Återställa DDoS - Hur undviker vi att det sker igen?

I den här delprocessen behandlas frågor kring vad som krävs för att få tillbaka system till produktionsnivå samt tillvägagångssätt för att undvika incidenter i framtiden.

Följande punkter behandlas:

• Temporära förändringar som bör ses över
• Förebygga framtida attacker

Återställning efter DDoS-attack

Återställning efter en DDoS-attack handlar i stort sett om förebyggande åtgärder. I vissa fall kan ett system bli obrukbart efter en attack, i sådana fall handlar det om att återställa systemet i originalskick och ta hänsyn till om det går att undvika att systemet kraschar vid en framtida liknande attack. Det är även viktigt att komma ihåg att återställa temporära förändringar som gjorts för att mildra angreppet.

Det handlar mycket om att förebygga och minimera verkan av framtida attacker samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.

Vad kan CERT-SE bidra med?

• Information
• Råd och rekommendationer
• Förebyggande råd

Förutsättningar och terminologi

I det här fallet handlar det mycket om förebyggande åtgärder.

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är vidtagna eller inte.

Vad kan organisationen göra för att minska verkan vid en framtida DDoS-attack?

Några viktiga delar som bör beaktas vid återhämtning av system

• Ta tillvara lärdom av incidenten och använd vid återställning för att förhindra att det sker igen.

• Se till att det återhämtade systemet granskas av en säkerhetsinstans och testas innan det tas i bruk.

Temporära förändringar som bör ses över (så att de inte drabbar normal tjänstenivå)

• Förändringar hos den drabbade organisationens ISP
• Förändringar i brandväggsregler
• Förändringar i routerkonfigurationer
• Förändringar i switchar
• Förändringar i andra påverkade system