Trace Id is missing

DDoS-försvar under semestersäsong: Säkerhetsguide

En bärbar dator med röda utropstecken.
Attacker av typen DDoS (Distributed Denial-of-Service) sker under hela året men under semestersäsongen inträffar ofta de mest högprofilerade attackerna. 
DDoS-attacker genomförs av enskilda enheter (robotar) eller enhetsnätverk (botnät) som har infekterats av skadlig programvara och som används för att översvämma webbplatser eller tjänster med mycket höga trafikvolymer. DDoS-attacker kan pågå under flera timmar, ibland till och med dagar.
  • Vad: En DDoS-attack översvämmar en webbplats med felaktig trafik, vilket stör trafiken eller tar den offline helt och hållet.
  • Varför: Brottslingar använder DDoS-attacker för att pressa webbplatsägarna på pengar, av konkurrensmässiga skäl eller av politiska orsaker.
  • Hur: Tack vare affärsmodellen cyberbrott-som-en-tjänst kan en DDoS-attack beställas från en DDoS-prenumerationstjänst för så lite som 5 USD.1

IP-booters – även kända som DDoS-stressare eller IP-stressare – är egentligen SaaS för cyberattacker. Dessa tjänster tillåter vemsomhelst att utnyttja ett botnät till att starta massiva DDoS-attackkampanjer, utan att det krävs några kodningsfärdigheter.

  • Ett: Organisationer har vanligtvis färre resurser dedikerade till att övervaka nätverk och program – vilket gör det lättare för aktörer att genomföra en attack.
  • Två: Trafikvolymen är högre än normalt (det här året förväntas försäljningen nå 1,33 biljoner USD), i synnerhet för e-handelsplatser på Internet och spelleverantörer, vilket gör det svårare för IT-avdelningarna att särskilja mellan legitim och illegitim trafik.
  • Tre: De angripare som har ekonomisk vinst som mål är sannolikheten för större utbetalningar högre under helger eftersom intäkterna är som högst och tjänstens drifttid av avgörande betydelse.

Förra året betonade vi hur sådana attacker blev mer frekventa under helger, vilket visar hur viktigt det är att ha ett robust försvar.

Ett diagram som visar uppgången i cyberattacker under helgerna 2022 och 2023

Driftstopp för vilken webbplats eller server som helst under helgperioder kan resultera i förlorad försäljning och förlorade kunder, höga återställningskostnader eller skadat rykte. Påverkan kan bli ännu allvarligare för mindre organisationer eftersom det kan bli svårare för dem att återställa sina system efter en attack.

En DDoS-attack faller vanligtvis under någon av de tre primärkategorierna, som var och en rymmer flera olika typer av cyberattacker. Nya DDoS-attackvektorer dyker upp varje dag eftersom cyberbrottslingarna använder sig av alltmer avancerade tekniker, t.ex. AI-baserade attacker. Angriparna kan använda sig av flera olika typer av attacker mot ett nätverk.

Volymetriska attacker: Riktar in sig på bandbredd. De har utformats för att överväldiga nätverket med trafik.

 

Exempel: DNS-amplifieringsattack (Domain Name Server) som använder öppna DNS-servrar för att överbelasta ett mål med DNS-svarstrafik

Protokollattacker: Riktar in sig på resurser. De utnyttjar svagheter på protokollstacksnivåerna 3 och 4.

 

Exempel: En SYN-överbelastningsattack som förbrukar alla tillgängliga serverresurser (och därmed gör servern otillgänglig).

Resursnivåattacker: Riktar in sig på webbprogramspaket. De stör dataöverföringen mellan värdar

 

Exempel: En HTTP/2 Rapid Reset-attack, som skickar ett visst antal HTTP-begäranden med HEADERS följt av RST_STREAM och repeterar det här mönstret, vilket genererar en stor trafikvolym på de angripna HTTP/2-servrarna.

Även om du inte helt kan undvika att vara mål för en DDoS-attack, så kan du planera och förbereda dig på ett proaktivt sätt, så att du har ett så effektivt försvar som möjligt.

Med det sagt, så är det viktigt att tänka på att stora trafikvolymer kring helger gör det svårare att identifiera avvikelser.

  • Utvärdera dina risker och sårbarheter: Börja med att identifiera de program i din organisation som exponeras för det offentliga Internet. Var också noga med notera vilket som är dina programs normala beteende, så att du kan reagera snabbt om de börjar bete sig annorlunda än förväntat.
  • Se till att du är skyddad: När DDoS-attackerna är som mest frekventa under helgerna behöver du ha tillgång till en DDoS-skyddstjänst med avancerade riskreduceringsfunktioner som kan hantera attacker oavsett nivå. Sök efter servicefunktioner som trafikövervakning, skydd specifikt anpassat för ditt program, DDoS-skyddstelemetri, övervakning och varningar, och åtkomst till ett effektivt utryckningsteam.
  • Skapa en DDoS-svarsstrategi: Det är viktigt att ha en svarsstrategi som kan hjälpa dig att identifiera, riskreducera och snabbt återställa ditt system efter en DDoS-attack. En viktig del av strategin är att sätta samman ett DDoS-utryckningsteam med tydligt definierade roller och ansvarsområden. Detta DDoS-utryckningsteam måste veta hur man identifierar, riskreducerar och övervakar en attack och samtidigt kunna agera koordinerat med intressenter och kunder.
  • Be om hjälp under en attack: Om du tror att du är utsatt för en attack ska du kontakta lämplig teknisk expertis, t.ex. ett etablerat DDoS-utryckningsteam, som kan hjälpa till med en såväl en undersökning under attacken som en analys efteråt.
  • Dra lärdom och anpassa sig efter en attack: Även om du vill gå vidare så snabbt som möjligt om du har utsatts för en attack, så är det viktigt att du fortsätter att övervaka dina resurser och genomför en restrospektiv analys efter en attack. Se till att efterhandsanalysen tar upp följande:
  • Uppstod det några avbrott i tjänsten eller funktionaliteten på grund av en otillräckligt skalbar arkitektur?
  • Vilka program eller tjänster drabbades svårast?
  • Hur effektiv var DDoS-svarsstrategin och hur kan den förbättras?

Relaterade artiklar

Digitala hot från Östasien ökar, både vad gäller bredd och effektivitet

Fördjupa dig i och utforska framväxande trender i Östasiens föränderliga hotlandskap, där Kina genomför omfattande cyber- och påverkanskampanjer, medan Nordkoreas cyberhotaktörer uppvisar en tilltagande skicklighet

Iran satsat på cyberaktiverade påverkansåtgärder eftersom de ger större effekt

Microsoft Threat Intelligence har avslöjat ett växande antal cyberaktiverade påverkanskampanjer från Iran. Få hotinsikter med information om nya tekniker och var potentialen för framtida hot ligger.

Cyber- och påverkansoperationer under kriget på Ukrainas digitala slagfält

Microsoft Threat Intelligence undersöker ett år av cyber- och påverkansoperationer i Ukraina, avslöjar nya trender inom cyberhot och vad vi kan vänta oss när kriget går in på sitt andra år

Följ Microsoft Security