Angrepene blir større

Angrepene blir større

Resultatene er skremmende.

Arbor Networks har i samarbeid med det internettbaserte sikkerhetsmiljøet gjennomført en 12 måneders undersøkelse. Vi har her tatt frem de viktigste funnene.

Den omfattende undersøkelsen dekker perioden fra august 2007 til og med juli 2008 og viser de store endringene i sikkerhet på internett. I flere år nå har tjenesteleverandører brukt mest av sine tilgjengelige sikkerhetsressurser i kampen mot DDOS-angrep (distributed denial of service).

For første gang på lenge beskriver ISPene sikkerhetslandskapet som langt mer mangfoldig. Det er store bekymringer rundt såkalt DNS-spoofing, BGP-kapring og søppelpost. Nesten halvparten av ISPene i undersøkelsen vurderer sine DNS-tjenester som sårbare.

Andre utviser bekymring over relatert infrastruktur for tjenesteleveranser som VoIP, SBC (session border controllers) og lastbalanserere.

Overstiger 40 Gbps

Rundt år 2000 lå de distribuerte tjenestenektangrepene på relativt beskjedne megabit-størrelser. Nå har de imidlertid vokst seg store, og i år ble 40 Gbps-grensen brutt for første gang. Veksten i angrepstørrelsen fortsetter å vokse fortere enn den tilsvarende økningen i underliggende overføringshastigheter og investeringene ISPene gjør i sin infrastruktur.

Majoriteten av ISPene melder imidlertid tilbake at de nå kan detektere DDoS-angrep ved hjelp av kommersielle eller open source-baserte verktøy. Dessuten melder mange om at de nå ruller ut karantene-infrastruktur for å bekjempe botnets.

Når de 66 deltakende operatørene ble spurt om å rangere hva de ser som de største problemene i løpet av de neste 12 månedene, ble svarene slik: Bots og botnets ruver helt i toppen, etterfulgt av DNS cache poisoning og BGP-kapring.

42 prosent oppga flood-baserte angrepsmetoder som det vanligste, da eksempelvis via UDP og ICMP. På andreplass med 24 prosent ligger såkalt protocol exhaustion ved hjelp av eksempelvis SYN og RST. De mer applikasjonsbaserte angrepsmetodene stod for 17 prosent, og her finner vi for eksempel URL, GET, DNS og SQL.


Det er liten tvil om at angrepene stadig blir større og vanskeligere å stå i mot.

Liten tro på rettshåndhevelse

Det var bare 21 prosent av de globalt plasserte operatørene som trodde at politi har styrken og midlene til å handle ut i fra informasjon gitt av operatørene. Nesten 64 prosent svarte nei, mens 36 prosent indikerte at de tror rettshåndhevelse stadig blir nyttigere.

Ni prosent svarte at de tror politiarbeid blir enda mer ubetydelig. 26 prosent svarte at de ikke har sett noen merkbare endringer i politiaktiviteter, mens en like stor del ikke hadde sett noe til politiet i det hele tatt.

Det er ellers interessant å se at 61 prosent av ISPene synes at de selv skal være ansvarlige for å detektere og overvåke botnets. 23 prosent er imidlertid uenige, mens 17 prosent er enige med noen forholdsregler.

Tilgangstyper

Det er overraskende å se at nesten 24 prosent ennå aksesserer sine nettverksenheter som rutere og svitsjer via Telnet. Denne tilgangsmetoden er enkel å snappe opp for andre maskiner i det samme lokalnettverket. Heldigvis er det så mange som 67 prosent som sverger til SSH for å aksessere og konfigurere nettverksenhetene.

Den foretrukne protokollen for å administrere og overvåke ruterne er fremdeles SNMPv1 som brukes av 45 prosent. 17 prosent har migrert til SNMPv3 som byr på bedre sikkerhet.

20 prosent melder om at de har aktivert støtte for SNMP-skriving til sine nettverksenheter, mens 70 prosent har deaktivert denne muligheten. Dermed er det altså SNMPv1-systemer der ute som står i skrivbar modus, noe som betegnes som uheldig.

Vil IPv6 hjelpe?

Deltakerne har liten tro på at IPv6 vil redusere antall trusler. Over halvparten tror derimot at trusselbildet vil øke ettersom IPv6 blir mer utbredt. Kun åtte prosent tror at IPv6 vil medføre et mer positivt trusselbilde.

Mens de fleste ISPer nå har infrastruktur for å detektere båndbreddebaserte flood-angrep, mangler mange muligheten til å raskt døyve disse angrepene. Kun en brøkdel sier de har mulighet til å håndtere DDoS-angrep på under ti minutter.

Undersøkelsene som er foretatt i løpet av de siste årene viser en trend med stadig større angrep. På denne tiden neste år er angrepene trolig i nærheten av 100 Gbps. Men også andre mer sofistikerte angrepsmetoder kan være på gang, slik at bits per sekund ikke lenger er like signifikant.

Les om: