Neem de verdediging tegen DDoS in eigen handen

Theo-Schutte-Fortinet

Organisaties moeten ophouden om naar hun internet service providers te kijken voor de bescherming tegen DDoS-aanvallen. Vat de koe zelf bij de horens!

Het is zomaar een greep uit de nieuwsberichten van de afgelopen maanden: ‘Krantensites urenlang plat door cyberaanval’, ‘JPMorgan Chase is slachtoffer van cyberaanval’ en ‘Hollandse webwinkels dagenlang DDoS-doelwit’. Het lijkt onmogelijk om de Distributed Denial of Service-(DDoS)-aanvallen te stuiten. Volgens het National Cyber Security Center neemt het aantal DDoS-aanvallen nog altijd toe, evenals de impact daarvan. Het NCSC wijdt dit aan het feit dat het steeds eenvoudiger is om relatief basale cyberaanvallen uit te voeren. Tegelijkertijd zijn de cyberaanvallen steeds geavanceerder en doelgerichter. Vooral de overheid en de financiële sector moeten het ontgelden. Het NSCS is ook pessimistisch over een oplossing en beaamt dat het een uitdaging is om de (technische) vaardigheden van aanvallers te evenaren.

Een DDoS-aanval is een van de oudste internetdreigingen. De aanval zet een of meerdere servers op tilt door er een overvloed aan internetverkeer op af te sturen. De meeste DDoS-aanvallen zetten computers in van niets vermoedende gebruikers. Deze hebben, door een malafide website, een kwaadaardig bestand of besmette media een computervirus binnengehaald. Dit virus sluit hun computer aan op een zogenoemd 'botnets'. Dat is een verzameling van honderdduizenden, of zelfs miljoenen besmette computers wereldwijd. De cybercriminelen geven al deze computers op enig moment de opdracht om contact te zoeken met dezelfde server. Deze kan de grote hoeveelheid dataverkeer niet aan en geeft het op. Alle diensten die op de server draaien, zijn niet langer beschikbaar.

Nieuw: cyberaanvallen op applicatieniveau

Leveranciers van beveiligingssoftware spelen al jaren een kat-en-muisspel met de cybercriminelen achter DDoS-aanvallen. De technologie evolueert continu, maar dat geldt voor beide zijden. De nieuwste uitdaging die cybercriminelen stellen aan netwerkbeveiligers is de DDoS-aanval die zich niet richt op servers, maar op specifieke applicaties en diensten die daarop draaien. Om een lang, technisch verhaal kort te houden: Standaarden voor datacommunicatie verdelen netwerken in zeven lagen. ‘Oude’ DDoS-aanvallen richtten zich op lagen 3 en 4, respectievelijk de netwerk- en transportlaag. De nieuwe cyberaanvallen richten zich op laag 7: de gebruikersapplicatie of -toepassing. En dat is een heel nieuw spel.

Dat is zorgelijk want de methoden achter de aanvallen op applicatieniveau zijn uiterst geavanceerd. Zij leggen bedrijfsnetwerk niet plat door een tsunami aan dataverkeer, maar zorgen ervoor dat specifieke applicaties of diensten langzaam de capaciteit van de applicatielaag uitputten. Daar is relatief weinig dataverkeer voor nodig. Beveiligingsoplossingen die het verkeer monitoren zien dit dus niet als abnormaal hoog. Dat maakt het moeilijk om de cyberaanval te herkennen.

Opties voor bescherming tegen cyberaanvallen

Een bijkomend probleem van DDoS-aanvallen op applicatieniveaus is dat degene die verantwoordelijk is voor applicatiebeheer niet altijd degene is die verantwoordelijk is voor het netwerkbeheer.

De meeste servers staan in datacentra en de verbinding daarmee is in handen van internet service providers (ISPs). Zij bieden meestal een dienst om de servers te beschermen tegen DDoS-aanvallen op het niveau van de netwerk- en transportlagen. Zodra er grote volumes aan dataverkeer ontstaan, grijpen zij in. De beveiligingsoplossingen van de ISPs kunnen echter niet de lage volumes van een aanval op de applicatielaag detecteren. Bedrijven kunnen er dus niet op vertrouwen op de ISPs een volledige DDoS-bescherming biedt. Daarom kunnen zij beter een van volgende maatregelen treffen:

