De afgelopen weken hebben duidelijk laten zien wat voor gevolgen grootschalige DDoS (Distributed Denial of Service)-aanvallen kunnen hebben: omzetverlies, imagoschade en een hoop onzekerheid. De toenemende inzet van DDoS door cybercriminelen is dan ook een ontwikkeling die door veel it-beveiligingsspecialisten als zeer zorgwekkend wordt gezien, zo blijkt uit onderzoek van IDG Research.Toch bestaan er methoden om de gevolgen te beperken.
Gedistribueerde aanvallen kunnen het best door een gedistribueerde verdediging worden gepareerd. Bij een DDoS-aanval wordt een netwerk of website overspoeld met enorme aantallen verzoeken, totdat de achterliggende systemen overbelast raken en diensten uitvallen. De kracht of effectiviteit van een DDoS-aanval wordt doorgaans uitgedrukt in gigabit per seconde. Hoe meer vijandig verkeer er naar een netwerk of node wordt gestuurd, des te sneller zal dat netwerk dichtslibben en dus onbruikbaar worden. Aan de andere kant geldt: hoe hoger de capaciteit (in Gbps) van het aangevallen netwerk, des te sneller de aanval afgeweerd kan worden.
Netwerkarchitecten menen dat een organisatie zich min of meer beschermd mag noemen wanneer het netwerk over een capaciteit van ongeveer 300 Gbps beschikt. Maar dit kost een vermogen! Komt bij dat dit geld alleen maar wordt uitgegeven om een eventueel probleem voor te zijn en daar zijn cfo’s over het algemeen niet blij mee. Moet de bescherming echter op een koopje gebeuren en wordt er minder capaciteit ingeslagen, dan gaat het netwerk in het geval van aan DDoS-aanval alsnog onderuit, waarop de cfo dan fijntjes zal opmerken dat dat geld dus voor niets is uitgegeven. Dilemma!
Negatieve impact
De deelnemers aan het IDG Research-onderzoek (december 2012), afkomstig uit diverse sectoren, begrijpen maar al te goed welke negatieve impact een DDoS-aanval kan hebben op een bedrijf. Maar liefst 34 procent van de respondenten gaf aan in de voorgaande twaalf maanden zelf het doelwit geweest te zijn van een DDoS-aanval. De gevolgen van een dergelijke aanval lopen uiteen van het niet langer zaken kunnen doen, tot aanzienlijke schade aan het merk. Maar ook intern kunnen nadelige gevolgen voelbaar zijn.
Een DDoS-aanval probeert het netwerk te overbelasten en neemt heel veel bandbreedte in beslag. Daardoor kunnen werknemers niet langer gebruikmaken van bijvoorbeeld SaaS-applicaties of vpn-verbindingen. E-mail wordt niet meer opgehaald of verzonden, et cetera. Een DDoS-aanval is dus meer dan een probleem met de website of diensten: het is een ernstig infrastructuurprobleem voor de hele business.
Grote bezorgdheid, weinig vertrouwen
Uit het onderzoek blijkt een sterke bezorgdheid over de impact van DDoS-aanvallen, waaronder een slechte klantervaring (74 procent), negatieve gevolgen voor het merk (73 procent) en het het onvermogen om zaken te doen (72 procent). Opvallend genoeg blijkt dat deze hoge mate van bezorgdheid niet noodzakelijkerwijs resulteert in een hoge mate van paraatheid. Met andere woorden: beveiligingsexperts zijn zeer bezorgd over de mogelijk gevolgen van een aanval en hebben weinig vertrouwen in het vermogen van de organisatie om een dergelijke aanval af te slaan.
Hoe komt dat? Wat weerhoudt organisaties ervan om zich beter voor te bereiden op een eventuele DDoS-aanval? Dit kan komen doordat er meerdere ‘points of failure’ zijn, van de firewall tot appliances in het datacenter. Daarnaast zijn er verschillende opties voor bescherming. Die lopen uiteen van in-house beveiligingsoplossingen tot outsourcingsopties via isp’s of andere serviceproviders. 45 procent van de respondenten die een vorm van DDoS-bescherming hebben geïmplementeerd (45 procent), heeft gekozen voor in-house bescherming tegen DDoS met firewalls, routers of switches. 27 procent maakt gebruik van DDoS-bescherming in de cloud, via een isp of andere derde partij.
