Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Du har knappast missat att Sverige har drabbats av en våg DDoS-attacker (Distributed Denial-of-Service). Sedan februari har Sverige och Danmark råkat ut för den ena stora överbelastningsattacken efter den andra. De har tvingat ner hemsidor och tjänster hos allt från organisationer och myndigheter till flygplatser och finansinstitut.
Tänk bara på för några månader sedan, när SAS drabbades hårt av en attack som stängde ner deras hemsida i flera dagar. Det här har varit attacker som har kringgått offrens DDoS-skydd och WAF-lösningar (Web Application Firewall) som om de inte fanns, genom en kombination av illvillig kreativitet och rått, brutalt cybervåld.
Men attackerna drabbar inte bara Sverige och Danmark: vi ser attacker mot affärspartner i hela Europa och de blir allt större och mer intensiva. Och attackerna kommer främst från ett enda land: Ryssland. Ryska hacktivistgrupper och pro-ryska hackernätverk som KillNet, NoName057(16), Team Insane PK, Mysterious Team, Passion Group och den kanske mest kända här hemma i Sverige: Anonymous Sudan.
Organisationer som vår kan för närvarande fortfarande avvärja de våldsamma attackerna, men när attacker som dessa kan stänga franska flygplatser i flera dagar så väcker det en viktig fråga: Är vi som europeisk gemenskap redo att hantera DDoS-attacker när de inom en snar framtid har en intensitet på nästan 900 000 requests per second (RPS)?
DDoS-tsunami
Den nya vågen av attacker har växt stadigt sedan februari, även om intensiteten specifikt mot Norden och särskilt Sverige/Danmark var som högst under senvåren. Därefter har de ryska grupperna riktat in sig på andra kritiska mål i Europa, bland annat franska flygplatser, och nu senast ser vi ett starkt fokus på Finland – framför allt efter landets anslutning till NATO.
Vi ser bland annat KillNet Collective göra politiska statements, orsaka förödelse och samhällsstörningar, samt agera lockbete under tiden som gruppens samarbetspartner försöker bryta sig in genom bakdörrar.
Metoden som används av de pro-ryska cyberbrottslingarna är en ny typ av HTTP DDoS Tsunami-attack som är sofistikerad och aggressiv, men också extremt svår att upptäcka och förhindra utan att samtidigt blockera legitim trafik. Det mer traditionella, nätverksbaserade DDoS-skyddet och Web Application Firewall räcker inte längre för att klara av denna typ av attack. De nya angreppen har helt enkelt en alltför stor mängd förfrågningar (RPS) som överväldigar webbservrar och brandväggar och tvingar ner dem.
Attackerna är till och med utformade för att undgå vanliga signaturbaserade övervakningslösningar. Det innebär att säkerhetsteam måste ägna timmar och dagar åt att analysera trafiken för att sätta upp nya regler, vilket i slutändan inte spelar någon roll eftersom cyberbrottslingarna vid det laget har ersatt sin attackyta med en ny uppsättning HTTP-förfrågningar.
De hårda attacker vi har registrerat varade i fyra timmar med en topp på 880 000 RPS – en absurt stor attack, vars like vi aldrig har sett tidigare – och bara några dagar senare inträffade en liknande attack som varade i två timmar med 740 000 RPS.
Nya angreppsmetoder – nya försvarsmetoder
Lösningen på de nya angreppstyperna är att tänka om när det gäller hur vi stoppar dem. Tidigare har det varit den enskilda organisationens ansvar att stoppa överbelastningsattacker, men den metoden fungerar inte längre. Det sker helt enkelt för många attacker, de är för avancerade och de är för kraftfulla – även de mindre. Det är bara de största företagen med de största budgetarna som har möjlighet att prioritera ett skydd som kan avvärja den här typen av attacker – och ofta väljer de att prioritera annorlunda.
I stället bör skyddet av företag och organisationer – både stora och små – ske på infrastrukturnivå. För när vi ser att sjukhus, flygplatser, kritisk infrastruktur och banksystem drabbas av överbelastningsattacker som kan orsaka stor förödelse och till och med kosta människoliv, bör det inte vara enskilda organisationers ansvar – i synnerhet som det finns ett alternativ: en europeisk gemenskap mot hot utifrån, där det inte handlar om profit utan om vårt gemensamma bästa.
