Hoe voorkom ik een DDOS-aanval?

U zult er allicht van hebben gehoord – ‘DDoS’ (Distributed Denial of Service). DDoS-aanvallen zijn de laatste tijd ruim bemeten in de media. Zij worden veelal uitgevoerd vanaf verschillende bronnen (‘Distributed’), met als hoofddoel het verstoren van een bepaalde online service (‘Denial of Service’). Hoe voorkom je dit?

Een ander gebruik van DDoS zijn wat wij noemen de ‘afleidingsaanvallen’, bedoeld om de aandacht te trekken terwijl de echte aanval ondertussen in de achtergrond plaatsvindt. Hier komen we later op terug.

DDoS-aanvallen zijn een groot gevaar voor alle bedrijven die het internet zakelijk gebruiken. Het maakt niet uit of uw website slechts informatie biedt of wordt gebruikt voor e-commerce of financiële diensten. De aard van de diensten maakt van beide functies een doelwit: per definitie zijn ze bereikbaar voor internetverkeer, uw klanten en leveranciers moeten erbij kunnen komen. Aanvallers kunnen daarom óók de website bereiken. Daar kunt u verder helemaal niets tegen doen.

Waarschijnlijk is dit het punt waarop u zich afvraagt: hoe moet ik me dan tegen deze DDoS aanvallen wapenen? Het is onmogelijk om in één artikel een oplossing te schetsen voor alle verschillende omgevingen, soorten ondernemingen, en – bovenal – de verschillende spelers en beweegredenen te benoemen. Dit artikel biedt u wél tien ideeën, ter overweging bij het opstellen van uw strategie voor het voorkomen – indien mogelijk – of te niet doen van-DDoS aanvallen, als onderdeel van een nieuwe manier van denken over informatiebeveiliging: het sluiten  van de preventie-, detectie- en reactiecyclussen.

1. Ga verder dan Risk Management en pas Threat Management principes toe.
Investeren in traditioneel IT Risk Management blijft prima, maar DDoS vergt een andere manier van denken en handelen. Waar traditioneel IT Risk management primair is gericht op preventie, vraagt DDoS net als andere typen cyberaanvallen een andere denkwijze. Risk Management moet worden aangevuld met ‘Active Threat Management’. Daarmee is men ook beter voorbereid op een cyberaanval in de vorm van een DDoS-aanval. Threat Management ziet niet de werknemers of de toezichthouder als de ‘vijand’. Het beschouwt de verschillende spelers die via een DDoS aanval jouw onderneming willen beïnvloeden als de vijanden. Professionele cybercriminelen en hacktivisten zijn hierbij de voornaamste verdachten. Het is dus essentieel na te denken over de beweegredenen van eventuele aanvallers, om vervolgens hun business case weg te nemen. Alleen wanneer wij begrijpen wat zij willen bereiken, kunnen wij de juiste preventieve en detectieve maatregelen ontwerpen en efficiënt op de incidenten reageren.

2. Actief Threat Management vereist een adaptief ‘threat playbook’. Dit playbook identificeert de verschillende spelers, hun methoden, motivatie en potentiële doelen voor een DDoS aanval. Het vormt een belangrijk fundament, aangezien uw reactieve ‘use cases’ zullen zijn afgeleid van het kunnen doorgronden van de partijen die mogelijk geïnteresseerd zijn in het verstoren van uw onderneming, hoe zij dit zouden kunnen doen en waarom. Een threat playbook kan helpen alle benodigde informatie in een enkel bestand samen te vatten. Vervolgens kan dit worden gebruikt voor uw integrale ‘end-to-end security operations’. Het woord adaptief benadrukt de noodzaak van een dynamisch Threat Management. Op die manier bent u in staat alle veranderingen in het dagelijkse threat-landschap te ondervangen. Threat playbooks helpen namelijk alleen wanneer ze regelmatig actueel worden gehouden.

