De ontwikkelingen van een aantal maanden geleden hebben Nederland wakker geschud; een grootscheepse campagne van DDoS-aanvallen is ook hier mogelijk. Organisaties moeten niet alleen een plan hebben om grote hoeveelheden data te kunnen verwerken die tijdens DDoS-aanvallen op hen afkomen, ze zullen ook moeten investeren in verdediging-tools die on premise technologie combineren met cloud-gebaseerde scrubbing-diensten.
Veel organisaties in het binnen- en buitenland (in het bijzonder financiële instellingen) hebben de afgelopen tijd te maken gehad met grootscheepse distributed denial of service-aanvallen (DDoS). Een groot deel van deze aanvallen was het werk van een groep die door het leven gaat als de ‘Qassam Cyber Fighters’, die wekelijks berichten over hun DDoS-aanvallen onder de naam ‘Operation Ababil’. Andere hacktivisten hebben weer andere DDoS-aanvallen gedaan en voerden gerichte aanvallen uit door misbruik te maken van webformulieren en het versturen van besmette content. Er komt steeds meer informatie boven tafel over cyberaanvallen op banken en overheidsinstanties die waarschijnlijk zelfs door overheden gesteund en geïnitieerd zijn. Cyberaanvallen lijken steeds vaker onderdeel te zijn van een cyberoorlog.
De hacking-activiteiten van het afgelopen (pak ‘m beet) anderhalf jaar geven duidelijk aan dat er een flinke stijgende lijn zit in zowel het aantal als de intensiteit van de aanvallen. Er worden steeds meer verschillende soorten DDoS-aanvallen in het veld gesignaleerd die variëren van de traditionele syn en udp floods, tot en met dns amplification en methodes die direct gericht zijn op de applicatielaag. DDoS-aanvallen op ssl-versleutelde webpagina’s van e-commerce- en e-banking-omgevingen zijn ook steeds vaker te zien. In veel gevallen maken aanvallers gebruik van zogenaamde ‘blended attacks’ die veel moeilijker te stoppen zijn en gericht zijn op de applicatielaag in combinatie met ‘goedkope’ aanvallen met veel volume dat eenvoudiger te filteren en te blokkeren is.
Defensieve oplossingen
Om met al deze kwaadaardige zaken om te kunnen gaan, zullen cio’s en ciso’s en hun teams een plan moeten ontwikkelen en gebruik moeten maken van een aantal defensieve oplossingen die idealiter bestaan uit een mix van on premise-technologie en cloud gebaseerde scrubbing-diensten. Ze moeten tevens op zoek gaan naar methodes om eventuele informatie te verzamelen en te delen met anderen om zo te zorgen voor een uitgebreide DDoS-strategie. Denk hierbij in elk geval aan een aantal zaken.
1. Neem een scrubbing-service of vergelijkbare ‘cleaning dienst’ voor het afhandelen van aanvallen met grote hoeveelheden data. Op dit moment is een DDoS-aanval waarbij 80 Gbps wordt gegenereerd eerder regel dan uitzondering. Er zijn zelfs aanvallen bekend waarbij de meter omhoog liep tot boven de 300 Gbps. Weinig organisatie hebben een infrastructuur die dergelijke hoeveelheden aan data zelf kan verwerken. Het eerste dat je moet doen wanneer je zo’n verkeersvolume op je ‘afgevuurd’ krijgt, is overwegen om dat internetverkeer via een dedicated scrubbing-dienst te leiden. Dergelijke diensten filteren kwaadaardig verkeer van het goede verkeer. Zij hebben de juiste tools en bandbreedte om met grote DDoS-aanvallen om te kunnen gaan. Het scheiden van de DDoS-pakketten en bau-verkeer (business as usual) gebeurt zo in de cloud en niet meer op je eigen netwerk. Deze diensten zijn vooral goed in het stoppen van volume gebaseerde aanvallen zodat de internetverbinding van een getroffen organisatie beschikbaar blijft.
