DDoS-attacker ett hot mot samhället

– Det finns olika motiv till överbelastningsattacker, till exempel både inrikes- och storpolitiska motiv och utpressning. När det gäller attacker mot medier kan det ju finnas skäl att misstänka åtminstone två av de här motiven, och det är en viktig del att ta med i riskanalysen, säger Håkan Nohre, säkerhetsspecialist på Cisco.

Attacker mot den offentliga sektorn och företag med en samhällsbärande funktion som till exempel medier utsätter samhället för stora prövningar.

– Till skillnad från de flesta privata företag, som själva kan bestämma vilken grad av säkerhet de vill investera i, är vi beroende av tjänster som att kunna deklarera, hantera pensioner med mera, säger Håkan Nohre.

Den vanligaste belastningsattacken, som den som drabbade medierna, är volymbaserad och sker när tusentals, ibland ännu fler, datorer anropar målet samtidigt. Trafiken kan vara svår att skilja från legitim trafik vilket gör den besvärlig att filtrera ut.

– Här är lösningen ofta att samarbeta med sin operatör som har incidentresponsteam tränade att stoppa sådana här attacker, säger Håkan Nohre.

En annan typ av belastningsattack identifierar svagheter i just ditt system, till exempel i anrop mot en databas.

– Den här typen av attack är lite mer pillemarisk genom att den inte fokuserar på lika mycket på volym utan istället gör elaka anrop på sökningar som den märker tar lång tid. Här blir lösningen mer kundanpassad.

Förändrade motiv 

Cisco samarbetar med två företag specialiserade på respektive typ: Arbor, som är bra på volymbaserade överbelastningsattacker och kan tvätta trafiken innan den kommer fram, och Radware, en företagsbaserad lösning där man mer specifik kan filtrera bort särskilda anrop och trafik.

– En annan typ av attack som är svår att skydda sig mot är klientbaserade attacker när man tar över en dator och bryter sig in på övriga nätet. Även om det finns en brandvägg är det lätt att studsa trafiken via olika klienter som är lätta att ta över. Vi är människor och klickar på länkar. Sådana attacker är raka motsatsen till överbelastningsattacker eftersom de här vill ligga kvar i dagar eller månader utan att bli upptäckta.

Att utföra attacker idag kräver ofta inga förkunskaper. Det finns färdiga botnät till salu där det bara är att trycka på knappen. Till skillnad från för tio, femton år sedan är dessutom attackerna mer ekonomiskt baserade.

– För ett par år sedan var det destruktiva maskar som spred sig men det fanns inte någon pengavinning. Idag har ransomware kommit starkt och jag tror att de kommer att bli elakare och elakare. Tänk ett ransomware som sprids som en mask i ett företagsnätverk. Om en användare klickar på en länk blir allting låst, säger Håkan Nohre.

Inga universallösningar

Han poängterar att det inte finns några silverkulor utan att det handlar om att vara medveten i tid. Compliance-regler tvingar företag att vara på tåspetsarna, men där skulle även en lagstiftning kunna vara en metod för att synliggöra vikten av proaktivt arbete för ledningsgrupper, något som idag är eftersatt menar Håkan Nohre.

– Många köper vad jag kallar ”protect and forget”, någon hypad lösning som ska lösa allt. Det finns inga sådana utan det handlar om en katt-och-råtta-lek. Ibland vinner katterna, ibland råttorna. En bra riskanalys, en tränad it-avdelning som inte står handfallen när attacken sker och resurser innan det händer är det bästa skyddet. Har man inte förberett sig är det nästan försent när det väl händer.