Trace Id is missing

Juhlapyhien hajautetuilta palvelunestohyökkäyksiltä suojautuminen: oppaasi turvassa pysymiseen

Kannettava ja punaisia huutomerkki-ikkunoita sen ympärillä.
Vaikka hajautettuja palvelunestohyökkäyksiä esiintyy läpi vuoden, monet merkittävimmistä hyökkäyksistä tapahtuvat loppuvuoden ja joulunpyhien aikaan. 
Hajautettuja palvelunestohyökkäyksiä tekevät yksittäiset laitteet (botit) tai laiteverkot (bottiverkot), jotka on saastutettu haittaohjelmilla ja joilla hukutetaan verkkosivuja tai palveluita suurilla liikennemäärillä. Hajautettu palvelunestohyökkäys voi kestää muutaman tunnin tai jopa päiviä.
  • Mitä: hajautettu palvelunestohyökkäys hukuttaa sivuston tai palvelimen suurella liikennemäärällä häiritäkseen sitä tai kaataakseen en.
  • Miksi: rikolliset käyttävät hajautettuja palvelunestohyökkäyksiä kiristääkseen sivustojen omistajalta rahaa, saadakseen kilpailuetua tai poliittisista syistä.
  • Miten: palveluina tarjottavien kyberrikosten liiketoimintamallin johdosta hajautetun palvelunestohyökkäyksen voi tilata sellaisia tarjoavasta palvelusta halvimmillaan jopa vain viidellä Yhdysvaltain dollarilla.1
  • 1: organisaatioilla on yleensä vähemmän resursseja verkkojensa ja sovellustensa valvontaan, mikä tarjoaa uhkaaville toimijoille helpommat mahdollisuudet hyökkäyksen toteuttamiseen.
  • 2: verkkoliikenteen määrä on ennätyksellisen suuri (tänä vuonna myynnin odotetaan nousevan 1,33 biljoonaan Yhdysvaltain dollariin), erityisesti verkkokauppasivustoissa ja pelipalveluntarjoajilla, mikä vaikeuttaa IT-henkilöstön mahdollisuuksia erottaa oikea ja haitallinen liikenne toisistaan.
  • 3: taloudellista hyötyä tavoittelevilla hyökkääjillä on juhlapyhien aikana mahdollisuus saada suurempia voittoja, koska tulot ovat suurimmillaan ja palvelun käytettävyys on kriittistä.

Viime vuonna korostimme sitä, miten juhlapyhinä nähtiin piikki tällaisissa hyökkäyksissä. Tämä korostaa entisestään tehokkaan suojauksen merkitystä.

Kaavio, joka osoittaa kyberhyökkäysten kasvupiikin vuoden 2022 ja 2023 juhlapyhäkaudella

Mikä tahansa verkkosivuston tai palvelimen käyttökatkos juhlapyhäkauden huippusesongin aikana voi johtaa myynnin ja asiakkaiden menetykseen, korkeisiin korjauskustannuksiin ja mainehaittoihin. Vaikutus on entistä merkittävämpi pienemmille organisaatioille, sillä niiden voi olla vaikeampi toipua hyökkäyksestä.

Yleensä hajautetut palvelunestohyökkäykset jaetaan kolmeen pääluokkaan, joihin kuhunkin kuuluu erilaisia kyberhyökkäyksiä. Uusia hajautettujen palvelunestohyökkäysten hyökkäysvektoreita ilmenee joka päivä, kun kyberrikolliset hyödyntävät entistä kehittyneempiä tekniikoita, esimerkiksi tekoälypohjaisia hyökkäyksiä. Hyökkääjät voivat käyttää verkkoa vastaan useita eri hyökkäystyyppejä, myös eri luokista.

Volumetriset hyökkäykset: Nämä hyökkäykset kohdistuvat kaistanleveyteen. Näiden hyökkäysten tavoitteena on kaataa verkkokerros suurella liikennemäärällä.

 

Esimerkki: tällainen hyökkäys voi olla esimerkiksi DNS-vahvistushyökkäys, jossa kohde hukutetaan DNS-vastausliikenteellä avointen DNS-palvelinten avulla.

Protokollahyökkäykset: Nämä hyökkäykset kohdistuvat resursseihin. Ne hyödyntävät kerroksen 3 ja 4 protokollapinon heikkouksia.

 

Esimerkki: tällainen hyökkäys on esimerkiksi SYN-hyökkäys (synkronointipakettien hukutushyökkäys), joka kuluttaa kaikki käytettävissä olevat palvelinresurssit (minkä johdosta palvelin ei ole käytettävissä).

Resurssikerroksen hyökkäykset: Nämä hyökkäykset kohdistuvat verkkosovelluspaketteihin. Ne häiritsevät tiedonsiirtoa isäntien välillä.

