Projectmanager Henk Pellers ving een gesprek op omtrent DDoS-perikelen bij banken. Daarin werd aangehaald dat banken eigenlijk zelf als internet service provider (isp) moeten gaan werken door een directe connectie met bijvoorbeeld de AMS-IX te nemen. Zijn vraag gaat daarover.
Wat zijn de voor- of nadelen van een bank als isp? En wat als banken buitenlands verkeer afvangen via proxies, zodat deze als bliksemafleider reageren? Hoe reëel zijn deze oplossingen of zijn dit oplossingen die mooi in theorie zijn?
Gedurende de beurs Overheid & ICT 2013 kunnen lezers van Computable vragen stellen over ict bij de overheid aan de ruim 1100 Computable-experts. Tijdens de beurs is permanent een expert in de Computable-stand aanwezig. Een vraag kun je stellen door het invullen van een formulier. Experts beantwoorden de vragen z.s.m.
Veel banken hebben intern al een soort ISP constructie, en ze hebben ook al verbindingen met meerdere ISPs. Eigen koppelingen op bijvoorbeeld AMS-IX kan nuttig zijn, maar het vereist ook meer werk om aanvallen af te slaan. Het zou onzinnig zijn voor bank om eigen apparatuur in datacenters over de hele wereld te gaan plaatsen alleen om DDOS aanvallen tegen te gaan. Het is waarschijnlijk een beter idee om met de bestaande ISPs en DDOS ‘bliksemafleiders’ samen te werken dan om zelf alles te gaan doen. Er zijn professionele bedrijven die DDOS aanvallen beter aan kunnen vanwege hun grote internationale netwerken.
Schoenmaker blijf bij je leest etc.
Het probleem is de ddos aanval, hinder, de oplossing en dat is geen banken issue, maar een overheidsissue en weliswaar nu nog niet wettelijk mogelijk, maar gewoon wel effectief: uitschakelen van de pc in het botnet.
Het zijn technisch gezien tenslotte PC’s die gekaapt zijn, dus de ‘counter attack” is ook goed mogelijk. Daarmee is een botnet snel geminimaliseerd qua “verkeersoverlast”
Ik zou banken zeker niet adviseren om ISP te worden. Het risico van aanvallen zal altijd blijven en als banken zelf ISP gaan worden, nemen ze naast hun transactionele en taditionele rol ook een compleet nieuwe taak op zich, waar banken momenteel niet voor staan opgelijnd. Het opvangen van security breaches zal bij de ISP-ASP liggen, en daar hoort het mijns insziens ook thuis. Banken zullen zich meer bewust moeten worden van mogelijke aanvallen en daar “security requirements” overheen moeten leggen, waar de provider dan aan zal moeten voldoen.
Het lijkt me niet nuttig dat banken isp gaan worden: dat is een heel andere business die heel andere specialisaties en infrastructuur vereist. Het is vergelijkbaar met het voorstel om als bank je eigen wegennet te gaan exploiteren, omdat bankovervallers via de weg aan komen rijden.
Banken moeten zichzelf beschermen tegen aanvallen, maar daarvoor hoeven ze zelf geen isp te worden.
Ben het volledig eens met Maarten Oberman. De oplossing zit niet in het Verdedigen tegen DDOS, maar het isoleren van de ‘veroorzaker’. Daarnaast dient Internet te worden ontdaan van allerlei ‘Camouflage’, zoals anonieme proxy’s. Hierdoor worden de ‘boefjes’ ineens zichtbaar. Voor de Commercie is het een geweldige tijd. Er kunnen nu ‘Pallets’ met apparatuur worden binnen gereden. Over enige tijd zijn echter ook die te krap… Ook niet schromen ISP’s of Datacenters los te koppelen. Tenslotte dient iedere PC-gebruiker verplicht een Virusscanner te gebruiken…
Er is al veel over gezegd en geschreven, tussen alle onzin, vaak van fabrikanten die hun “oplossing” willen verkopen, gelukkig ook door deskundigen die wel een goed verhaal hebben.
