DDoS-angrep kan ha enorme konsekvenser
– Men de kan også stoppes på minuttet. Trusselaktører kan effektivt lamme hele virksomheten din ved å strupe nettrafikken med voldsomme mengder data.
– Nylig måtte vi hjelpe en større norsk matvareprodusent. De var utsatt for et omfattende DDoS-angrep som hadde pågått over lengre tid, sier Jon Anders Teisberg, produktsjef for sikkerhet i Telenor Bedrift.
Bredbåndet var fullstendig sperret av uønsket trafikk, som i praksis betød at virksomheten var helt lammet. Telenors kundeansvarlige for bedriften ble derfor hasteinnkalt til et møte i bedriftens ledergruppe, der han ble presentert problemet.
– Han tok en telefon til TSOC, vårt sikkerhetssenter i Arendal, som umiddelbart iverksatte tiltak, og i løpet av få minutter begynte angrepet å avta, sier Teisberg.
– Kort tid etter var bredbåndet velfungerende igjen, og sikkerhetsfolkene våre i Arendal kunne høre applausen høyt og tydelig gjennom telefonen.
Hva er et DDoS-angrep?
– I den siste tiden har stadig flere bedrifter over hele verden blitt utsatt for DDoS-angrep – også kjent som distribuerte tjenestenektangrep, sier sikkerhetsanalytiker Jan Roger Wilkens ved Telenors Sikkerhetssenter (TSOC) i Arendal.
DDoS står for Distributed Denial of Service, og utføres av trusselaktører som gjerne kontrollerer svært mange datamaskiner tilkoblet internett – såkalte botnets.
– Under et DDoS-angrep sender disse store mengder «søppeltrafikk» mot internett-tjenester eller systemene til en bedrift, slik at disse blir utilgjengelig for brukerne, sier Wilkens.
Slike såkalte volumetriske angrep skaper en slags digital trafikkork, som effektivt hindrer legitim nettrafikk fra å nå inn til eller ut fra bedriftens nettsider eller systemer.
– Den enkle beskrivelsen på det som da skjer, er at bredbåndet ditt ikke virker. Du kommer ikke ut på nett i det hele tatt, og alle som prøver å gå motsatt vei kommer ikke inn til tjenestene du ønsker å tilby ut i verden, sier Teisberg.
Overlesses med enorme mengder data
Ved at angriperne har tilgang på store botnets, kan de samle enorme mengder data – og altså sende alt dette rettet mot sitt mål.
– Det er interessant å se hvor mye data som genereres når denne teknikken tas i bruk, sier Teisberg.
En vanlig husholdning, forteller han, har i dag typisk en bredbåndslinje på noen hundre megabit per sekund (Mbps), mens en bedrift kan kanskje ha 1-2 gigabit per sekund (Gbps)
– Bare i februar i år registrerte Telenor 141 bekreftede DDoS-angrep, og 64 av disse var så alvorlige at de krevde aktiv håndtering. I snitt sendte disse angrepene 8,45 Gbps med trafikk mot målene sine over 30 minutter. Men det største angrepet hadde et vanvittig datavolum på hele 288 Gbps i 60 minutter, sier Teisberg.
– Vi har sett flere eksempler på DDoS-angrep som kan vare i både timer og dager. Da er det ikke vanskelig å forestille seg av konsekvensene kan bli store for virksomheten dette rammer.
Telenor opererer det største nettet i Norge, har døgnkontinuerlig overvåking og benytter avansert spesialutstyr.
Tjenesten DDoS-beskyttelse kan dermed produseres på en effektiv måte og med minimal forsinkelse.
Angrep kan avdekkes raskt og stoppes i ytterkant, før DDoS-trafikken får mulighet til å belaste de sentrale delene av nettet eller kundens bredbåndsaksess.
DDoS-beskyttelse forutsetter at kunden har bredbåndsaksess fra Telenor.
Kjører test-angrep som en forsmak
Selve angrepsformen DDoS er velkjent og mye brukt gjennom mange år.
– Tidligere har målet med angrepet gjerne «bare» vært å gjøre offeret utilgjengelig, ved å bombardere dem med slik uønsket nett-trafikk. Det nye nå er at angriperne også forsøker å tjene raske penger gjennom utpressing, sier Wilkens.
Dette kan typisk skje ved at større bedrifter får en e-post om at de snart vil bli utsatt for et større tjenestenektangrep – som en liten forsmak på det de kan ha i vente.
– Angrepet som deretter kommer er gjerne så stort at bedriften mister kontakten med internett så lenge det pågår, typisk i 20 minutter. Bedriften blir så truet med nye angrep med mindre de betaler løsepenger.
De kriminelle ber som regel om løsepenger utbetalt via kryptovaluta, og beløpene kan ifølge Wilkens ligge på en million kroner – eller mer.
Hvem rammes av DDoS-angrep?
Det er mange forskjellige aktører som kan være interessert i å gjennomføre et DDoS-angrep, av en rekke ulike årsaker (se faktaboks nederst i saken).
– Det man ser, er at spesielt finansinstitusjoner er attraktive mål – ettersom nedetid som følge av et DDoS-angrep kan ha enorme økonomiske konsekvenser. Dette setter stor makt bak utpressingskravet, sier Wilkens.
Siden DDoS-angrep kan kjøpes som en tjeneste av nær hvem som helst på det mørke nettet, betyr ifølge Teisberg også at mange forskjellige typer virksomheter nå søker å beskytte seg mot angrep.