 

Esimerkki: tällainen hyökkäys on esimerkiksi HTTP/2 Rapid Reset -hyökkäys, jossa lähetetään tietty määrä HTTP-pyyntöjä HEADERS-parametrilla, jonka jälkeen tulee RST_STREAM, ja tätä mallia toistamalla luodaan suuri määrä liikennettä kohteena oleviin HTTP/2-palvelimiin.

Vaikka hajautettujen palvelunestohyökkäysten kohteeksi joutumista ei voi täysin välttää, ennakoiva suunnittelu ja valmistautuminen voivat auttaa sinua luomaan tehokkaamman puolustuksen.

On kuitenkin tärkeää muistaa, että suurempi liikennemäärä juhlapyhäkaudella voi vaikeuttaa poikkeavuuksien havaitsemista.

  • Arvioi riskit ja haavoittuvuudet: Aloita tunnistamalla organisaatiostasi ne sovellukset, jotka ovat tavoitettavissa julkisen internetin kautta. Muista myös huomioida sovelluksesi normaali toiminta, jotta voit reagoida nopeasti, jos alkaa käyttäytyä poikkeavasti.
  • Varmista suojauksesi: Koska hajautettuja palvelunestohyökkäyksiä esiintyy eniten juhlapyhien aikaan, tarvitse suojauspalvelun, jonka kehittyneet reagointiominaisuudet kykenevät suojautumaan minkä tahansa mittakaavan hyökkäyksiltä. Palvelussa tulisi olla toiminnot liikenteen valvonnalla, sovelluksen mukaan räätälöidylle suojaukselle, DDoS-suojauksen telemetrialle, valvonnalle ja hälytyksille sekä mahdollisuus saada tukea valmiusryhmältä.
  • Luo strategia hajautettujen palvelunestohyökkäysten varalle: Reagointistrategia on erittäin tärkeä, että pystyt tunnistamaan hajautetun palvelunestohyökkäyksen, ehkäisemään sen ja toipumaan siitä nopeasti. Olennainen osa strategiaa on määrittää DDoS-valmiusryhmä, jolla on selkeästi määritetyt roolit ja vastuualueet. Tämän valmiusryhmän täytyy osata tunnistaa, ehkäistä ja valvoa hyökkäyksiä sekä koordinoida toimintaa sisäisten sidosryhmien ja asiakkaiden kanssa.
  • Pyydä apua hyökkäyksen aikana: jos olet mielestäsi joutunut hyökkäyksen kohteeksi, ota yhteyttä soveltuviin teknisiin asiantuntijoihin, esimerkiksi määritettyyn valmiusryhmään, joka auttaa tutkimaan hyökkäystä sen aikana sekä tekemään hyökkäyksen jälkianalyysin.
  • Opi ja mukaudu hyökkäyksen jälkeen: Vaikka haluatkin todennäköisesti jatkaa toimintaa mahdollisen hyökkäyksen jälkeen mahdollisimman nopeasti, on tärkeää jatkaa resurssien valvontaa ja tehdä hyökkäyksen jälkianalyysi. Varmista, että hyökkäyksen jälkianalyysissä huomioidaan seuraavat:
  • Ilmenikö palvelussa tai käyttökokemuksessa häiriöitä johtuen skaalattavan arkkitehtuurin puutteista?
  • Mitkä sovellukset tai palvelut kärsivät eniten?
  • Miten tehokas DDoS-reagointistrategia oli? Miten sitä voitaisiin parantaa?

Aiheeseen liittyviä artikkeleita

Itä-Aasian digitaalisten uhkien laajuus ja tehokkuus kasvavat

Tutustu Itä-Aasian kehittyvään uhkakuvaan, jossa Kiina harjoittaa laajamittaisia kyber- ja vaikutusoperaatioita ja Pohjois-Korean kyberuhkatoimijat ovat yhä kehittyneempiä

Iran pyrkii toteuttamaan entistä tehokkaampia vaikutusoperaatioita kybertoimien avulla

Microsoft Threat Intelligence paljasti Iranista käsin tapahtuvan lisääntyneen kyberpohjaisen vaikuttamistoiminnan. Tutustu uhkiin ja lue yksityiskohtaisia tietoja uusista tekniikoista ja tulevista uhkista.

Kyber- ja vaikutusoperaatiot Ukrainan sodan digitaalisella taistelukentällä

Microsoft Threat Intelligence tarkastelee Ukrainan kyber- ja vaikutusoperaatioiden kulunutta vuotta, paljastaa kyberuhkien uusia suuntauksia ja kertoo, mitä on odotettavissa, kun sodan toinen vuosi alkaa.

Seuraa Microsoft Securitya