En checklista för att ta itu med DDos-attacker och botnätarmén

DDos-attacker (Distributed Denial of Service) kom till allmänhetens kännedom förra året efter flera uppmärksammade fall, där ett av de största och mest rapporterade fallen var när Dyn slogs ut i oktober 2016. Medan detta inte nödvändigtvis ett nytt hot (faktum är att dessa hot uppkom under slutet av 90-talet), så är utslagningen av Dyn ett intressant exempel eftersom IoT-enheter med dålig säkerhet användes för att samordna attacken. Det förutspås att det år 2020 kommer att finnas 20 miljarder uppkopplade enheter som en del av det växande området Internet of Things, behovet av att implementera korrekta nätverksprocedurer och verktyg för att säkra alla dessa enheter kommer bara att växa. Internet of Things är det nya slagfältet – det blir allt vanligare att hyra botnät Enkelt uttryckt så inträffar en DDoS-attack när en angripare försöker göra en nätverksresurs otillgänglig för legitima användare, genom att flöda det relevanta nätverket med överflödig trafik tills servrarna helt enkelt blir överhopade av jobb och tjänsten slås ut. Flera tusen sådana attacker inträffar varje år och ökar hela tiden, både i antal och i omfattning. Enligt vissa rapporter såg 2016 en ökning på 138 procent jämfört med året innan i det totala antalet attacker som var större än 100 Gbps. Dyn-attacken använde Mirai-botnätet som utnyttjar IP-aktiverade ”smarta saker” med dålig säkerhet. Botnätet är programmerat så att det skannar efter IoT-enheter som fortfarande skyddas enbart av fabriksinställningar eller hårdkodade användarnamn och lösenord. När enheten är infekterad går den med i ett botnät som består av tiotusentals IoT-enheter, som sedan kan bombardera ett visst mål med skadlig trafik. Det här botnätet och andra finns tillgängliga att hyra online från företagsamma it-brottslingar, och allt eftersom nätens funktionalitet och kapacitet utökas och finjusteras hamnar allt fler uppkopplade enheter i riskzonen. Vilka åtgärder kan då företag vidta för att skydda sig själva nu och i framtiden? För det första: stävja hotet IoT utgör allt oftare kärnan i omvandlingen av digital verksamhet och har dessutom möjligheten att utnyttja några av de viktigaste tekniska framstegen ‒ som t.ex. big data, automatisering, maskininlärning och synlighet över hela företaget ‒ och just därför har nya sätt att hantera nätverk och deras nät med uppkopplade enheter svårt att hålla takten. En viktig utveckling är inneslutning av IoT. Detta är en metod där virtuella isolerade miljöer skapas genom att använda tekniker för att visualisera nätverket. Idén handlar om att gruppera uppkopplade enheter som har ett visst syfte, och respektive behöriga användare, i en unik IoT-behållare. Alla användare och enheter i ett företag är fortfarande fysiskt uppkopplade till en och samma konvergerade nätverksinfrastruktur, men de är logiskt isolerade av dessa behållare. Säg t.ex. att säkerhetsteamet har tio IP-övervakningskameror på en anläggning. Genom att skapa en IoT-behållare för säkerhetsteamets nätverk kan it-personalen skapa ett virtuellt, isolerat nätverk som inte går att komma åt av obehörig personal ‒ eller synas av andra enheter utanför den virtuella miljön. Om någon del av nätverket utanför den här miljön komprometteras, sprider det sig inte till övervakningsnätverket. Denna metod kan även användas för löneutbetalningssystem, forskning och utveckling eller andra team inom verksamheten. Genom att skapa en virtuell IoT-miljö kan du även bestämma rätt förhållanden för att en grupp enheter ska fungera korrekt. Inuti en behållare går det att tillämpa QoS-regler (Quality of Service) och det går även att reservera eller begränsa bandbredd, prioritera uppdragsväsentlig trafik och blockera oönskade program. Exempelvis kan övervakningskameror som kör uppgifter kontinuerligt behöva reservera en viss mängd bandbredd, medan livsuppehållande maskiner på sjukhus måste få högsta prioritet. Denna typ av QoS-tillämpning kan uppnås bättre genom att använda switchar som aktiveras med DPI (Deep Packet Inspection) som ser vilka paket som korsar nätverket och dessutom vilka program som används, så att du vet ifall någon kommer åt CRM-systemet, säkerhetsuppgifterna eller helt enkelt kollar på Netflix. För det andra: skydd på switchnivå ‒ en tredelad strategi Verksamheter ska se till att switchförsäljare tar hotet på allvar och införlivar procedurer för att skydda maskinvara så mycket som möjligt. En bra metod går att sammanfatta med hjälp av en tredelad strategi. Dubbelkontrollera ‒ se till att switchens operativsystem bekräftas av tredjeparts säkerhetsexperter. Vissa företag kanske drar sig för att få källkod verifierad av branschspecialister, men det är viktigt att titta på tillverkare som har pågående relationer med ledande branschsäkerhetsexperter. Krypterad kod innebär att en switch inte komprometterar hela nätverket. Det är vanligt att använda öppen källkod som en del av operativsystem i branschen, men detta utgör även en risk eftersom koden är allmänt känd. Genom att kryptera koden inuti switchens minne förhindras en hacker från att utföra samma attack på flera switchar, därför att även om en hacker kan lokalisera delar av öppen källkod i en switch, så är koden inuti varje switch unikt krypterad. Hur levereras switchens operativsystem? IT-branschen har en global leveranskedja där tillverkning av komponenter, montering, leverans och distribution har ett världsomspännande avtryck. Detta innebär att det finns en risk att switchen mixtras med innan den levereras till slutanvändaren. Teamet som installerar nätverket ska alltid ladda ned det officiella operativsystemet till switchen, direkt från säljarens säkra servrar före installation. För det tredje: utför de enkla uppgifterna för att säkra dina smarta saker Förutom att upprätta ett säkrare nätverk finns det även andra åtgärder du kan vidta nu för att förbättra skyddet av dina enheter. Antalet verksamheter som missar dessa enkla steg är oerhört. Ändra standardlösenordet – En mycket enkel åtgärd som ofta förbises ‒ ändra standardlösenordet. I fallet Dyn sökte viruset efter IP-enheternas standardinställningar och tog kontrollen på så vis. Uppdatera programvaran – Allteftersom striden mellan it-brottslingar och säkerhetsexperter fortskrider blir behovet av att hålla jämn takt med de senaste uppdateringarna och säkerhetsfixarna allt viktigare. Var uppmärksam på de senaste uppdateringarna och gör det till en del av rutinen att hålla koll på dessa. Förhindra fjärrhantering – Inaktivera fjärrhanteringsprotokoll, som t.ex. telnet eller http som kontrollerar enheten från en annan plats. De rekommenderade säkra fjärrhanteringsprotkollen sker via SSH eller https. Utveckla ditt nätverk Internet of Things erbjuder stor omvandlingspotential för verksamheter inom alla branscher, från tillverkning och hälsa till transport och utbildning. Men precis som med alla nya vågor med teknisk innovation så medför de nya utmaningar. Vi befinner oss i början av IoT-eran, och det är just därför som det är viktigt att implementera de grundläggande nätverkskraven, för att både kunna stödja ökningen i mängden data som korsar våra nätverk och för att tillämpa QoS-regler och minska risken för it-attacker.

---

Detta är en gästartikel skriven av Ingo Schneider, Director of Business Development & Data Network Infrastructure, EUNO, at Alcatel-Lucent Enterprise.