Soepel omgaan met DDoS-aanvallen
Regelmatig komt het nog in het nieuws. Websites of diensten die urenlang plat liggen omdat ze onder vuur liggen van cybercriminelen. WINMAG Pro bekijkt de mogelijkheden om je tegen DDoS-aanvallen te beschermen.
Nederland heeft lange tijd een belangrijke rol gespeeld als land waar het meeste DDoS-verkeer (Distributed Denial of Service) werd gegenereerd. Dat is op zich niet zo vreemd omdat we een goede telecominfrastructuur hebben en omdat hier veel datacenters en hostingproviders gevestigd zijn. Toch is in het eerste kwartaal van dit jaar de activiteit in Nederland op het gebied van DDoS-verkeer wat afgenomen, blijkt uit onderzoek van netwerkbedrijf Akamai. Nederland is volgens het rapport verdwenen uit de top tien van landen waar het meeste DDoS-aanvalsverkeer werd gegenereerd.
En hoewel in heel Europa het aantal DDoS-aanvallen in het eerste kwartaal van 2014 met 50 procent is toegenomen, neemt wereldwijd het aantal aanvallen weer flink af, met 20 procent ten opzichte van het voorgaande kwartaal en 27 procent ten opzichte van het eerste kwartaal van 2013. Toch halen dergelijke aanvallen op Nederlandse bedrijven en diensten nog regelmatig het nieuws want een goed uitgevoerde DDoS-aanval kan een ernstige verstoring veroorzaken doordat bijvoorbeeld de website van een organisatie wordt platgelegd of een netwerk of datacenter tijdelijk wordt uitgeschakeld. Het wordt voor organisaties steeds moeilijker om zich hier tegen te weren. Zelfs grote providers kunnen aanzienlijke overlast ondervinden omdat de hoeveelheden dataverkeer die gepaard gaan met een DDoS-aanval aan het toenemen zijn.
Twee typen aanvallen
Volgens Amir Eliakim, Manager Security van OCOM Global Services, bekend van onder meer LeaseWeb, zijn er twee typen DDoS-aanvallen: een ‘fl ood’ aanval en een ‘resource’ gerelateerde aanval. Bij die eerste wordt getracht om met de aanval bijvoorbeeld een netwerk ‘vol te laten lopen’ waardoor er bandbreedtecongestie optreedt, zeg maar opstopping van datapakketjes. Die drukte op de lijn leidt ertoe dat een server of website onbereikbaar wordt. Bij een resource-aanval wordt de aanval specifi ek gericht op een zwakheid of limiet van hard- of software, die daardoor overbelast raakt en crasht.
Maar aanvallen van buitenaf kunnen zich op van alles richten: servers, firewalls, applicaties, load balancers, switches et cetera. Vrijwel alles kan een zwakke schakel zijn. ‘Vraag jezelf daarom af: heb ik de juiste load balancer, de juiste firewalls. Want je interne netwerk moet goed op orde zijn, dan ben je goed beschermd. Bovendien kan je met een leverancier een soort rampscenario bespreken’, adviseert Mohamed Al Ayachi, Line of Business manager Network Integration & Security bij Dimension Data. Dat alles hangt echter wel af van hoeveel risico je loopt om slachtoffer van een DDoS-aanval te worden. ‘Aan de DDoS-aanval zelf kun je eigenlijk weinig doen’, vertelt Eliakim.
‘Een nieuwe trend is dat servers in datacenters worden aangevallen. Deze aanvallen moeten van grote omvang zijn, bijvoorbeeld 10 Gbps, om effect te hebben. Hostingproviders en datacenters zullen in dergelijke gevallen actie ondernemen om hun netwerk te beschermen en zo de impact op klanten te minimaliseren.’ Het vervelende is dat je als bedrijf, als slachtoffer van een DDoS-aanval, opgezadeld kan worden met een heel hoge rekening voor het dataverkeer dat door de aanval is gegenereerd. Dus je bent niet alleen omzet misgelopen omdat je site of server tijdelijk buiten gebruik was, maar je moet ook betalen voor het dataverkeer van de aanval. Toch bestaat er nog niet veel aandacht voor DDoS-protectie bij het MKB-bedrijfsleven, weet Mohamed Al Ayachi van Dimension Data. ‘Bij het MKB is geen grote vraag naar DDoS-oplossingen. Pas als een bedrijf een keer het slachtoffer is geweest van een DDoS, dan gaan alle deuren open, maar veel bedrijven hebben zoiets van: “ons overkomt dat niet”.’
