Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

DDoS- eli hajautetut palvelunestohyökkäykset ovat hallinneet globaalia kyberuhkamaisemaa jo kahden vuosikymmenen ajan. Viimeisin, vuotta 2021 tarkasteleva Imperva julkaisema DDoS Threat Landscape Report kertoo, kuinka hyökkäysten koko, määrä, tiheys ja monimutkaisuus muuttuvat jatkuvasti, mutta hyökkääjien kohde pysyy samana — kriittinen infrastruktuuri.

Havaintoja

  • Hyökkäysten kestoaika laskee; Imperva Research Labs havaitsi jatkuvan trendin lyhyistä, terävistä ja jatkuvista hyökkäyksistä vuoden 2021 ensimmäisellä puoliskolla.
  • Samalla, kun digitalisaatio etenee, sitä edistävistä teknologioista — pilvipalveluista, mobiiliverkoista ja IoT-laitteista — tulee hyökkäysten kohteita.
  • DDoS-hyökkäyksistä tulee koko ajan halvempia ja ilkeämpiä; sabotaasin yhtenä muotona alkanut toiminta on kehittynyt suureksi bisnekseksi kyberrikollisille.

Pienen volyymin TCP SYN -hyökkäykset ohittavat heikon puolustuksen helposti. TCP-protokollan lisääntyminen hyökkäysten välineenä kertoo ennen kaikkea siitä, että hyökkäyksiä suorittavat tahot kohdistavat tekojaan mielellään sellaisiin organisaatioihin, joilla ei ole lainkaan puolustusta tai puolustuksen taso on alhainen. Nämä ovat helppoja kohteita.

Lyhyillä hyökkäyksillä voidaan tuottaa merkittävää haittaa ennen kuin puolustavat toimenpiteet käynnistyvät. Toistamalla näitä lyhyitä hyökkäyksiä varmistetaan, että niiden hallinta ja lieventäminen ovat kohdeorganisaatioille hankalia. SIinä kohtaa kun suojaukset otetaan käyttöön, hyökkäys on jo päättynyt ja seuraava samanlainen hyökkäys juuri perään alkamassa.

Merkittävin osa vuonna 2021 tapahtuneista palvelunestohyökkäyksistä kohdistui IT- ja finanssialan toimijoihin.

Imperva 2021 DDoS Threat Landscape Report

Kustannustehokasta kuin saippua — tai kahvi

Hajautetun palvelunestohyökkäyksen toteuttaminen on mahdollista lähes jokaiselle. Nykyään kuka tahansa voi käynnistää DDoS-hyökkäyksen kahvikupin hinnalla. Noin 100 dollarin sijoituksella saa joo lamautettua kokonaisen verkon.

Hyökkäyksen kohteista yleisölle näkyvimpiä ovat verkkosivustot ja erilaiset verkkopalvelut. DDoS-hyökkäysten teho ulottuu kuitenkin pidemmälle ja syvemmälle; hyökkäyksiä voidaan käynnistää muitakin verkon infrastruktuurin elementtejä — kuten esimerkiksi reitittimiä, palomuureja, kuormantasaajia ja nimipalvelimia — vastaan. Tällä tavalla aiheutettu verkkokatkos ei aiheuta pelkästään tietoteknisiä ongelmia, vaan myös toiminnot kuten puhelinpalvelukeskukset, asiakastuki ja tilausten vastaanotto saavat iskusta osansa.

Kiristykset ovat lisääntyneet

Lunnaiden vaatiminen hyökkäyksen uhalla ei ole uusi ilmiö, mutta nostaa jälleen päätään. Imperva Research Labs raportissaan todennut omissa asiakkuuksissaan useita sellaisia toimijoita, joilta kiristäjät ovat vaatineet Bitcoin-maksuja ja uhanneet palvelunestohyökkäysten aloittamisella, jos maksua ei määräajassa suoriteta.

On mahdollista, että nämä hyökkäykset ovat osa kasvavaa ”ransom DDoS” -suuntausta, jossa hyökkääjät väittävät olevansa yhteydessä pahamaineisiin ryhmittymiin — kuten Cozy Bear tai Lazarus — ja julkaisevat muutaman proof-of-conceptin pelotellakseen uhreja maksamaan lunnaat.

