DDoS hyökkäykset – Mitä ne ovat, miksi niitä tehdään ja kuinka niiltä voi suojautua?
Tässä blogissa tullaan käsittelemään seuraavat aiheet:
– Mikä on DDoS?
– Miksi niitä tehdään?
– Kuinka niiltä voi suojautua?
Mikä on DDoS?
Palvelunestohyökkäys (engl. DoS attack) tarkoittaa verkkohyökkäystä, jossa pyritään estämään verkkosivuston tarkoitettu käyttö. Yleisesti hyökkäys toteutetaan niin, että verkkopalveluun/laitteeseen kohdistetaan niin paljon liikennettä, että tämä ei käytännössä kykene palvelemaan asiakkaitaan. Useammista lähteistä tapahtuvaa hyökkäystä kutsutaan hajautetuksi palvelunestohyökkäykseksi (engl. distributed denial-of-service attack, DDoS attack). Koska DDoS-hyökkäys on hajautettu, niin sen torjuminen ja jäljittäminen voi olla vaikeaa.
Esimerkkejä mediassa noteeratuista Suomessa tapahtuneista DDoS-hyökkäyksistä ovat esimerkiksi 2015 Osuuspankin palveluihin tehty hyökkäys, joka sai osan palveluista kokonaan nurin. Verkkopankki ja maksukortit eivät toimineet, eikä asiakkaat saaneet nostettua rahaa automaateista.
Palvelunestohyökkäykset ovat kasvaneet ja yleistyneet vuosi vuodelta. Alla olevasta kuvaajasta voidaan nähdä, että hyökkäysten määrä on jatkuvasti kasvanut ja arvioidaan kasvavan myös tulevaisuudessa (Cisco, 2020).
Cisco Annual International Report (2020).
Sivuston kuormittuminen tai kaatuminen ei aina kerro DDoS-hyökkäyksestä, vaan kyseessä voi olla vaan jostain syystä tullut suuri kävijäpiikki. Esimerkiksi julkisuudesta saatu huomio voi aiheuttaa niin suuren kävijäpiikin sivustolle, että se tukkeutuu ja kaatuu.
Miksi DDoS-hyökkäyksiä tehdään?
Syitä DDoS-hyökkäyksen tekemiseen voi olla useita. Niitä voivat olla esimerkiksi kiusanteko tai eräänlainen voimannäyttö ja viestin lähettäminen. Hyökkäys syy voi olla myös aktivismi, kosto, kilpailijan häiritseminen ja kiristys. Hyökkäyksillä voidaan hakea myös rahallista, sotilaallista tai poliittista hyötyä. DDoS-hyökkäys voi olla myös osa jotain toista hyökkäystä, mahdollistaen muiden metodien hyödyntämisen samaan kohteeseen. (Pentasecurity, 2016.)
Kuinka suojautua DDoS-hyökkäykseltä?
DDoS-hyökkäyksen kohteeksi joutumista on käytännössä mahdotonta estää. Jos olet verkossa, olet myös potentiaalinen hyökkäyksen kohde. Tämä ei kuitenkaan tarkoita sitä, että hyökkäyksen osuessa kohdalle, mitään ei olisi tehtävissä.
Yksinkertaisin tapa lopettaa DDoS-hyökkäys on irroittaa tietoverkko kokonaan Internetistä, jolloin hieman yritysverkosta riippuen yrityksen sisäverkko voi vielä toimia. Tämä on käytännössä myös ainoa keino, minkä yritykset pystyvät itsenäisesti tekemään. Toisaalta, tässä tapauksessa myös hyökkääjä on onnistunut tavoitteessaan ja saanut kohteen pois Internetistä.
Jos tavoitteena on torjua hyökkäys siten, että verkkoliikenne ja yrityksen liiketoiminta ei kärsi hyökkäyksestä huolimatta, tulee DDoS-hyökkäyksen aikana ”pestä” kaikki ylimääräinen ja haitallinen liikenne pois, mutta päästää läpi kaikki oikea liikenne. Tätä kutsutaan hieman palveluntarjoajasta riippuen joko DDoS Mitigiointi- tai pesuripalveluksi.