  1. DDoS Service Providers: Er zijn veel webgebaseerde DDoS-oplossingen die bescherming bieden voor de netwerklagen 3, 4 en 7. Dit varieert van relatief goedkope diensten voor kleine websites tot omvangrijke diensten voor meerdere websites van grote ondernemingen. Ze zijn meestal met een maatwerkabonnement verkrijgbaar en eenvoudig te gebruiken. Deze diensten bieden geavanceerde bescherming voor de applicatielaag. Deze zijn vooral geschikt voor grote ondernemingen omdat er sensoren geïnstalleerd moeten worden op de fysieke servers in het datacenter. Soms DDoS Service Providers brengen onvoorspelbare en aanzienlijke naheffingen in rekening als traditionele DDoS-aanvallen voor de grote volumes aan dataverkeer zorgen. De prestaties kunnen ook tegenvallen omdat de DDoS Service Providers het DDoS-verkeer wegleiden in plaats van het direct te stoppen. Dit is vooral een probleem bij kortdurende cyberaanvallen, en daar gaat het meestal om.
  2. Firewall of IPS: Bijna alle moderne firewalls en intrusion detection systemen (IPS) bieden een vorm van DDoS-bescherming. Geavanceerde next generation firewalls (NGFWs) beschikken over DDoS- en IPS-diensten die de risico’s voor cyberaanvallen verminderen. Een enkel apparaat dat een firewall, IPS en DDoS-bescherming is handig en voordelig te beheren, maar is tegelijkertijd kwetsbaar doordat het snel overweldigd raakt door de volumineuze DDoS-aanvallen. Het beschikt ook niet per definitie over beveiliging van de applicatielaag. Bovendien kunnen de prestaties van de ene functie, bijvoorbeeld de firewall of IPS, de prestaties van de andere functies benadelen. Dat kan de het netwerkverkeer voor alle gebruikers vertragen of verslechteren.
  3. Een toepassingsspecifieke DDoS-appliance: In plaats van één apparaat dat meerder functies uitvoert, is het een optie om meerdere apparaten te installeren die elk één functie uitvoeren. DDoS-appliances houden zich alleen bezig met het stoppen van traditionele (laag 3 en 4) en geavanceerde (laag 7) DDoS-aanvallen. Ze zijn opgesteld aan het primaire toegangspunt naar internet. Daar detecteren zij zowel grote volumes aan dataverkeer. Zij monitoren het internetverkeer ook om de verdachte patronen van aanvallen op de applicatielaag te herkennen. Het gebruik van een toepassingsspecifieke appliance maakt de kosten voorspelbaar omdat deze vast zijn, ongeacht of een cyberaanval tweemaal per jaar of eenmaal per week plaats vindt. Daar staat tegenover dat deze appliances weer extra hardware zijn dat men moet beheren en onderhouden. Apparaten met een lage bandbreedte kunnen nog steeds overweldigd raken bij volumineuze aanvallen. Bovendien zijn er vaak updates nodig om de nieuwste DDoS-aanvallen te blijven detecteren.

Toepassingsspecifieke DDoS-appliances bestaan in twee versies: carrier en enterprise. De carrierversie zijn grootschalige oplossingen voor wereldwijde ISP-netwerken. Deze zijn erg duur. De meest organisaties die hun eigen datacentra willen beschermen kiezen daarom voor de enterprisemodellen. Deze bieden voordelig DDoS-bescherming. De huidige modellen hebben voldoende capaciteit om cyberaanvallen op alle netwerkniveaus af te weren. Hoewel deze appliances bij de aanschaf net zo duur zijn als de gehoste oplossingen, zijn ze op de lange termijn goedkoper omdat er geen naheffingen zijn voor extra dataverkeer.

Welke DDoS-appliance ook gebruikt wordt, het is altijd belangrijk dat deze aanpasbaar zijn voor omstandigheden. Deze appliances leren wat het gedrag van het normale applicatieverkeer is en kunnen zich hierop aanpassen. Zo herkennen zij het afwijkende gedrag van cyberaanvallen en stoppen zij deze. Het voordeel van deze benadering is dat het gebruikers ook beschermt tegen de allernieuwste cyberaanvallen, omdat het niet hoeft te wachten op een update met de signature daarvan.

DDoS-aanvallen nemen toe en raken vroeg of laat iedere organisatie, groot en klein, omdat de meeste bedrijven aanwezig zijn op internet. Die dreiging neemt nog meer toe naarmate meer werknemers mobiele apparaten met een internetverbinding gebruiken. Het evoluerende karakter van DDoS-aanvallen betekent dat bedrijven niet langer uitsluitend op hun ISP kunnen vertrouwen om cyberaanvallen te voorkomen. Organisaties moeten daarom snel overstappen op oplossingen die hen in staat stelt zelf het heft in handen te nemen. Alleen zo kunnen zij hun netwerken en applicaties proactief beschermen tegen cyberaanvallen.

Theo Schutte, country manager Nederland, Fortinet
 

Lees ook
Cloudflare DDoS-rapport over vierde kwartaal 2023

Cloudflare DDoS-rapport over vierde kwartaal 2023

Cloudflare heeft een rapport uitgebracht over de wereldwijde DDoS-aanvallen in het vierde kwartaal van 2023. Opmerkelijke bevindingen zijn vooral de enorme toename van het aantal DDoS-aanvallen gericht op milieuorganisaties tijdens de COP28 en op Taiwan. Verder blijft het aantal DDoS-aanvallen gericht op retailers en logistieke dienstverleners ron1

Cloudflare DDoS-rapport over derde kwartaal 2023

Cloudflare DDoS-rapport over derde kwartaal 2023

Cloudflare heeft een rapport uitgebracht over de wereldwijde DDoS-aanvallen in het derde kwartaal van 2023. Opmerkelijke bevindingen zijn onder andere het succesvol mitigeren van duizenden aanvallen als gevolg van de HTTP/2-kwetsbaarheid, een enorme toename van HTTP DDoS-verkeer en aanvallen gericht op de gaming- en gokindustrie.

Cloudflare helpt kwetsbaarheid te ontdekken die leidde tot grootste DDoS-aanval

Cloudflare helpt kwetsbaarheid te ontdekken die leidde tot grootste DDoS-aanval

Cloudflare heeft bekendgemaakt dat het heeft meegeholpen bij de onthulling van een nieuwe zero-day kwetsbaarheid, genaamd 'HTTP/2 Rapid Reset'. Deze wereldwijde kwetsbaarheid geeft kwaadwillenden de mogelijkheid om aanvallen te genereren die groter zijn dan alles wat er in het verleden op het internet is gebeurd.