Styrkan i DDOS-attackerna har ökat dramatiskt

2018-04-11

Kraftigt ökande hot från överbelastningsattacker

Normalt ökar antalet sabotage mot webbplatser – så kallade DDOS-attacker – med omkring 10-15 procent per år. Men sedan ett halvår tillbaka har något drastiskt inträffat.
– Det är en markant ökning i styrka, säger Tomas Sundström, säkerhetsingenjör på Arbor Networks.

Den hittills största överbelastningsattacken i Sverige skedde i slutet av februari i år. Bandbredden var på hela 272 Gbit/s och pågick under en timme och tretton sekunder.

– Det är inte offentligt vilken verksamhet som drabbades. Om det var en spelsajt skulle det betyda hundratusentals kronor i förlorad intäkt, säger Tomas Sundström.

Globalt ökar antalet attacker, men i Norden har de under vintern minskat, vilket är anmärkningsvärt. Istället har styrkan i angreppen tilltagit enormt mycket. De största attackerna använder sårbarheter i minneshanteringssystemet Memcached, vilket ofta används för databasdrivna webbsajter. Det ger en ordentlig hävstång i angreppen.

– Ökningen i bandbredd på DDOS-attackerna från den 1 januari fram till nu är 700 procent i Norden, beroende på land och vertikal, säger Tomas Sundström.

En denial-of-service-attack, DDOS, innebär att någon saboterar mottagarens system så att denna inte kan leverera sina tjänster till användarna. Attackerna sker ofta med hjälp av flera samverkande datorer, inte sällan med hjälp av så kallade botnät. Det innebär i sin tur en större mängd datorer som har infekterats av skadlig kod, ofta utan användarens vetskap, och som fjärrstyrs av en illvillig person.

De största attackerna inträffar i länder som USA, Kina, Ryssland och även Frankrike. Vi lär oss mycket därifrån innan de når Norden, säger Tomas Sundström.

Arbor Networks är ett amerikanskt mjukvaruföretag specialiserat på nätverkssäkerhet och övervakning. Enligt företaget använder över 90 procent av världens största internetoperatörer (så kallade Tier-1) Arbors utrustning, inklusive de globala nätjättarna och en stor mängd tele- och driftsoperatörer, även lokalt i Sverige.

– Vi tittar kontinuerligt på trafiken på det globala internet. Vi ser hur hoten sprider sig över världen och även hotbilden mot Sverige, Norge och Finland, säger Tomas Sundström.

Den hittills största DDOS-attacken i världen hade styrkan 1,7 Tbit/s och drabbade en stor amerikansk operatör. Arbor rapporterade om attacken den 8 mars och tillsammans med ett angrepp mot utvecklarplattformen Github på 1 Tbit/s den 1 mars är det de första att nå Terabitnivå i styrka.

– I Sverige är attackerna betydligt mindre. De största attackerna inträffar i länder som USA, Kina, Ryssland och även Frankrike. Vi lär oss mycket därifrån innan de når Norden, säger Tomas Sundström.

Sverige har som tur har mindre attraktiva företag och myndigheter ur sabotörernas synvinkel. Dessutom har vi ovanligt väl underhållna nätverk och operatörer som arbetar mycket förebyggande. Angriparna kan vara terrorister och stater som genomför cyberkrigsangrepp. Det kan också vara rena vandaler eller utpressare.

– Förvånansvärt många betalar lösensummor för att attackerarna ska sluta. Men det finns inga garantier mot det, säger Tomas Sundström.

Attackerna mot Sverige har fram tills nu varit hanterbara. En normal port från IP-Only eller Telia ligger på 1 Gbit/s, vilket var medlet för attackerna i januari.

– I februari-mars har medelvärdet ökat till 2-3 gig. Det har inte alla företag kapacitet till i sin utrustning, säger Tomas Sundström.

Mer om DDOS-skydd

Den här artikeln är gjord i samarbete med nätverks- och kommunikationsföretaget Netnordic, som också tillhandahåller flera tjänster och lösningar för IT-säkerhet. Bland dessa tjänsten DDOS-protect.

Om det är allvarligt eller inte beror på organisationens verksamhet och affärsmodell. Ett spelbolag får knappt gå ned några minuter, medan en webbutik för gymnastikskor klarar sig betydligt lägre. Problemet är enligt Tomas Sundström inte jättesvårt att lösa. Men det kostar pengar och beror helt på behov.

Mindre företag kanske kör sin mesta trafik via molnplattformar som Amazons AWS eller Microsofts Azure. Dessa har inbyggda DDOS-skydd. Även Google Cloud har nyligen lagt till förstärkt skydd mot DDOS.

– De har så mycket kraft kan att de relativt enkelt kan få bort effekten av en attack. Däremot blir det problem med sofistikerade attacker på ”layer 7”, säger Tomas Sundström.

Den största punkten är att göra sin egen riskanalys. Det får man absolut inte överlåta åt teknikerna utan det måste ske på ledningsnivå, säger Tomas Sundström.

‘Det senare kallas också applikationslagret och är det ställe i nätverksarkitekturen där de flesta applikationer huserar. Företag som betraktar sina nättjänster som en del av kärnverksamheten behöver också högre säkerhet.

De viktigaste bitarna är som vanligt i cybersäkerhetssammanhang de mjuka; Att ha koll på sin IT-arkitektur, ha tänkt igenom informationssäkerheten, vem som har åtkomst till vad, processer och rutiner, att göra penetrationstester och att ha en fullgod patchantering.

– Den största punkten är att göra sin egen riskanalys. Det får man absolut inte överlåta åt teknikerna utan det måste ske på ledningsnivå, säger Tomas Sundström.

De flesta driftsoperatörer säger att de har inbyggt DDOS-skydd. Hur vet man om det räcker eller inte?

– Om en och samma aktör ofta omnämns i pressen i samband med attacker är det ett tecken på att säkerheten är sämre, säger Tomas Sundström.

Det gäller att göra sin hemläxa och att ställa många frågor till leverantören: Hur ser skyddet ut, hur många kunder har ni, hur många attacker har ni blockerat, kan ni visa upp bevis?

– De som upphandlar på myndigheter och företag måste bli mycket bättre på själva upphandlingen. Det är under all kritik när man bara tittar på pris, som en del gör. Av det jag har sett skulle jag säga att speciellt den offentliga sektorn ligger efter, säger Tomas Sundström.

Det bekräftas av undersökningar från Radar. Enligt rapporten ”Svenskt IT-säkerhetsindex 2.0” utmärker sig finanssektorn genom hög mognad, medan särskilt kommunerna ligger risigt till. Landstingen är utsatta för stor risk, medan mognadsgraden är hög. Cybersäkerhet bör i allt större omfattning betraktas som en styrelsefråga, men Radars undersökning visar att det inte är det i en fjärdedel av bolagen. Hela tio procent av storbolagen – med fler än 1 500 anställda – saknar dessutom en IT-säkerhetspolicy.

Artikelförfattare
Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47

Radar är Nordens ledande leverantör av lokal faktabaserad insikt för alla aktörer i IT-branschens ekosystem. Radars insikt byggs upp genom tusentals strategi-, prioriterings- och nyckeltalsjämförelser som såväl IT-beslutfattare som leverantörer låter Radar genomföra och analysera varje år.