– Blant kundene våre finner du også skoler, som har opplevd at elever har bestilt DDoS-angrep for å slippe eksamen. Det høres kanskje kreativt og litt komisk ut, men det er jo også en alvorlig sak.
Både store og små kan bli angrepet
I tillegg til de mange tilfellene av utpressing knyttet til DDoS-angrep, forekommer det ifølge Teisberg også typisk sabotasje blant virksomheter i konkurransesituasjoner.
– Dette kan være i forbindelse med store lanseringer, eller der flere bedrifter kniver om et anbud. Om for eksempel et internasjonalt shippingfirma blir utsatt for et DDoS-angrep siste timen før en anbudsfrist går ut, kan de potensielt gå glipp av en milliardkontrakt, sier han.
Men det kan også ramme i mindre skala, som for eksempel et lokalt gravemaskinfirma som konkurrerer om et byggeoppdrag.
Alle organisasjoner som er avhengig av internett bør ifølge Jan Roger Wilkens ha systemer på plass for å oppdage DDoS-angrep – samt planer for hva en skal gjøre dersom et angrep oppdages.
– For de fleste moderne bedrifter tar det ikke lang tid før fraværet av internett-forbindelsen kan defineres som en krise, sier sikkerhetsanalytikeren.
Hvordan stoppe et DDoS-angrep?
Som vi kunne se i det innledende eksempelet, er det altså mulig å få effektiv og rask hjelp om du skulle bli rammet av et DDoS-angrep.
Det er relativt enkelt å etablere DDoS-beskyttelse fra Telenor. Tjenesten kan leveres raskt, uten at man trenger å plassere utstyr på kundelokasjon, sier Teisberg.
Dette forklarer han med at beskyttelsen ligger i selve kjernenettet til Telenor.
– Kjernenettet vårt bærer over 70 prosent av all teletrafikk landet rundt. Her har vi gjort tunge investeringer, med utstyr som gjør at vi kan aktivere effektiv beskyttelse mot DDoS-angrep svært raskt, sier Teisberg.
Ifølge Jan Roger Wilkens er det vanligvis umulig for en virksomhet å stoppe et DDoS-angrep uten hjelp fra andre.
– De aller fleste angrep er volumetriske, med så mye trafikk på nettlinjen at ingen annen trafikk får plass. Da hjelper det lite å prøve å filtrere trafikken i bedriftens egne brannmurer, når linjen inn uansett er full.
Her må nettleverandøren rett og slett inn og filtrere trafikken på sine grenseroutere, der kapasiteten er på flere Gbps, og der angrepstrafikken enkelt kan filtreres ut.
Telenor har installert utstyr fra markedslederen Arbor Networks i sitt nettverk. Dette utstyret samler kontinuerlig inn informasjon om trafikkflyten i nettverket og flagger ifølge Wilkens potensielle angrep:
– Dette er informasjon som igjen blir presentert til våre analytikere, som er på vakt døgnet rundt i operasjonssenteret. Telenors nettkunder som abonnerer på DDoS-beskyttelse, er definert som et eget objekt i dette systemet – og vil da få en egen varsling om noe skulle oppstå, og angrepet vil deretter bli stoppet i samråd med kunden.
DDoS-beskyttelse bestilt der og da
Den norske matvareprodusenten som ble rammet av DDoS-angrepet hadde ikke en slik DDoS-beskyttelse på plass før de ble angrepet, forteller Teisberg.
– I det aktuelle tilfellet ble den bestilt der og da, over telefonen. Hadde de hatt tjenesten fra før, ville de ikke opplevd dette. Men de skjønte raskt at dette var noe de måtte ha, rett og slett.
Dette er også dilemmaet med denne typen beskyttende tjenester, sier han:
– Har du tjenesten, merker du heller ikke effektene av et angrep. Har du den ikke, kan du ha flaks og gå under radaren til de som driver med denne typen angrep. Men plutselig så skjer det, og da kan du bli rammet – gjerne på et veldig kritisk tidspunkt.
Ønsker du å bedre sikkerheten i din bedrift hjelper vi deg gjerne. Våre sikkerhetseksperter kan finne ut om det finnes sikkerhetshull og tette disse, slik at du og dine ansatte kan konsentrere dere om det dere er best på: drift av kjernevirksomheten.
Det er mange forskjellige aktører og grupperinger som kan stå bak et DDoS-angrep. Noen av de mest aktuelle er:
Cyberkriminelle: Det finnes grupperinger som tjener penger ved hjelp av trusler om DDoS. De utfører gjerne et mindre angrep først for å vise at de mener alvor og forlanger deretter «beskyttelsespenger».
Hacktivist-grupper: Dette er grupperinger av «hackere» som gjerne kjemper for en eller annen sak. I Norge har for eksempel politiske partier blitt angrepet etter upopulære politiske vedtak. Denne typen angrep er gjerne den som får mest oppmerksomhet, da angriperne ofte annonserer angrepet offentlig for å få mest mulig oppmerksomhet.
«Script kiddies»: Ettersom både DDoS-verktøy og tilgang på botnets lett kan kjøpes som tjenester på det mørke nettet, er det forholdsvis lett for enkeltaktører å sabotere for et mål, uansett hvilket motiv som måtte stå bak.
Konkurrenter: Det er mange eksempler på at bedrifter utfører angrep mot konkurrenter for å ramme dem økonomisk. Dette skjer ofte i forbindelse med lanseringer eller andre hendelser som fra før medfører eller krever mye nettverkstrafikk.
Statlige aktører: Fremmede makters etterretning, som ønsker å sette nasjonale aktører ut av spill og skape ubalanse i samfunnsstrukturer.