Monitoren
In grote lijnen komt de bescherming tegen DDoS-aanvallen neer op twee dingen: goed monitoren en het omleiden van het dataverkeer. Het monitoren is van belang om snel opvallende pieken te constateren en onmiddellijk actie te ondernemen als dat nodig is. Als je constateert dat je wordt aangevallen, kan je via ip-filtering de aanval blokkeren of afleiden. Bij het afleiden en ‘re-routen’ van het verkeer wordt de stroom aan aanvalsverkeer weggeleid op basis van de ip-adressen waar de aanval vandaan komt. Dit zorgt ervoor dat gewone bezoekers de site of server snel weer kunnen gebruiken.
Uiteraard gaat dat eenvoudiger bij een eenvoudige Denial-of-Service aanval die vanuit één kant komt. Maar wordt er vanaf heel veel kanten tegelijk verkeer op je af gestuurd, zoals bij een DDoS-aanval, dan wordt dat lastiger. Het re-routen van het aanvalsverkeer kan op verschillende manieren. ‘De eenvoudigste is gewoon aan je eigen hostingprovider vragen wat zij free-of-charge kunnen doen in geval van een DDoS-aanval. De aanval komt ergens vandaan en gebeurt via internet, dus via isp’s. Daar moet je dus beginnen’, zegt Mohamed Al Ayachi van Dimension Data.
Ook kan een service provider de klant enigszins helpen door de aanval in quarantaine te plaatsen zodat de klant zelf actie kan ondernemen. Wie onder digitaal vuur komt te liggen, kan bovendien gebruik maken van externe diensten die het verkeer voor je afleiden. Dit worden ook wel ‘scrubbing’ centers genoemd. Het zijn als het ware wasstraten voor het dataverkeer.
Bekende partijen die dergelijke diensten bieden zijn Akamai en CloudFlare. Dergelijke diensten kunnen echter wel prijzig zijn. En tot slot kan je in je netwerk of datacenter een DDoS mitigation appliance plaatsen. Dit is hardwarematige bescherming tegen DDoS-aanvallen. Er zijn ook diensten die organisaties in staat stellen om hun IP-adres te verhullen. Dergelijke diensten vormen als het ware een bufferzone tussen de buitenwereld en de server van het bedrijf. Als er dan een DDoS-aanval wordt uitgevoerd, krijgt de tussenpartij deze voor zijn kiezen.
Cyberverzekering
Voor bedrijven is het verstandig om een risico-analyse uit te voeren voordat ze besluiten om bepaalde maatregelen tegen DDoS-aanvallen te nemen. De noodzaak om voorbereid te zijn op een DDoS-aanval is als grote webwinkel bijvoorbeeld belangrijker dan voor een garagebedrijf. Wie zich wil indekken tegen eventuele schade als gevolg van cybercriminaliteit kan tegenwoordig ook zogenoemde cyberpolissen afsluiten. Onder andere verzekeraar AON is onlangs gestart met een cyberpolis die schade dekt als gevolg cyberrisico’s zoals diefstal van gegevens of inbreuk op systemen, verlies van data en bedrijfsstilstand.
Ook de verzekeraar adviseert een zorgvuldige inventarisatie van de cyberrisico’s te maken. ‘Medewerkers zouden zich hiervan bewust moeten zijn’, aldus de verzekeraar. AON adviseert tot slot om je tijdens een cyberincident te focussen op de kernactiviteiten van je organisatie en ervoor te zorgen dat je inzicht hebt in de impact die de aanval heeft op derden zoals klanten en leveranciers. ‘Je kunt nog zoveel beveiligen en verzekeren, maar uiteindelijk is er geen silver bullet tegen DDoSaanvallen’, geeft Mohamed Al Ayachi van Dimension Data toe. ‘Volle 100 procent bescherming tegen DDoS-aanvallen bestaat niet.’