2. Zorg voor een DDoS mitigation appliance voor het identificeren, isoleren en opschonen van aanvallen. De complexiteit van DDoS-aanvallen en de manier waarop volume gebaseerde aanvallen gecombineerd worden met aanvallen op applicaties vragen om een uitgekiende aanpak. De meest effectieve manier om met genoemde aanvallen om te gaan is het inzetten van on premise dedicated appliances. Firewalls en Intrusion Prevention Systemen zijn vandaag de dag standaard benodigdheden in een netwerkomgeving. Een DDoS security-machine zorgt voor een goede extra beveiligingslaag dankzij speciale technologie die zeer geavanceerde DDoS-activiteit real time blokkeert. Systeembeheerders kunnen hun on premise-oplossingen natuurlijk zo instellen dat ze communiceren met cloud gebaseerde scrubbing-diensten en deze diensten automatisch activeren.
3. Organisaties moeten hun firewall tunen voor grote hoeveelheden connecties.
De firewall speelt een cruciale rol tijdens DDoS-aanvallen. Systeembeheerders moeten daarom de instellingen van de firewall zo aanpassen dat de firewall kan omgaan met grote hoeveelheden data en aanvallen op de applicatielaag. Daarbij kan ook extra beveiliging geactiveerd worden (afhankelijk van het type firewall) voor het blokkeren van DDoS-pakketten en het opvoeren van de firewall-prestaties wanneer deze onder vuur ligt.
Samenwerken
Bovengenoemde methodes zijn cruciaal in elke DDoS-strategie. Organisaties zouden daarnaast in gesprek moeten gaan met (internet) service providers en met hen moeten samenwerken aan nieuwe technieken. Isp’s moeten betrokken worden bij het tegengaan van het groeiende aantal DDoS-aanvallen. Deze aanvallers maken immers gebruik van dezelfde internet infrastructuur als deze bedrijven zelf en de isp’s transporteren beide soorten internetverkeer.
Samenwerking is ook gewenst tussen organisaties die in hetzelfde marktsegment actief zijn. Bijvoorbeeld door het delen van informatie over geavanceerde distributiestrategieën die binnen het netwerk zijn gevonden. Wanneer er meer informatie beschikbaar is over de daders, de motivatie achter de aanvallen en over de gebruikte methodes, kunnen systeembeheerders de aanvallen beter in kaart brengen en zich daartegen beveiligen. Informatie over de aanvallen kan variëren van protocollen die worden gebruikt (zoals syn, dns of http), de bron waarvandaan de pakketjes verstuurd worden, de command and control-netwerken en informatie over tijdstippen waarop de aanvallen begonnen en eindigden. Maar ondanks dat deze gegevens erg waardevol zijn in het bestrijden van aanvallen, is het niet eenvoudig om hierover te communiceren en geldende regelgeving maakt dat er momenteel niet makkelijker op.
Op dit moment bestaat het delen van dergelijke informatie voornamelijk uit bevriende mensen en organisaties die met elkaar praten. Maar dit delen van informatie moet toe naar een automatisch systeem waarop organisaties kunnen inloggen en waarin ze (ruwe) data vinden die hen kan helpen bij het vinden van aanknopingspunten over lopende en mogelijk toekomstige aanvallen. Een dergelijk systeem kan ook gebruikt worden om intelligentie te delen over aanvallen en om bescherming daartegen te distribueren.
Het delen van informatie in en met de gehele industrie zal bedrijven helpen om op een goede manier om te kunnen gaan met DDoS-aanvallen. Wanneer er op dat niveau wordt samengewerkt zal iedereen daar van profiteren.
Niels,
Laten we beginnen met het feit dat DDoS aanvallen al een tijdje tot de orde van de dag hoorden in ‘high proflle’ landen, het was dus meer een kwestie van tijd dat we er hier ook mee te maken zouden krijgen. En om even door te gaan op het ‘high profile’ z het zijn vooral de organisaties die zich in de picture hebben gespeeld die hier last van ondervinden. Ik breng dit even naar voren omdat als gevolg hiervan ook steeds vaker de netneutraliteit ter discussie wordt gebracht.
Ik keur dit ‘digitaal belletje lellen’ niet goed maar het is ook deels een sociaal probleem wat niet enkel op te lossen is met technische maatregelen. Want vergeet niet dat de grootste DDoS aanval juist opgezet was uit onvrede met de maatregel van ‘blacklisting’ En zolang de meeste aanvallen nog via botnets gaan maar we beperkt blijven om de C&C servers te neutraliseren vraag ik me af wat de ‘collateral damage’ is.
Ik word al 1 week aangevallen door heel de wereld. maar ze komen niet in de router zelf. De UDP floods en de scan helpen niks voor hun.
Wat kan ik doen op ze te laten stoppen?