[KRÖNIKA] Säkerhetsansvariga har sedan länge oroat sig för den växande volymen på och ökande frekvensen av DDoS-attacker.
Med de tusentals attacker som ständigt implementeras runt om i världen, måste företag och organisationer ha förmåga att försvara sig mot vad som för många har växt fram till att bli dagliga händelser. I NETSCOUT Threat Landscape Report konstaterade våra analytiker att attackfrekvensen faktiskt minskade mellan 2017 och 2018. Men känslan av lättnad som detta kan ha inneburit för företagens säkerhetsteam kompenserades snabbt av en annan alarmerande trend. Nämligen att attackerna under samma period istället ökade i storlek, till nivåer som överskrider vad många tjänsteleverantörer anser vara en tillräckligt hög försvarskapacitet. DDoS har på allvar tagit steget in i Terabit-eran.
Enligt NETSCOUTs ATLAS expertteam ökade DDoS-attackernas maxstorlek med 174 % under det första halvåret 2018, jämfört med samma period 2017. Faktum är att den största attacken som någonsin bevittnats, på hela 1,7 Tbps, genomfördes mot en stor nordamerikansk tjänsteleverantör i februari 2018. Lyckligtvis kunde då företaget, tack vare en framgångsrikt utformad och distribuerad arkitektur och deras incidentberedskap kombinerat med en flerskiktad (multi-layered) DDoS-lösning från Arbor, framgångsrikt hantera attacken utan driftstopp. Ändå understryker denna attack den nya verkligheten att försvarslösningar utformade för att stå emot attacker i 300 Gbps-intervallet inte längre räcker till. Även infrastrukturer med 1 terabits defensiv kapacitet är numera i farozonen.
Uppkomsten av memcached-baserade attacker
Denna rekordstora attack är ett exempel på de memcached-baserade attacker som uppkommit under det senaste året. Dessa utnyttjar sårbarheter i cache-servrarna, som används för att göra webbplatser snabbare. Memcached är en kostnadsfri mjukvara för öppen källkod som ofta används i infrastrukturer för molntjänster och företagsnätverk för att dra fördel av en ökad bandbredd. Aktörerna bakom februariattacken avslöjade ett designfel i memcached-programvarupaketet, som gjorde det möjligt för dem att dra nytta av stora mängder tjänsteleverantörsbandbredd för att förbereda och genomföra monster-attacken.
Med tanke på spridningen av open source-programvaran, som ofta körs ut och fritt tillgängliggörs på marknaden utan att tillräckliga sårbarhetstester har genomförts innan, kan antas att den här attacken inte var en engångsföreteelse. Säkerhetsteam bör förvänta sig att se liknande utmaningar framöver. I takt med att attackverktygen blir allt mer sofistikerade och nya attackvektorer ständigt dyker upp, blir det både lättare och billigare att genomföra större och effektivare attacker.
Den hybrida lösningen
Trenden mot större attacker förstärker behovet av hybrida eller skiktade försvarslösningar, som kombinerar förutsättningarna för såväl on-premise- som molnskydd. De flesta attackerna är fortfarande relativt små och kan vanligtvis upptäckas och hanteras med en on-premise-baserad lösning. Men nu, när attackerarnas kapacitet har passerat terabittröskeln, är det viktigt att ha en molnbaserad komponent med förmågan att mildra storskaliga attacker. Fördelen med hybrida tillvägagångssätt är att molnbaserade försvarslösningar huvudsakligen kan finnas i reserv (i motsats till “alltid på”) och aktiveras omedelbart när on-premise-komponenten upptäcker en jätte-attack.
Både hårdvaru- och mjukvarulösningar för DDoS är betydligt effektivare när de stöds av relevanta insikter om hur globala hot ser ut. Detta, i kombination med analyser från ett expertteam, kan motåtgärder mot både kända och nyuppkomna hot omgående hanteras.
En viktig läxa som vi har lärt oss under många års analyser av hotbildslandskapet är att när en ny sorts DDoS-attacker väl dyker upp, så försvinner den aldrig igen. Det senaste exemplet är attacker av terabitstorlek, som tyvärr är här för att stanna. Var redo!