- Pulsen øker og det er litt hektisk selv for de med erfaring

Erfarne ansatte har vært ett av Schibsteds beste DDoS-forsvarsverk den siste tiden, forteller sikkerhetssjef.

Schibsted-avisene VG og Aftenposten er blant dem som de siste ukene har vært rammet av DDoS-angrep. 📸: Berit Roald / NTB
Schibsted-avisene VG og Aftenposten er blant dem som de siste ukene har vært rammet av DDoS-angrep. 📸: Berit Roald / NTB Vis mer

- De siste ukene har vi kontinuerlig vært utsatt for DDoS-angrep, sier Ståle Pettersen, sjef for produkt- og applikasjonssikkerhet i Schibsted, til kode24.

De to siste ukene har en rekke statlige og ikke-statlige aktører i Norge vært utsatt for DDoS-angrep. Hos mediekonsernet Schibsted har VG, Bergens Tidende, Aftenposten og Stavanger Aftenblad vært blant de rammede.

Ifølge Pettersen har Schibsted opplevd seks DDoS-hendelser den siste tiden.

Har vært seks hendelser

Ifølge Pettersen kommer DDoS-angrepene som regel aldri direkte fra angriperne, men via kompromitterte servere og andre enheter rundt om kring i verden. Det kan variere fra minutt til minutt hvor kraftige de forskjellige angrepene er.

- I noen tilfeller klarer angripere å ta oss ned i noen sekunder, i andre tilfeller kan det være minutter.

- Har dere noen indikasjoner på hvem som står bak?

- Vi sitter på informasjon som indikerer at minimum to forskjellige grupperinger står bak angrepene som har vært den siste tiden, sier Pettersen, som legger til at Schibsted tror at grupperingene har tilknytning til Russland.

Ifølge Pettersen tyder ingenting på at angriperne har forsøkt å gjøre andre ting, for eksempel å bruke DDoS-angrepet som en røyksky for andre former for hacking.

«Når en ser enorme økninger i trafikk fra angripere og en ser at mottiltakene våre automatisk har slått inn og fungert, så er det "god stemning"»

- Pulsen øker

- Hvordan har Schibsted blitt påvirket av dette?

- Det er viktig for Schibsted at vi alltid er tilgjengelig, i de ytterst få tilfellene vi ikke er 100 prosent tilgjengelig i hele verden, gjør vi vårt beste for å lære og forbedre oss for å unngå at det skjer i fremtiden.

Pettersen sier at for uteforstående kan det virke veldig hektisk og kaotisk å bli angrepet fra maskiner spredd rundt i hele verden.

- Vi har erfarne ansatte som har vært med på mange slike angrep tidligere, og med gode prosedyrer, gjør at slike angrep ikke skaper panikk. Men pulsen øker og det er litt hektisk selv for de med erfaring. Når en ser enorme økninger i trafikk fra angripere og en ser at mottiltakene våre automatisk har slått inn og fungert, så er det "god stemning", sier Pettersen.

Ståle Pettersen er sjef for produkt- og applikasjonssikkerhet i Schibsted.📸: Emma-Sofia Olsson
Ståle Pettersen er sjef for produkt- og applikasjonssikkerhet i Schibsted.📸: Emma-Sofia Olsson Vis mer

Bredt spekter av mottiltak

Pettersen viser til at det finnes mange typer DDoS-angrep, slik som SYN flood, ping flood, HTTP flood og Slowloris.,

- Hver kategori krever forskjellige tiltak. Så det er et bredt spekter av mottiltak vi har, sier Pettersen.

Han legger til at noen av tiltakene kan påvirke vanlige brukere.

- For eksempel ønsker vi at brukere på ustabile og dårlige tilkoblinger skal klare å få lastet VG, men Slowloris angrep etterligner akkurat dette, så da må vi prøve å finne en løsning som gjør at angripere blir blokkert og vanlige brukere med dårlig internett får lest VG, sier Pettersen.

«Det viktigste er å kunne håndtere mye trafikk i båndbredde, pakker per sekund og HTTP forespørsler per sekund»

Trener på hendelser

Ifølge Pettersen trener Schibsted på DDoS og andre sikkerhetshendelser.

- Samtidig er vi et så stort selskap at det dessverre er uunngåelig å ikke ha reelle sikkerhetshendelser, ingenting er 100 prosent sikkert. Det positive med dette er at vi bygger erfaring med å ha sikkerhetshendelser.

Han legger til at Schibsted bruker en prosess for hendelser, inkludert sikkerhet, som kalles for Incident Management At Schibsted (IMAS), som alle de ansatte får opplæring i.

- Den er godt innarbeidet og som fungerer veldig godt og derfor er stolte av, sier Pettersen.

Slik håndterer du DDoS

- Har du noen tips til hva utviklere kan gjøre for å forebygge og håndtere slike angrep?

- Det viktigste er å kunne håndtere mye trafikk i båndbredde, pakker per sekund og HTTP forespørsler per sekund. Det å benytte store globale nettverk, slik som AWS, GCP, Azure, CloudFlare, Akamai, Fastly eller tilsvarende, og aktivere WAF og DDoS beskyttelsen de tilbyr tar unna mange angrep, sier Pettersen.

Han legger til at for webutviklere gjelder det å påse at alle forespørsler som krever mye prosessering av serveren er "rate limited".

- Samt at caching er satt opp slik at backend ikke blir overbelastet, sier Pettersen.