Sommige leveranciers bieden datacenter-appliances aan die de gevolgen van DDoS-aanvallen verzachten. Deze oplossingen zouden aanvallen tot een op het oog indrukwekkende 40 gigabit per seconde kunnen verwerken. Een nadeel is dat de capaciteit die nodig is om ervoor te zorgen dat een netwerk blijft functioneren, tienduizenden euro’s per maand of meer kan kosten. Tel daar nog de kosten bij op van disaster recovery en je komt al snel aan het dubbele bedrag.
Always-on
Respondenten gaven aan dat ze steeds meer nadenken over een continue, ‘always-on’-oplossing voor het monitoren, identificeren en bestrijden van DDoS-aanvallen. Bijna 20 procent maakt al gebruik van dergelijke oplossingen, terwijl 62 procent dat overweegt. Een ‘always on’ DDoS-oplossing is gebaseerd op de cloud en profiteert daardoor van voordelen als schaalbaarheid en een gedistribueerde omgeving.
Het werken met een cloudprovider om specifieke diensten te beschermen – in tegenstelling tot het samenwerken met een isp voor generieke services – wordt steeds aantrekkelijker, omdat het voor bedrijven moeilijk is om beveiligingsprofessionals te vinden of om de specialisten die ze hebben, voortdurend in te zetten om aanvallen tegen te gaan. Beveiliging vraagt 24×7 dedicated aandacht en de aanvallen die we de afgelopen weken hebben gezien tonen de noodzaak van schaalbaarheid aan. Het is met in-house-oplossingen vaak niet mogelijk om de infrastructuur voldoende op te schalen om DDoS-aanvallen te pareren.
Daarbij is het goed om nog op te merken dat de ene vorm van DDoS-bescherming de inzet van andere oplossingen niet uitsluit. Voor financiële instellingen of andere sterk beveiligde internet-netwerken kan de inzet van een appliance in combinatie met een bredere, cloudgebaseerde oplossing voor de netwerkinfrastructuur daarom de beste aanpak zijn.
DDoS: de aandacht en impact neemt inderdaad toe. Zeker voor bedrijven die erg afhankelijk zijn van online is het de moeite waard in DDoS bescherming te duiken. En dan komen de cloud anti-DDoS oplossingen al snel in beeld.
DDoS bescherming is in essentie een filter voor verkeer richting de online omgeving, en zoals elk filter heeft deze false-positives en false-negatives. Dus ook enige impact op normaal valide verkeer. Een always-on oplossing filtert (zo goed en zo kwaad als de capaciteit het toelaat) DDoS verkeer weg, maar zonder aanval zou er ook wel eens wat valide verkeer kunnen verdwijnen. Ook is de koppeling tussen anti-DDoS oplossing en het online platform een extra schakel: deze moet wel stabiel zijn en de beschikbaarheid niet negatief beinvloeden. Goed testen dus.
Daarnaast zijn er de kosten. Een goede oplossing is duur, een goedkope oplossing biedt niet altijd de juiste bescherming. En een echte DDoS aanval is bijna niet af te weren. Maak dus een risicoanalyse en overweeg of de kosten voor anit-DDoS proportioneel zijn met de daadwerkelijke dreiging en eventuele uitval. En zorg voor juiste communicatie richting online klanten bij DDoS uitval. Heb noodscenario’s, heb out-of-band communicatie standby en wees altijd helder en duidelijk in de communicatie (laat desnoods weten dat je nog niets weet).
Kortom: DDoS is actueel en zeker de moeite waard om naar te kijken als men afhankelijk is van online (zoals retails, travel of financials). Maar test goed en overweeg of always-on oplossing altijd de juiste oplossing biedt. En zorg voor plannen en communicatie voor geval het onverhoopt toch fout gaat.