DDoS Mitigointi- / pesuripalvelun käyttö
Pesuripalvelut voidaan jakaa karkeasti kahteen eri kategoriaan: Pelkkien kotisivujen suojaukseen ja koko yritysverkon IP-osoitteiden suojaamiseen. Kotisivut suojataan siten, että ne julkaistaan maailmalle jotakin CDN-palvelua (Content delivery network) hyödyntäen, jolloin sivut näkyvät yhtäaikaisesti monesta eri konesalista ympäri maailmaa. Lisäksi useat CDN-palveluntarjoajat tarjoavat lisäpalveluna edistyneempiä DDoS-suojausominaisuuksia.
CDN-palvelu on käyttöönotettavissa kohtalaisen helposti itsenäisesti, mutta ei suojaa yritystä muilta osin, kuin verkkosivujen saatavuudelta. Esimerkiksi yrityksen palomuurit, toimisto- ja palvelinverkot voivat silti joutua hyökkäyksen kohteeksi.
Toinen, kattavampi vaihtoehto on suojata koko yritysverkko. Tämä toteutetaan pääsääntöisesti yhteistyössä yrityksen tietoliikenneoperaattorin kanssa. Yritysverkko voidaan suojata DDoS-pesurilla suoraan tietoliikenneoperaattorin omassa runkoverkossa, tai reitittimällä hyökkäyksen kohteeksi joutuneet verkot edellä kuvatun CDN-palvelun kaltaiseen pesuripalveluun. Näistä jälkimmäinen on edistyinein ja tehokkain tapa suojautua hyökkäykseltä, jolloin massiivisimmatkin hyökkäykset saadaan pestyä sekunneissa.
Suojauspalveluita hankkiessa on hyvä varmistaa niiden kattavuus ja tarpeeksi suuri kapasiteetti pestä suurempiakin hyökkäyksiä. Digi- ja väestötietovirastolle raportoitujen hyökkäysten keskikoko on noin 30 Gbit / s, mutta suurimmat hyökkäykset voivat olla satoja gigabittejä sekunnissa, eli suurempia kuin monen operaattorin oman runkoverkon kapasiteetti. Varmista siis sekä palveluntarjoajan pesurin että runkoverkon riittävä kapasiteetti keskimääräistä isompaakin hyökkäystä vastaan!
Jos palvelulupauksesi on 24/7, suojaudu 24/7
Hyökkäykset usein tapahtuvat sellaisina hetkinä, kun organisaatioiden työntekijät lomailevat. Kansalliset vapaapäivät ovat suosittuja ja esimerkiksi yllämainittu OP:n hyökkäys tehtiin 31.12 eli uuden vuoden aattoiltana. Keskustele palveluntarjoajasi kanssa asiasta ja vaadi tarpeeksi hyvää palvelua, sillä kyberturvallisuus ylettyy myös toimistoaikojen ulkopuolelle.
Varmista, että et ole osa hyökkäystä
Vaikka organisaatiosi ei joutuisikaan suoraan hyökkäyksen kohteeksi, voit silti olla auttamassa hyökkäämään jotakin toista organisaatiota vastaan. Pidä huolta kattavasta tietoturvan tasosta omassa organisaatiossasi, sillä hyökkäyksissä käytettävät botnet-verkot pyrkivät koko ajan kasvamaan, etsimällä jatkuvasti lisää hallittavia laitteita erilaisilla haittaohjelmilla, kuten troijalaisilla ja vakoiluohjelmilla. Toimiva tietoturva ja virustorjunta voi estää laitteittesi joutumisen osaksi botnet-verkkoa.
Tietoturvaspesialistimme käyvät jatkuvasti dialogia asiakkaidemme tietoturva-asioista. Jos tarvitset tietoturvan puitteissa apua tai toisen mielipiteen, niin autamme mieluusti. Nämä asiat ovat arkipäiväämme, joten autamme mieluusti.
Lähteet:
Cloudflare, 2022. https://www.zdnet.com/article/ddos-attacks-that-come-combined-with-extortion-demands-are-on-the-rise/
Kaspersky, 2019. https://www.kaspersky.com/about/press-releases/2019_summertime-and-the-ddos-is-easy-q2-saw-18-percent-rise-in-attacks-compared-to-last-year
Cisco, 2020. Annual International Report, 2018-2023 https://www.cisco.com/c/en/us/solutions/collateral/executive-perspectives/annual-internet-report/white-paper-c11-741490.html
Pentasecurity, 2016. https://www.pentasecurity.com/blog/ddos-top-6-hackers-attack/
DVV Kybersää, 2022. https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%2C%20toukokuu%202022_0.pdf