Hoewel recentelijk thema’s als ransomware meer op de voorgrond treden, is de al langer bekende DDoS-aanval nog steeds een substantiële dreiging voor veel bedrijven. Een populair type aanval ook, zoals bleek uit het ‘State of the Internet – security Q1 2016'-rapport van Akamai. Ten opzichte van het eerste kwartaal in 2015 was er een toename van 125 procent in het aantal DDoS-aanvallen. Hoe tackelen we deze vorm van cybercriminaliteit nu het beste?
Cybercriminelen hebben diverse beweegredenen voor hun acties. In de meeste gevallen speelt geld een belangrijke rol en gaan aanvallen gepaard met afpersing. Veel bedrijven worden met een DDoS-aanval bedreigd die ze alleen kunnen afwenden door losgeld te betalen.
Ook het aantal politiek gemotiveerde aanvallen neemt toe. In dat geval leggen hackers applicaties of websites plat als blijk van hun macht of om misstanden onder de aandacht te brengen. Dat betekent dat ieder bedrijf het doelwit kan vormen van een DDoS-aanval, al is een kleine nuance hierbij noodzakelijk. Uit hetzelfde ‘State of the Internet – security’, onderzoek van Akamai blijkt namelijk dat de sectoren retail, reizen en financiële dienstverlening het meeste risico lopen.
Vaak worden organisaties bedreigd of aangevallen tijdens perioden die van cruciaal belang zijn voor hun bedrijfsresultaat. Voor e-commercebedrijven is dat de decembermaand, waarin veel cadeaus worden aangeschaft. Bij reisbureaus is het de periode waarin klanten hun zomer- of wintervakantie boeken. Voor financiële dienstverleners is het de opening van de markt op een dag waarop er een groot aantal beursgenoteerde bedrijven hun kwartaalcijfers bekendmaken.
Aanvallen in de kiem smoren
Internetservers vormen het belangrijkste doelwit van aanvallen. In 20 procent van alle gevallen lukt het cybercriminelen om webservers te bereiken en plat te leggen. Er is echter een veel grotere kans op overbelasting van de firewalls die deze internetservers afschermen, of van de verbinding met de provider. Dat is funest, omdat alle beveiligingscomponenten die bedoeld zijn om DDoS-aanvallen tegen te houden, dan geen effect meer hebben. Het dataverkeer zal dan via een scrubbing center moeten worden omgeleid om te worden gereinigd van kwaadaardig verkeer om zo de aanval af te kunnen slaan.
Firewalls en Intrusion Prevention Systems (IPS) vormen belangrijke onderdelen van de beveiligingsstrategie van ondernemingen, maar zijn niet ontwikkeld om DDoS-aanvallen af te slaan. IPS-systemen blokkeren alleen aanvallen die worden uitgevoerd om gegevens te stelen. Firewalls verhinderen de onbevoegde toegang tot data en beschermen de integriteit van het netwerk en data. Wat ze echter niet doen, is de beschikbaarheid van bedrijfssystemen waarborgen.
Een aantal firewalls biedt wel bescherming tegen DDoS-aanvallen, maar deze functionaliteit biedt alleen bescherming voor het interne bedrijfsnetwerk en niet voor de internetverbinding, die reeds door de DDoS-aanval kan zijn overbelast. De meest effectieve manier om bedrijfsnetwerken tegen deze aanvallen te beschermen, is om ze zo dicht mogelijk bij de bron af te slaan, voordat ze de internetverbinding kunnen overbelasten en daarmee alle verbindingen met de buitenwereld platleggen. Dat is alleen mogelijk met de hulp van een provider die de juiste beveiligingsmaatregelen heeft getroffen.
Beveiliging via de provider
Een juiste voorbereiding op DDoS-aanvallen kan een belangrijk criterium vormen bij de keuze van een provider. Bedrijven kunnen daarbij op diverse aspecten letten. Een provider zou op elk niveau beveiligingsmechanismen tegen DDoS-aanvallen moeten hebben toegepast om te zorgen voor voortdurende bewaking en optimale Round Trip Times (RTT) voor het geval er toch dataverkeer moet worden omgeleid.
Speciale collectoren op deze netwerkpunten halen telemetrische gegevens op vanuit de netwerkrand, zodat abnormale patronen snel kunnen worden herkend. De oplossing moet ook een proactief karakter hebben en in werking treden zodra er onregelmatigheden worden gedetecteerd, zonder dat de klant verder iets hoeft te doen. Verdacht dataverkeer moet worden geblokkeerd om de beschikbaarheid van bandbreedte en netwerkdiensten te waarborgen.
‘Spontane’ beveiliging
De oplossing moet snel in bedrijf kunnen worden genomen, optimaal bestand zijn tegen DDoS-aanvallen en kostenefficiënt zijn. Netwerkgebaseerde beveiligingsoplossingen van providers bieden ook wat dat betreft voordelen vanwege hun optimale schaalbaarheid. Idealiter wordt het internetverkeer voortdurend bewaakt, zodat de klant altijd beschermd is tegen aanvallen. Dat bespaart kosten en configuratiewerk, omdat de beveiligingsparameters gaandeweg worden geoptimaliseerd aan de hand van de data die uit de systemen komen.
Klanten zullen vaak pas bemerken dat er een aanval heeft plaatsgevonden, zodra ze de rapportage van hun provider raadplegen. Sommige providers bieden de mogelijkheid om het verkeer direct stop te zetten in geval van afpersing of concrete aanvallen. De gevolgen van gecoördineerde aanvallen worden daarmee tot een minimum beperkt. De geoptimaliseerde netwerkbeveiliging en –prestaties resulteren ook in een betere quality of service. Bedrijven kunnen daarnaast kosten besparen op hardware, software, het beheer en het onderhoud. Het is in mijn ogen dan ook niet houdbaar dat organisaties het voorkomen van DDoS-aanvallen in eigen huis houden. Serviceproviders kunnen uitstekend een rol spelen om de risico’s beter en efficiënter weg te nemen.
Een goed stuk Peter, dank.
Ik zie eigenlijk niet zo goed waarom sec datacenters toegesneden zouden zijn op het nemen van maatregelen en bedrijven die data en verbindingen zelf onderhouden niet. Als ik dergelijke maatregelen zou nemen dan kan ik dat heel goed en ik kan dan minstens zo snel acteren in geval van …. dan dat ik dat eerst van of via het datacenter zou moeten vernemen.
Overigens, mijn bescheiden mening gevende, de ratrace tegen cybercrime moet je gewoon als verloren beschouwen omdat je aan de andere kant van het net staand, altijd weer afhankelijk bent van de ontdekking van weer een nieuwe variant in het grote spel. Het benoemen van bijvoorbeeld DDos en ransomware waarvan aanvallen inderdaad alleen nog maar verder toe zullen gaan nemen, zie ik de ontwikkelingen als IoT dan ook met vertrouwen tegemoet.
Vertrouwen in de zin dat we nog op een grotere hausse aan intrusions mogen gaan rekenen wanneer men de komende vijf jaar van alles en nog wat, door hijgerig hypende commercie ingegeven, met het internet gaat verbinden. De eerste signalen van grootschalige inbraken van modems en smart meters zijn er al.
Je stuk geeft in elk geval weer stof tot nadenken wat het opzetten en onderhoud van security in en met IT ICT betreft. Thanks.