DDoS er noe som man kan øve på. Bedrifter bør øve seg på forskjellige DDoS-scenarioer, hvordan går de frem, hvordan håndteres hendelsene, hvilke prosedyrer følges, og hvem varsles? Dette er spørsmål enhver bedrift som muligens er utsatt for DDoS, bør kunne svare på.
Det er lett for meg å si, men det å forberede sine CSIRT (Computer Security Incident Response Team), enten det er innleid team eller in-house, er essensielt. Jeg underviser i SANS-kurset "Hacker Tools, Techniques, Exploits, and Incident Handling", noe som tillater meg å ha en mening om dette. Det er ekstremt viktig å ha en plan samt kontinuerlig forberede seg for når angrepne inntreffer.
Det er flere måter man kan "løse" DDoS på mens man er under angrep. Jeg lister opp de viktigste her:
Man kan øke beskyttelsen mot DDoS på flere måter. Slik mange fremlegger det i dag, virker det som om alt håp er ute. Man må nesten se litt på hvilken trusselagent man beskytter seg mot. DDoS vil alltid vinne til slutt, men skal virkelig en guttunge som har en dårlig dag, få lov til å ta ned butikken? Nei, da må bedriftene respondere bedre.
Med få tastetrykk bør driftsvakt raskt kunne etablere full blokkering for henvendelser som kommer utenfra kjernelandene man opererer i. Eksempelvis om 90 % av kundene dine opererer fra Norge, bør man kunne iverksette strakstiltak som blokkerer alle andre.
Maskinkraften fra maskiner som kommer fra et DDoS kun fra Norge, vil være betydelig svakere enn hva det vil innebære å ta imot angrep fra resten av verden. Merk at DDoS kan være stort nok til at du ikke klarer å filtrere en gang, da er det viktig å kunne kontakte ISP for å gjøre den samme operasjonen. De har større kapasitet og vil ikke like enkelt tas ned.
Bedriften bør også prøve å kartlegge dagens trafikkmønstre. Hvordan ser en vanlig kunde ut? Hvordan kan vi, ved et angrep, skille legitime brukere fra angripere? Dersom man raskt kan skille ut angriper fra kunde basert på karakteristikk i requestene, kan man enklere blokkere angripere. Et slikt scenario er absolutt noe et CSIRT bør øve på.
For eksempel kan det være at angriperne misbruker søkefunksjonalitet på produktet ditt. Klarer du å identifisere denne karakteristikken, kan du kanskje deaktivere de rette funksjonene mens resten av produktet leverer, kun for å overleve lenge nok til å få reagert med alle tiltakene.
Det er flere utsagn om at DDoS ikke handler om sikkerhet, men sannheten er at det er et direkte angrep mot tilgjengeligheten. Dette var guttestreker, vandalisme, men det gjør ikke saken noe mindre alvorlig. Det sier vel litt at en guttunge kan ta ned butikken vår? Dette bør vi være forberedt på til neste gang.
Sjekker man leieprisen for DDoS-angrep i dag, ser vi at man kan leie 1.5GBPS i én time for 40 kr! Så hva med å kjøre et angrep selv med 1.5GBPS? Det MÅ man kunne overleve i dag, ellers kan man dø til hvilken som helst tenåring som heller har lyst å kjøpe DDOS enn en pose chips. Andre leverandører sier de kan levere 5-15GBPS over én dag til kr 130.
Man må stille seg spørsmålet, hvem forsvarer man seg mot? DDoS vil alltid kunne vinne til slutt. Det er ofte et løp om hvem som har mest ressurser. En guttunge bør ikke klare å ta ned butikken, men det er kanskje akseptabelt at en nasjon eller meget veletablert motstander kan klare det. Dette er vurderinger som man må stille seg når man vurderer investeringer og tiltak for å prøve å utbedre problemet mest mulig.