkäyksiin varautuminen
On likimain mahdotonta täysin välttyä joutumasta DDoS-hyökkäyksen kohteeksi. On kuitenkin olemassa joitain ennakoivia toimia, joilla organisaatiot voivat vähentää hyökkäyksen vaikutuksia resurssiensa saatavuuteen.
Tässä on muutamia käytännöllisiä esimerkkejä vastuuhenkilö(i)lle:
- Kartoita ja ymmärrä, mitä kriittisiä suojattavia kohteita ja palveluita verkossasi on. Tunnista ne palvelut, jotka ovat julkisesti auki ja kerää tietoa näiden palvelujen haavoittuvuuksista. Priorisoi kaikki kohteet sen perusteella, miten kriittisiä ne ovat ja mikä on niiden saatavuuden tarve
- Huomioi, millä tavalla käyttäjät muodostavat yhteyden verkkoosi. Tunnista käyttäjäkunta sen perusteella, ovatko he yhteydessä verkon palveluihin paikan päällä vai VPN-etäyhteyden kautta. Tunnista mahdolliset verkon hidasteet ja mitigoi sellaiset asiat, jotka voisivat aiheuttaa käyttäjille häiriötä
- Käytä DDoS-suojauspalvelua. Monilla palveluntarjoajilla on DoS-suojauksia, mutta DDoS-suojauspalvelu voi olla tehokkaampi vaihtoehto suurempia ja/tai kehittyneempiä DDoS-hyökkäyksiä vastaan
- Ota yhteyttä Internet-palveluntarjoajaasi ja pilvipalveluntarjoajaasi ymmärtääksesi ja varmistaaksesi olemassa olevat DDoS-suojaukset. Tarkista palvelusopimuksista, onko niissä määritelty:
- suojaukset, joita palveluntarjoajat tarjoavat auttaakseen DDoS-hyökkäysten vähentämiseksi
- puutteellisesta kattavuudesta tai rajoituksista aiheutuvat riskit
Keskustele palveluntarjoajien kanssa parhaista käytännöistä, heidän tarjoamiaan suojauksia käyttäen.
- Ymmärrä oman verkkosi ulkoreunalla olevat suojaukset. Nämä suojaukset voivat vähentää ja pienentää myös DDoS-hyökkäysten aiheuttamia katkoksia ja häiriöitä.
- Tarkista korkean käytettävyyden/kuormantasauksen/co-location -suunnitelmat. Tunnista ja eliminoi heikot kohdat, kuten esim. yhden yhteyden varassa olevat kriittiset järjestelmät. Paras tapa suojautua DDoS-hyökkäyksiltä on pysäyttää hyökkäykset joko palveluntarjoajan järjestelmissä tai on-premise -laitetiloissa olevalla DDoS-suojauksella.
Kehitä suunnitelma DDoS-hyökkäykseen vastaamiseen. Suunnitelman tulisi ohjata DDoS-hyökkäysten tunnistamista, mitigointia ja nopeaa toipumista.
Kehitä DDoS-jatkuvuussuunnitelma. Tunnista suunnitelmassa vaihtoehtoja kriittisille sovelluksille — erityisesti viestintään liittyviin.
Mieti, kuinka DDoS-hyökkäys vaikuttaa fyysisiin varmuuskopioihin. Määritä kuinka organisaatio voi jatkaa toimintaansa, jos DDoS-hyökkäys rajoittaa yhteyksiä laitteistoon.
- Suorita DDoS-harjoitus ja/tai testaa säännöllisesti DDoS-suunnitelmia käytännössä.
- Varmista, että jokainen osallistuja ymmärtää roolinsa ja vastuunsa DDoS-hyökkäyksen aikana
- Auta tunnistamaan puutteet ja ongelmat etukäteen
- Anna sidosryhmille aitoa kiireellisyyden tunnetta ja rytmiä harjoituksen aikana — kuin kyseessä olisi todellinen tapahtuma
- Rakenna luottamusta suunnitelmaan
Suorita toiminnan jälkeinen tarkistus jokaisen harjoituksen tai testin jälkeen ja päivitä DDoS-suunnitelmat saatujen kokemusten perusteella.
DDoS- ja resilienssitestaus
DDoS- ja resilienssitestaus lyhyesti Organisaatioiden tulee varautua palvelunestohyökkäyksiin osana päivittäistä toimintaansa ja riskienhallintaa. Toimiminen oikeassa häiriötilanteessa sujuu hyvin, kun sitä harjoitellaan ennalta — mahdollisimman todenmukaisissa
Mitä pitäisi tehdä, jos epäillään DDoS-hyökkäyksen olevan käynnissä?
- Vahvista, että kyseessä on DDoS-hyökkäys. Hyökkäykselle on näin selkeä alku ja odotettavissa oleva loppu. Hyökkäykset vaihtelevat pituudeltaan. Indikaattoreita DDoS-tapahtumasta saattavat olla esimerkiksi:
- Verkon viiveet tai epätavallisen hidas verkon suorituskyky tiedostojen avaamisessa tai verkkosivustoille pääsyssä
- Hidas sovelluksen suorituskyky
- Korkea prosessorin ja muistin käyttöaste.
- Epätavallisen suuri verkkoliikenne.
- Verkkosivustojen saatavuusongelmat tai niiden käyttökelvottomuus
- Ota yhteyttä Internet-palveluntarjoajaan selvittääksesi, onko heidän päässään katkos; vai onko heidän verkossaan
hyökkäyksen kohde ja organisaatiosi on epäsuora uhri? - Ymmärrä hyökkäyksen luonne.
- Mitä IP-osoitteita käytetään hyökkäyksen levittämiseen?
- Etsi tiettyä hyökkäystä tiettyjä käynnissä olevia palveluita vastaan.
- Korreloi palvelimen suorittimen ja muistin käyttöä verkkoliikennelokien ja sovelluksen saatavuustietojen kanssa
- Ota tarvittavat mitigaatiot käyttöön. Jatkuvuussuunnitelmien aktivointi saattaa auttaa hyökkäykseen vastaamisessa
ja siitä toipumisessa. Jaa tietoa; kaikkien sidosryhmien tulee tietää ja ymmärtää roolinsa reagoinnissa ja toipumisessa. - Tarkkaile muita verkon resursseja. Älä unohda muita palveluita ja tietojärjestelmiä hyökkäyksen aikana. Varmista, että DDoS ei ollut vain harhautus pois verkossa tapahtuvasta vielä haitallisemmasta toiminnasta.
Hyökkäyksen jälkeen
- Jatka muiden verkkoresurssien tarkkailua mahdollisen poikkeavuuksien tai epäilyttävyyksien varalta, havaitaksesi toimintaa joka voi viitata toissijaiseen hyökkäykseen
- Päivitä DDoS-suunnitelmat parantaaksesi reagointikykyä tuleviin DDoS-hyökkäyksiin ja jatka säännöllisesti suunnitelmien testaamista
- Valvo verkkoa ennakoivasti, jotta DDoS-hyökkäykset voidaan nopeasti tunnistaa