De oplossing moet niet direct gezocht worden in maatregelen bij het “slachtoffer”, in dit geval de bank, maar verderop, in de transportnetwerken en uiteindelijk de besmette pc’s, de botnet herders, de tussenhandel en de (groot)gebruiker die “Botnettijd” koopt. Naar mijn mening moeten we die laatste in Nederland zoeken, wie anders zou op deze schaal Nederlandse banken dwars willen zitten? Een van de beste partijen op de markt van D-Dos beveiliging is m.i. “xxxxx”, zie hun website. Zij werken met “agents” wereldwijd en kunnen vroegtijdig en zover mogelijk in het netwerk signaleren en ingrijpen. Vandaag zijn het de banken, die kunnen tonnen investeren in een oplossing, morgen is het een andere doelgroep die zichzelf nog niet heeft beveiligd.
Grtz and Happy Hunting to THTC en NCSC
@
@Ad,
ik ben het geheel met je eens, alleen de wetgeving loopt hier nog hopeloos achter om botnets op afstand uit te schakelen. Technisch niet echt een probleem, als je een pc op die manier “op afstand” kan ombouwen kan het ook , maar dan “net anders”.
De politiek zal denk ik pas in actie komen als er harde schade geleden is…. of denk je dar anders over???
@Maarten,
Politiek, zowel landelijk als Europa, moeten samenwerken met de grote ISP’s. Het is niet zo dat er geen aandacht voor is, er worden wel degelijk vragen gesteld in de kamer. Jammer genoeg is het ook hier: “Als het kalf verdronken is…….
Ik pleit voor o.a. een “Internetdouane”
@
Ik krijg een rilling bij het idee alleen al dat een bank naast bancair mismanagement ook nog eens ISP zouden gaan moeten spelen …. voor zichzelf? Even los van alle bancaire perikelen. Ik denk dat de ISP’s in de eerste plaats allang hadden kunnen nadenken over zaken zoals Ddos attacks en zich daartegen kunnen wapenen.
Je bent het toch een beetje aan je stand verplicht mee te denken met je klanten en als het even kan, als adviseur op te kunnen treden. Dat doet verder niet aan de mening af of je zou vinden dat banken maar hun eigen ISP zouden moeten gaan spelen.
Dat preventieve maatregelen tegen dat soort excessen een overheidstaak zou moeten zijn …. deed mij net me haast verdrinken in een slok thee. Als de overheden nog niet eens in staat blijken zelf fatsoenlijk beleid op te tuigen en uit te rollen, en al helemaal de kennis die wij nu hebben van automatiseringsvraagstukken, dan weet je dat je daar niets van kan en mag verwachten.
Banken kunnen in elk geval voortvarend eigen beleid en implementatie uit stippelen, en daarmee zorgen dat het betalingsverkeer gegarandeerd blijft. Ik heb wat dat begrepen dat die stappen inmiddels ook aardig zijn gezet.
Uiteindelijk is vrij internet verkeer een gemeenschappelijke zaak. Die bij de politiek neerleggen zou een vergissing zijn van de hoogste orde. Dus zou men eigen initiatieven als ISP’s onder elkaar kunnen ontplooien om zich te wapenen tegen zaken zoals een Ddos attack.
@NumoQuest,
Zeker is er een taak voor de ISP’er, maar ingrijpen in een PC van een ander gaat verder dan het aansluitpunt/afleverpunt van de ISP’er. Vandaar dat ik daar een ander gremium voor zie dan de ISP’er. En inderdaad ik verwacht ook niet veel van ze, maar dat wil niet zeggen dat we het er dan maar niet meer over moeten hebben, dan zou even door geredeneerd dit hele forum opgedoekt kunen worden
PS.: doe voorzichtig met de slokjes thee, ik zou je interessante en uitgebreide commentaren missen 🙂