Lyssna

Skapa en incidenthanteringsplan

En effektiv plan för hantering av överbelastningsangrepp säkerställer att tjänster kan fortsätta fungera, om än med begränsad kapacitet. Planen bör inkludera strategier för "graceful degradation" (kontrollerad nedtrappning), hantering av förändrade taktiker, bibehållen administrativ åtkomst under angrepp, samt en skalbar reservplan för kritiska tjänster. Precis som andra backup- och kontinuitetsplaner bör denna incidenthanteringsplan testas regelbundet.

Bekräfta att ni är under attack

En ökad trafikmängd kan ha legitima orsaker. Innan åtgärder vidtas är det viktigt att bekräfta att det verkligen rör sig om ett överbelastningsangrepp. När det är säkerställt att det är ett angrepp, bör ni kontakta er internetleverantör, tjänsteleverantör eller motsvarande samt överväga en eventuell incidentrapportering och kommunikation genom andra medier.

Statliga myndigheter och NIS-leverantörer är skyldiga att rapportera IT-incidenter till MSB. Dessutom kan andra aktörer frivilligt rapportera incidenter till MSB om händelsen påverkar verksamheten. Sedan den 1 oktober 2022 vidarebefordrar MSB incidentrapporter, som misstänks ha sin grund i en brottslig handling, till Polismyndigheten, vilket kan leda till en polisanmälan. Målet är att öka antalet polisanmälda IT-brott och möjligheten att utreda dessa.

Det är endast rapporter där den rapporterande organisationen har angett att incidenten är orsakad av en antagonistisk handling, eller där det i fritext beskrivs som ett angrepp, som omfattas av detta vidarebefordrande till Polismyndigheten.

Graceful Degradation

Detta innebär att organisationen, under en pågående attack, kan upprätthålla vissa funktioner för användare genom att prioritera åtkomst och minska belastningen på systemet. Detta görs genom att begränsa åtkomsten utifrån källa, inaktivera resurskrävande funktioner samt säkerställa att kritiska funktioner är tillgängliga för autentiserade användare.

  • Begränsa åtkomst baserat på IP-adresser eller geografisk plats.
  • Slå av funktioner som dynamiskt innehåll (till exempel. sökfunktioner eller produktrekommendationer) som använder mycket serverkapacitet.
  • Tillåt åtkomst till vissa tjänster endast för autentiserade användare för att minska onödig trafik och skydda kritiska funktioner för dem med verkligt behov av åtkomst.

Hantering av ändrade taktiker och upprepade angrepp

Angrepp sker ofta i vågor, där en ny attack kan påbörjas när en tidigare våg har avvärjts. Angripare kan anpassa sina metoder för att kringgå skyddsåtgärder och överbelasta systemet. Förbered för långsiktig hantering genom att:

  • Övervaka trafikmönster för att identifiera nya taktiker.
  • Säkerställa tillräckliga resurser för att hantera långvariga angrepp.
  • Utforma flexibla skyddsåtgärder som snabbt kan anpassas.
  • Upprätthålla extern kommunikation för att normalisera situationen och minska oro.
  • Bibehålla administrativ åtkomst.

Överväg hur olika tjänster ska hanteras under ett angrepp och säkerställ att administrativ åtkomst förblir skyddad genom:

  • Separata nätverk eller subnät för betrodda användare.
  • Begränsning av åtkomst till specifika IP-adresser eller nätverk.
  • Undvikande av beroende till publika DNS-zoner.

Återställning av tjänster

För att snabbt återställa tjänster efter ett angrepp, säkerställ att säkerhetskopior av konfigurationsfiler för enheter och servrar är uppdaterade och tillgängliga. Detta inkluderar även tjänster som är beroende av tredjepartslösningar, exempelvis DNS-konfigurationsfiler. Det är särskilt viktigt att testa återställningsprocessen regelbundet för att bygga förtroende för att infrastrukturen kan återställas till sitt ursprungliga skick. Detta gäller särskilt vid destruktiva överbelastningsangrepp där angriparen kan ha fått åtkomst och manipulerat systemet. Återställning kan också behövas i andra scenarier där det är avgörande att säkerställa tjänstens funktionalitet.

Eftersom överbelastningsangrepp ofta innebär att stora mängder trafik riktas till falska eller förfalskade adresser, kan dessa aktiviteter felaktigt leda till att era IP-adresser eller tjänster hamnar på så kallade abuse-listor.

Abuse-listor används för att identifiera och begränsa misstänkt skadlig trafik, men felaktiga listningar kan blockera legitima användare från att nå tjänsterna. Säkerställ därför att ni har rutiner för att övervaka och snabbt identifiera eventuella listningar som påverkar era IP-adresser eller tjänster och vidta åtgärder för att häva dessa blockeringar, vid behov genom att kontakta nätverksleverantörer eller abuse-databaser.

Överväg även alternativa mekanismer för att stödja kritiska tjänster och funktioner om ordinarie metoder blir otillgängliga. Exempelvis kan det vara avgörande att säkerställa att kunder fortfarande kan kontakta organisationen genom manuella processer eller andra kanaler.

  • Upprätthåll uppdaterade säkerhetskopior av kritiska konfigurationsfiler.
  • Upprätta manuella processer eller alternativa kontaktvägar för att säkerställa att kunder kan nå organisationen eller kontaktlistor till leverantörer utanför organisationen även om vanliga kontaktmetoder är otillgängliga.
  • Upprätta rutiner för att identifiera och hantera eventuella felaktiga listningar av era IP-adresser eller tjänster på abuse-listor för att säkerställa att tjänsterna åter blir tillgängliga när attacken är över.

Testa din incidenthanteringsplan

Överbelastningsangrepp

Förstå din exponering

Förstå ditt försvar