En effektiv plan för hantering av överbelastningsangrepp säkerställer att tjänster kan fortsätta fungera, om än med begränsad kapacitet. Planen bör inkludera strategier för "graceful degradation" (kontrollerad nedtrappning), hantering av förändrade taktiker, bibehållen administrativ åtkomst under angrepp, samt en skalbar reservplan för kritiska tjänster. Precis som andra backup- och kontinuitetsplaner bör denna incidenthanteringsplan testas regelbundet.
En ökad trafikmängd kan ha legitima orsaker. Innan åtgärder vidtas är det viktigt att bekräfta att det verkligen rör sig om ett överbelastningsangrepp. När det är säkerställt att det är ett angrepp, bör ni kontakta er internetleverantör, tjänsteleverantör eller motsvarande samt överväga en eventuell incidentrapportering och kommunikation genom andra medier.
Statliga myndigheter och NIS-leverantörer är skyldiga att rapportera IT-incidenter till MSB. Dessutom kan andra aktörer frivilligt rapportera incidenter till MSB om händelsen påverkar verksamheten. Sedan den 1 oktober 2022 vidarebefordrar MSB incidentrapporter, som misstänks ha sin grund i en brottslig handling, till Polismyndigheten, vilket kan leda till en polisanmälan. Målet är att öka antalet polisanmälda IT-brott och möjligheten att utreda dessa.
Det är endast rapporter där den rapporterande organisationen har angett att incidenten är orsakad av en antagonistisk handling, eller där det i fritext beskrivs som ett angrepp, som omfattas av detta vidarebefordrande till Polismyndigheten.
Detta innebär att organisationen, under en pågående attack, kan upprätthålla vissa funktioner för användare genom att prioritera åtkomst och minska belastningen på systemet. Detta görs genom att begränsa åtkomsten utifrån källa, inaktivera resurskrävande funktioner samt säkerställa att kritiska funktioner är tillgängliga för autentiserade användare.
Angrepp sker ofta i vågor, där en ny attack kan påbörjas när en tidigare våg har avvärjts. Angripare kan anpassa sina metoder för att kringgå skyddsåtgärder och överbelasta systemet. Förbered för långsiktig hantering genom att:
Överväg hur olika tjänster ska hanteras under ett angrepp och säkerställ att administrativ åtkomst förblir skyddad genom:
För att snabbt återställa tjänster efter ett angrepp, säkerställ att säkerhetskopior av konfigurationsfiler för enheter och servrar är uppdaterade och tillgängliga. Detta inkluderar även tjänster som är beroende av tredjepartslösningar, exempelvis DNS-konfigurationsfiler. Det är särskilt viktigt att testa återställningsprocessen regelbundet för att bygga förtroende för att infrastrukturen kan återställas till sitt ursprungliga skick. Detta gäller särskilt vid destruktiva överbelastningsangrepp där angriparen kan ha fått åtkomst och manipulerat systemet. Återställning kan också behövas i andra scenarier där det är avgörande att säkerställa tjänstens funktionalitet.
Eftersom överbelastningsangrepp ofta innebär att stora mängder trafik riktas till falska eller förfalskade adresser, kan dessa aktiviteter felaktigt leda till att era IP-adresser eller tjänster hamnar på så kallade abuse-listor.
Abuse-listor används för att identifiera och begränsa misstänkt skadlig trafik, men felaktiga listningar kan blockera legitima användare från att nå tjänsterna. Säkerställ därför att ni har rutiner för att övervaka och snabbt identifiera eventuella listningar som påverkar era IP-adresser eller tjänster och vidta åtgärder för att häva dessa blockeringar, vid behov genom att kontakta nätverksleverantörer eller abuse-databaser.
Överväg även alternativa mekanismer för att stödja kritiska tjänster och funktioner om ordinarie metoder blir otillgängliga. Exempelvis kan det vara avgörande att säkerställa att kunder fortfarande kan kontakta organisationen genom manuella processer eller andra kanaler.