Om maar gelijk met de deur in huis te vallen: er is vrij weinig dat organisaties kunnen uitrichten tegen DDoS-aanvallen. Maar dat wil niet zeggen dat je lijdzaam moet toekijken hoe de servers van je website worden platgegooid, zegt Pieter Lacroix, managing director bij beveiligingsbedrijf Sophos.
Een ‘distributed denial of service’-aanval, zoals een DDoS-aanval voluit heet, is een aanval die wordt uitgevoerd door zogenaamde botnets. ‘Een botnet is eigenlijk een groot netwerk van geïnfecteerde computers die door kwaadwillenden op afstand kunnen worden bestuurd. Zo kan de computer bij jou thuis ook zonder jouw medeweten onderdeel zijn van een botnet’, legt Lacroix uit. De mensen die een DDoS-aanval willen uitvoeren op de servers van een bepaald bedrijf, sturen alle pc’s in zo’n botnet, dat kan bestaan uit miljoenen computers wereldwijd, naar de website van dat bedrijf. De servers waarop die website draait, kunnen die enorme vraag niet aan en gaat plat. ‘Dat is in het kort een DDoS-aanval.’
Risicoanalyse
‘Eigenlijk kun je je als organisatie nauwelijks wapenen tegen zulke aanvallen’, stelt Lacroix. ‘Natuurlijk zijn er technologische maatregelen zoals intrusion prevention, web application firewalls en intrusion protection anti flooding, maar net als met gewone inbrekers geldt: als ze naar binnen willen, komen ze er echt wel in. De technologische maatregelen zijn solide sloten, maar daar heb je bar weinig aan als er iemand met een bulldozer door je pui rijdt.’
Lacroix adviseert bedrijven om een goede risicoanalyse te maken en aan de hand daarvan te bepalen welke investeringen in solide sloten noodzakelijk zijn. ‘Als een website slechts een digitale folder van het bedrijf is, kun je je afvragen hoe ernstig het is als die even onbereikbaar is. Maar is de site bedrijfskritisch, omdat je er bijvoorbeeld via een webshop je omzet mee haalt, dan zijn investeringen in maatregelen al meer gerechtvaardigd. Voor echt grote bedrijven met dito budgetten, die miljoenen omzet maken via hun website, is het logisch dat zij alles uit de kast halen om de uptime van de website te garanderen.’
Imagoschade
Als de website bedrijfskritisch is, dan is de meest eenvoudige manier om te zorgen voor uptime, het outsourcen naar een hostingpartij. Daarbij kan er ook worden gekozen om de site over meerdere datacenters te verspreiden, zodat er in geval van een aanval kan worden uitgeweken. ‘Maar dat zijn vooral maatregelen om ervoor te zorgen dat je zo weinig mogelijk schade ondervindt van een aanval. Het zijn geen oplossingen om een aanval tegen te gaan, omdat die er feitelijk niet echt zijn.’ Zorg ervoor dat je een duidelijk stappenplan hebt, zodat je weet wat er moet gebeuren op het moment dat de bedrijfswebsite ten prooi valt aan een DDoS-aanval, adviseert Lacroix.
Ziggo was onlangs herhaaldelijk slachtoffer van een DDoS-aanval. Lacroix heeft bewondering voor de wijze waarop die organisatie met de aanval is omgegaan en ziet daarin een voorbeeld voor andere bedrijven. ‘Wat ze heel goed hebben gedaan is dat ze tijdens de aanval niet standaard hebben geroepen ‘We doen er alles aan om het te voorkomen en zorgen dat het niet meer gebeurt’. Want bij een DDoS-aanval kun je die garantie gewoon niet geven. En als je vervolgens nogmaals plat gaat, is de imagoschade alleen maar groter. Je moet als bedrijf geen beloftes doen die je niet kunt nakomen. Daarnaast heeft Ziggo direct een pagina aangemaakt waarop het uitlegt wat een DDoS-aanval is en dat een bedrijf daar vrij weinig invloed op heeft. De gemiddelde klant heeft geen idee wat DDoS is, dus als je het goed kunt uitleggen, kan dat enorm schelen in imagoschade.’
Modern protest
Het aantal DDoS-aanvallen stijgt gestaag. Dat is te wijten aan het stijgende belang van internet. ‘Pas de afgelopen jaren is internet voor veel bedrijven bedrijfskritisch geworden. De risico’s zijn groter, maar het gewin dus ook.’ Hij ziet dat DDoS-aanvallen niet alleen uit financiëel gewin worden uitgevoerd, maar dat er ook steeds meer sociaal-maatschappelijke aanvallen zijn. ‘Dat vind ik een interessante ontwikkeling. Een groep als Anonymous laat op zo’n manier heel duidelijk merken aan organisaties wat zij vinden dat correct is en wat niet. Het is een moderne manier van actievoeren.’
In principe hoeft een organisatie een DDoS-aanval niet te melden onder de nieuwe Meldplicht Datalekken. Feitelijk zijn het twee zaken die los staan van elkaar. Toch sluimert daar een gevaar, denkt Lacroix. ‘Hoe weet een organisatie nou zeker dat het alleen een DDoS-aanval was en dat er niet ook iemand binnen is geweest? Bij een DDoS-aanval gaat alle aandacht daar naar uit. Als hackers kwaad willen, zouden ze dat met zo’n aanval kunnen maskeren. Het is een theoretische mogelijkheid, maar dat betekent dat in de toekomst ook DDoS-aanvallen gemeld moeten kunnen worden.’
Google eens op “DDoS wasstraat” en je krijgt voldoende ideeën hoe je een DDoS-aanval succesvol kan afslaan.