Det er lett å se på DDoS som et rent volumproblem: for mye trafikk kommer samtidig, og tjenesten slutter å svare.
I praksis er ikke bildet lenger så enkelt.
Det mange organisasjoner møter i dag, er angrep som utvikler seg mens de pågår. De endrer metode, mål og intensitet basert på hvordan forsvarsmekanismene reagerer, noen ganger i løpet av minutter, andre ganger i løpet av sekunder. Det gjør dem betydelig vanskeligere, ikke bare å oppdage, men også å håndtere på en kontrollert måte.
Når angrepet ikke oppfører seg som forventet
Et moderne DDoS angrep kan starte som en tydelig volumbasert hendelse og deretter bli mer målrettet. Det kan gå fra å overbelaste båndbredde til å belaste spesifikke tjenester, applikasjoner eller infrastrukturkomponenter. Det kan stoppe opp og komme tilbake i en annen form.
Dette blir stadig mer normalt.
Utfordringen er at mange beskyttelsesløsninger ble utviklet ut fra en antakelse om at angrep er relativt statiske. I dagens miljø gjelder ikke den antakelsen lenger.
Trafikk som kan se normal ut
En annen faktor som ofte undervurderes, er selve trafikkens karakter.
Med botnett bygget på usikrede IoT enheter og økt bruk av residential proxies kan angrepstrafikk ligne legitim brukertrafikk. Den kan komme fra ekte IP adresser fordelt over store geografiske områder, noe som gjør enkel filtrering basert på kilde eller geografi mindre effektiv alene.
I praksis må organisasjoner forstå atferd, ikke bare opprinnelse.
Hvorfor tradisjonelle metoder ikke alltid er nok
Mange tradisjonelle beskyttelsesmekanismer bygger på terskelverdier eller tydelige avvik i trafikkmønstre. Disse metodene har fortsatt verdi, men de blir mindre effektive når angrep er mindre, mer distribuerte og mer adaptive enn tidligere.
I slike situasjoner kan systemene reagere for sent, eller for aggressivt og dermed påvirke legitim trafikk. Begge utfall skaper problemer, enten for driftsteam eller for sluttbrukere.
Det er her mange organisasjoner begynner å føle at de mister kontrollen.
En mer kontekstbasert tilnærming
Å håndtere dette krever mer enn bare å se at trafikken øker.
Organisasjoner må forstå hvordan trafikken oppfører seg, hvordan normal trafikk ser ut i eget miljø, og om nye mønstre samsvarer med bredere trusselaktivitet. Denne utfordringen er spesielt viktig i store, distribuerte og virksomhetskritiske nettverk, der rask deteksjon og presis mitigering direkte påvirker tjenestekontinuitet.
Det er her ekstern trusselintelligens blir en viktig del av helheten. Plattformer som Nokia Deepfield Secure Genome gir et bredere perspektiv ved å sette organisasjonens egen trafikk inn i en global kontekst.
Når dette kombineres med nettverksdata i sanntid, skaper det et langt sterkere grunnlag for beslutninger.
nLogics perspektiv
Det vi ofte ser i praksis, er at DDoS ikke er et isolert problem. Det påvirker flere deler av miljøet samtidig, fra aksessnett til kjernenett, fra drift til kundeopplevelse.
Derfor fokuserer vi på helheten.
I nLogic hjelper vi kunder med å forstå hvordan synlighet, analyse og respons må fungere sammen, og hvor forbedringer vil gi størst operasjonell verdi. Kombinert med Nokias nettverksbevisste DDoS funksjoner skaper dette en sterkere og mer robust forsvarstilnærming enn isolerte sikkerhetsmekanismer alene.
I neste artikkel går vi fra forståelse til implementering: hva som faktisk kreves for å bygge et DDoS forsvar som fungerer i virkeligheten.
Webinar: An Introduction to Nokia, Building More Robust and Scalable Networks
Bli med på webinar 29. mai kl. 09:00–09:45 og få en introduksjon til Nokia og hvordan samarbeidet mellom nLogic Group og Nokia skaper strategiske fordeler innen IP, optisk nettverk, datasenter og PON.
Ta kontakt for mer informasjon