Vastaavasti lyhyet ja jatkuvaluonteiset hyökkäykset voivat kertoa hyökkääjien tietoisuudesta siitä, että monet organisaatiot luottavat edelleen vastatoimiin, joiden reagointiaika on pidempi kuin koko hyökkäyksen kesto — mikä tekee vastatoimista käytännössä hyödyttömiä toistuvien, lyhyiden iskujen edessä.

Katkaisemalla verkon kyvykkyyden kommunikoida ulkomaailman kanssa, hyökkääjät eivät ainoastaan estä organisaation palveluiden tarjoamista, vaan myös kommunikoinnin hyökkäysten estolaitteiden ja -ohjelmien kanssa.

Toiminta on nopeaa

Hajautetun palvelunestohyökkäyksen mediaanikesto raportin mukaan vuoden 2021 ensimmäisellä puoliskolla oli vain noin kuusi minuuttia. Toisin sanoen tarpeeksi lyhyt aiheuttaakseen suuria ongelmia, mutta liian lyhyt estettäväksi tai lievennettäksi — mikäli suojaustoimet eivät ole riittävissä määrin toiminnassa tai tilanteen tasalla. Tällainen suuntautuminen kohti entistä suurempaa arvaamattomuutta korostaa aina päällä olevan suojauksen ja nopean lievennyksen tärkeyttä. Mikäli hyökkääjät jatkavat lyhyiden peräkkäisten iskujen suorittamista, on ”aina päällä” ainoa aidosti tehokas strategia suojautumiseen.

Lyhyitä DDoS-hyökkäyksiä käytetään usein myös hämäyksenä häiritsemään verkkoa ja ylläpitäjiä samalla, kun soluttaudutaan verkkoon laajemmin ja viedään tietoja tai asennetaan haittaohjelmia. Nämä lyhyemmät hyökkäykset voivat jäädä ”tutkan alle”, koska vanhentunutta tai muuten tehotonta DDoS:n lieventämistekniikkaa ovat määrittäneet hyökkäysten tunnistuskynnykset sellaisiksi, että ne jättävät pahimmillaan kokonaan huomioimatta tällaisen alhaisemman aktiivisuustason.

Kun palomuuri tai tunkeutumisenestojärjestelmä saadaan takaisin verkkoon, hyökkääjät ovat jo hyvää vauhtia asentamassa haittaohjelmia, hyödyntämässä muita verkon komponentteja tai hiomassa tekniikoitaan entistä paremmiksi.

Imperva 2021 DDoS Threat Landscape Report

Yhteenveto

Suuntaus kohti lyhyempiä ja terävämpiä hyökkäyksiä jatkuu. Tämä korostaa selkeää tarvetta aina päällä olevaan DDoS-suojaukseen sekä nopeita refleksejä hyökkäysten toteamiseen ja vastakeinojen käyttöön. Koska DDoS-hyökkäyksiä pystytään aloittamaan käytännössä ilman minkäänlaisia ennakkovalmisteluja, trendi kohti entistä lyhyempiä hyökkäyksiä ei ole kovinkaan lohdullinen — sinnikkyyden merkitystä ei voi liikaa korostaa.

Suurin Impervan koskaan lieventämä hyökkäys heinäkuussa 2021 on paljon kertova – koska se nousi 674 Gbps:aan alle viidessä sekunnissa. Tässä tapauksessa ensimmäiseen hyökkäysaaltoon liittyi 90 sekuntia kestänyt suuri SYN-tulva, jonka lieventämisen aloittaminen sekunneissa oli elintärkeää. Tämän tyyppistä hyökkäystä olisi mahdotonta lieventää paikallisesti asennetulla DDoS-suojauksella, jossa myös liikenne ulospäin olisi täysin tukossa.

Alta voit ladata koko raportin englanniksi itsellesi.

Live DDoS Webinar
Uutiset

Live DDoS Webinar 8.6.2022 14:00

Elämme palvelunestohyökkäyksien kulta-aikaa. Tällä hetkellä eri organisaatioiden resilisenssiä mitataan todellisuudessa – näkyvästi ja näkymättömästi. Mint Security, RedWolf Security ja Imperva järjestävät yhdessä erittäin ajankohtaisen webinaarin, jossa käsitellään palvelunestohyökkäyksiä ja suojautumiskeinoja.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.