Ett effektivt skydd mot överbelastningsangrepp kräver samarbete med tjänsteleverantörer. Det är viktigt att hålla dem informerade om förändringar i infrastrukturen som påverkar din exponering och därmed risken för angrepp. Eftersom en beslutsam angripare kan generera mer trafik än vad en enskild organisation kan hantera, är stöd från internetleverantörer och andra aktörer ofta nödvändigt.
En webbapplikationsbrandvägg (Web Application Firewall, WAF) kan vara en effektiv metod för att skydda applikationslagret mot överbelastningsangrepp. Genom att använda en WAF kan organisationen upptäcka och blockera skadliga anrop innan de når själva applikationen, vilket avlastar serverresurser och ökar motståndskraften mot angrepp som riktas mot applikationsspecifika funktioner.
En WAF analyserar inkommande trafik och kan upptäcka mönster som tyder på överbelastningsangrepp, till exempel ett stort antal anrop till specifika resurser eller upprepade försök att nå resursintensiva funktioner. Dessutom kan en WAF filtrera och blockera trafik baserat på regler för beteendemönster och användarmönster, vilket gör att skadlig trafik stoppas utan att påverka legitima användare.
En WAF kan även begränsa åtkomst till vissa URL:er, vilket kan minska risken för att resurskrävande funktioner används som måltavlor för ett överbelastningsangrepp. Genom att implementera sådana skyddsåtgärder minskar belastningen på applikationen och ökar tillgängligheten för legitima användare.
Internetleverantörer kan erbjuda tekniska lösningar för att hjälpa sina kunder hantera överbelastningsangrepp, baserat på deras nätverksinfrastruktur och tillgång till avancerade filtrerings- och övervakningsverktyg. Vissa leverantörer inkluderar grundläggande skydd som standard, medan andra erbjuder avancerade tjänster, som "packet scrubbing" för att filtrera bort skadlig trafik, mot en extra avgift. Det är viktigt att i samråd med leverantören säkerställa att de skyddsåtgärder som erbjuds är anpassade efter din verksamhetsspecifika infrastruktur och exponering. Genom en kontinuerlig dialog kan leverantören uppdateras om förändringar i infrastrukturen och anpassa skyddet utifrån aktuella risker.
Vissa internetleverantörer kan också erbjuda skydd mot angrepp på högre nivåer i nätverksstacken, men det är ofta svårt för leverantören att fullt ut förstå detaljerna i kundens applikationer, särskilt om de använder krypterade protokoll som HTTPS eller TLS. I vissa fall kan man be leverantören implementera enkla filtreringsregler för att skydda brandväggar från att överväldigas av inkommande trafik.
En vanlig metod för att minska risken för överbelastning är geoblockering, men denna är ofta ineffektiv i dagens miljö, eftersom skadlig trafik inte alltid kan spåras till specifika regioner. Hot härrör ofta från nätägare, datacenter eller internetleverantörer med låg trovärdighet för hantering av skadlig trafik. Trots detta kan geoblockering eller riktad trafikbegränsning ändå vara värda att överväga, särskilt om vissa regioner globalt inte behöver åtkomst till organisationens webbplatser eller VPN-tjänster. I samarbete med internetleverantören kan man även överväga att strypa bandbredden för trafik från specifika regioner eller nätägare som anses medföra högre risker.
För webbaserade tjänster kan ett innehållsleveransnätverk (Content Delivery Network, CDN) hantera statiskt innehåll och distribuera trafik globalt, vilket gör det svårare att genomföra ett överbelastningsangrepp. CDN-leverantörer kan också bidra till att skydda applikationslagret genom att begränsa åtkomsten till specifika URL och därmed minska risken för att resurskrävande funktioner blir måltavlor för angrepp.
Vid val av CDN-leverantör är det viktigt att välja en betrodd aktör som uppfyller höga säkerhetskrav och kan hantera stora trafiktoppar utan att påverka tjänstens tillgänglighet. Kontrollera att leverantören kan erbjuda lastbalansering och redundanta nätverksvägar för att ytterligare minska risken för överbelastning.
För att minimera risken att angripare hittar ursprungsservern bör CDN-konfigurationen effektivt maskera denna. Genom att begränsa åtkomsten på internetleverantörsnivå kan man även säkerställa att all trafik passerar genom CDN, vilket förhindrar att angriparen kan gå förbi skyddet och angripa direkt.
Det kan också vara fördelaktigt att konfigurera CDN så att bandbredd eller åtkomst begränsas för specifika geografiska regioner eller nätägare som anses utgöra en högre risk, särskilt om alla regioner inte behöver samma åtkomst till tjänsten.
Genom att använda flera tjänsteleverantörer kan organisationen förbättra tillgängligheten för kritiska funktioner som DNS, nätverksanslutningar och hostingtjänster, vilket minskar risken för störningar vid ett överbelastningsangrepp mot en enskild leverantör. Detta ökar dock komplexiteten i systemarkitekturen, vilket kräver noggrann hantering och planering.
Om organisationen väljer att använda flera leverantörer är det viktigt att identifiera och hantera eventuella delade resurser. En risk är att en leverantör egentligen är en återförsäljare för en annan, eller att det finns dolda kopplingar, såsom delat huvudnätverk eller gemensamma datacenter. Dessa delade resurser kan innebära att ett angrepp mot en leverantör påverkar hela infrastrukturen. Det är också viktigt att vara medveten om leverantörernas geografiska placering och säkerställa att de är spridda för att undvika sårbarheter vid riktade angrepp.
Skapa en incidenthanteringsplan