Uitvallende systemen, boze klanten en grote financiële en imagoschade. De Distributed Denial of Service- of DDoS-aanval is de nachtmerrie van iedere it-afdeling. Helaas lezen we geregeld in de media over organisaties die erdoor zijn getroffen. Hoe voorkom je dat jouw organisatie slachtoffer wordt van een DDoS-aanval?
De DDoS-aanval is momenteel een van de grootste cyberdreigingen. De gevallen waarover we dagelijks in de media lezen, zijn slechts het topje van de cyberberg. Dat roept de vraag op hoe deze aanvallen voorkomen kunnen worden. En, als ze toch plaatsvinden, hoe de schade ervan beperkt kan worden. Die vragen heb ik voorgelegd aan een aantal vakgenoten: beveiligingsspecialisten die in de praktijk met deze aanvallen omgaan. Deze blogpost bundelt hun adviezen.
Afwimpelen
Tijdens een DDoS-aanval word je (bijvoorbeeld je webomgeving) bestookt met een enorm aantal verzoeken. Wanneer de omgeving ze niet meer allemaal kan verwerken, raakt deze buiten werking. Een voor de hand liggende aanpak zou dan ook zijn om deze verzoeken ‘af te wimpelen’ en niet te beantwoorden. Helaas is dat makkelijker gezegd dan gedaan. DDoS-aanvallen gebruiken vaak botnets, waarbij ogenschijnlijk ‘gewone’ afzenders worden ingezet. Daardoor is een verzoek dat onderdeel is van de aanval moeilijk te onderscheiden van een legitiem verzoek.
Toch zijn er wel degelijk maatregelen te treffen. Hoewel dat vaak wordt gedacht, draait het daarbij bovendien niet alleen om technische oplossingen. Beveiligingsspecialisten maken binnen de beveiligingskubus onderscheid tussen technische, mensgerichte en organisatorische maatregelen.
Techniek
De technische afweer tegen DDoS-aanvallen bestaat doorgaans uit de inzet van meerdere deelcomponenten in een gelaagde aanpak. Deze componenten worden deels on-premise geïmplementeerd en deels bij de internet service provider (isp).
Denk bij on-premise componenten aan een (application layer) firewall, een ips (intrusion prevention system) en anti-DDoS-apparatuur. Daarnaast is het belangrijk om de systemen te hardenen, de architectuur DDoS-proof te maken en in voldoende bandbreedte te voorzien.
Ook de isp kan in de nodige componenten voorzien. Daarnaast kunt u een zogenaamd ‘scrubbing center’ inzetten. Dat is een soort wasstraat waar binnenkomend verkeer doorheen wordt geleid om vervolgens gefilterd doorgestuurd te worden.
Verder is het in de basis verstandig om een zogenaamde ‘nullijn’ vast te stellen, zodat er een beeld is van het normale netwerkverkeer. Afwijkingen van dit normaalbeeld kunnen dan eenvoudiger en sneller worden geconstateerd.
Mens
Ook medewerkers spelen een belangrijke rol in de omgang met DDoS-aanvallen. Het is belangrijk om voldoende actuele kennis in huis te hebben. Het herkennen en onderkennen van een aanval, maar ook het adequaat handelen in geval van een aanval, vraagt specifieke kennis en inzichten. Minstens zo belangrijk is het bewustzijn ten aanzien van de impact van een DDoS-aanval voor de organisatie.
Verder is het raadzaam om als organisatie niet in het bijzonder interessant te zijn voor cybercriminelen en hacktivisten. Zo is het bijvoorbeeld niet handig om op social media te pochen over de beveiliging van de organisatie.
Organisatie
Het belang van een helder informatiebeveiligingsbeleid spreekt voor zich, net als een proces waarin de risico’s inzichtelijk worden gemaakt. Classificatie van de gegevensstromen is daarin essentieel. Uit deze classificatie blijkt namelijk ook hoe belangrijk de beschikbaarheid van de afzonderlijke gegevensstromen is. Met deze kennis kunnen ook it-resources rondom beveiliging beter worden verdeeld. Ook is het belangrijk om vooraf goede afspraken te maken met de isp over bijvoorbeeld de monitoring van het dataverkeer en mogelijkheden van rerouting.
Daarnaast zijn gedegen procedures en plannen rondom incidentmanagement en continuïteitsmanagement belangrijk. Communicatie tussen de diverse betrokkenen is daarbij erg belangrijk. Deze procedures en plannen zorgen er bij een DDoS-aanval voor dat er snel en adequaat wordt gehandeld.
De bovenstaande opsomming is een selectie van een veel groter scala aan mogelijkheden. Neem voor meer inspiratie dit uitgebreide overzicht van maatregelen eens door.