OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem CERT-SE:s incidenthanteringsprocess Steg 4 - Återställa Återställa DDoS
Navigering
De viktigaste frågorna vid en incident

Vid en första kontakt med en intressent som har råkat ut för en misstänkt incident så är det några frågor som organisationen bör få svar på. De viktigaste är listade nedan.

  • Vad har hänt, hur och när upptäcktes problemet?
  • Vilka åtgärder har gjorts?
  • Är incidenten fortfarande pågående, kan data läcka ut?
  • Vad vill organisationen ha hjälp med?
  • Vilka har organisationen kontaktat?
  • Kan organisationen tänka sig att dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?
  • Vill organisationen polisanmäla incidenten?

 

Återställa DDoS - Hur undviker vi att det sker igen?

I den här delprocessen behandlas frågor kring vad som krävs för att få tillbaka system till produktionsnivå samt tillvägagångssätt för att undvika incidenter i framtiden.

 

 Följande punkter behandlas:

  

Återställning efter DDoS-attack 

Återställning efter en DDoS-attack handlar i stort sett om förebyggande åtgärder. I vissa fall kan ett system bli obrukbart efter en attack, i sådana fall handlar det om att återställa systemet i originalskick och ta hänsyn till om det går att undvika att systemet kraschar vid en framtida liknande attack. Det är även viktigt att komma ihåg att återställa temporära förändringar som gjorts för att mildra angreppet.

Det handlar mycket om att förebygga och minimera verkan av framtida attacker samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.

 

Vad kan CERT-SE bidra med? 

  • Information

  • Råd och rekommendationer

  • Förebyggande råd

 

Förutsättningar och terminologi

I det här fallet handlar det mycket om förebyggande åtgärder.

 

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är vidtagna eller inte .

  • Vad kan organisationen göra för att minska verkan vid en framtida DDoS-attack?

 

Några viktiga delar som bör beaktas vid återhämtning av system

  • Ta tillvara lärdom av incidenten och använd vid återställning för att förhindra att det sker igen..

  • Se till att det återhämtade systemet granskas av en säkerhetsinstans och testas innan det tas i bruk.

 

Temporära förändringar som bör ses över

  • Förändringar hos den drabbade organisationens ISP
  • Förändrade brandväggsregler
  • Förändringar i routerkonfigurationer
  • Förändringar i switchar

 

Förebygga framtida attacker

  • Läs mer om förebyggande åtgärder här
  • Logghantering, se till att det finns loggar tillgängliga från system som: FW, router, DNS, Webbserver m.fl.
  • Utse en grupp som kommer att vara ansvarig för hanteringen av en framtida attack
  • Kontakta ISP:n för att se om de kan erbjuda skydd mot eller vara behjälpliga vid en attack
  • Konfigurera filter i routrar eller brandväggar att blockera vissa kända typer av trafik som vanligen används i DDoS-attacker
  • Etablera en baslinje över systemlasten för att upptäcka en attack i ett tidigare skede
  • Använda lastbalanserare för publika tjänster
  • Förbereda en webbserver - vilken aktiveras vid en attack - som bör innehålla  ett minimum av bilder och dokument (vilket bör verifieras då och då)
  • Sprida bilder och dokument på flera webbservrar t.ex. på andra nätsegment eller ett externt webbhotell
  • Se över konfigurationer av publika servrar
  • Ställa ner TTL-tiden på DNS:er för att underlätta vid en nödvändig ompekning av en tjänst till ny IP-adress under en attack
  • Minska sessions-"time out" för TCP-sessioner
  • Aktivera SYN-cookies för att skydda sig mot "TCP-SYN"-attacker
  • Använda ett enhetligt loggformat

 

Uppdaterad 2011-01-10 12:08 | Publicerad 2010-09-21 16:24
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]