3. Wat men zich ook goed moet beseffen is dat een technologische aanpak alleen niet voldoet om DDoS-aanvallen te beperken of te stoppen.
Denk niet dat een paar DDoS preventiesystemen in uw netwerk en een contract met een anti-DDoS-provider volstaat om de aanvallen te kunnen afweren. Zoals bij alle IT security vraagstukken, geldt ook bij DDoS-aanvallen dat een combinatie van mensen, processen en technologie nodig is voor de oplossing. Het zijn mensen die bevestigde incidenten moeten monitoren en vervolgens moeten handelen, waarbij zij de vastgestelde governance en op maat gesneden response procedures, behorend bij de scenarios in het threat playbook, volgen. Technologie kan ondersteuning bieden bij het voorkomen en beperken en tevens bij het uitvoeren van geautomatiseerde taken die mensen niet kunnen uitvoeren, zoals het filteren van logs. Alle drie de aspecten zijn hierbij essentieel, anders is uw positie als geheel zwak.

4. Niet één DdoS-aanval is hetzelfde.
Sommige aanvallen richten zich op verstoring van uw ITinfrastructuur, andere hebben weer tot doel uw zakelijke applicaties te verslechteren en te misbruiken. Verder zijn er hybride aanvallen, waarbij hackers zowel de infrastructuur als de applicaties aanvallen. Wat dit alles nog lastiger maakt zijn de verschillende technische omstandigheden die deze aanvallen kunnen triggeren: van klassieke aanvallen zoals ICMP of SYN flooding, tot DNS amplification, SQL manipulatie etc. Helaas ontwerpen aanvallers elke dag weer nieuwe manieren om DDoS-aanvallen uit te kunnen voeren. Steek dus tijd in het verkrijgen van inzicht, in uw proces, in de verschillende trends in DDoS-aanvallen, en in onderzoek naar de tools en technologieën die worden gebruikt bij aanvallen. Hoe groter uw inzicht in wat er allemaal gebeurt, des te beter kunt u zich hier tegen wapenen.

5. Doe meer dan een traditionele business case wanneer u besluit een contract met een anti DDoS-provider te sluiten.
De financiële kant van de zaak in de gaten houden – zoals ‘Total Cost of Ownership’ en ‘Return On Investment’ – is een goede aanpak om een investering te rechtvaardigen. Het is echter ook cruciaal dat u volledig inzicht heeft in de capaciteiten van uw antiDDoS provider wanneer u een juiste keuze wilt maken. Sommige providers zijn gespecialiseerd in een bepaald soort aanvallen, terwijl andere een uitgebreider portfolio van geïntegreerde oplossingen bieden. Neem, na een grondig ‘Request For Information’-proces, de tijd om geselecteerde aanbieders uit te nodigen. Hou vervolgens een strikte eindselectie. Zorg dat zeer helder wordt uitgelegd hoe zij verschillende soorten aanvallen aanpakken, en welke aanvallen hier niet onder vallen, hoe u als klant dient te reageren bij een DDoS-aanval, wat de SLA’s zijn, wat is het effect op de onderneming als de service niveaus afnemen, hoe wordt de dienstverlening ingeschakeld, wat zijn de beperkingen en welke onderdelen in hun portfolio kunnen uw veiligheidsniveau aanvullen. Vraag naar referenties en kies een willekeurige klant die u bezoekt of belt om te bepalen of, vanuit het perspectief van de klant, de mogelijkheden van de leverancier aansluiten op uw infrastructuur. Een keuze op basis van kosten alleen is naar alle waarschijnlijkheid de verkeerde beslissing.

6. Vergeet ook niet te denken hoe om te gaan met aanvallen die niet noodzakelijkerwijs vervormde verzoeken of zwakke beveiligingsconfiguraties uitbuiten. Denk hierbij aan het overvoeren met legitieme referenties. Stel u biedt online e commerce en uw gebruikers dienen zich aan te melden met een gebruikersnaam en wachtwoord om gebruik te maken van de service. Denk nu aan aanvallen die legitieme gebruikersnamen en referenties naar uw service sturen in plaats van bewust vervormde aanvragen. Aangezien antiDDoS-providers gemaakt zijn om niet-legitieme aanvragen te beperken of te stoppen, zullen zij een dergelijke aanval mogelijk niet kunnen tegenhouden. U kunt overwegen dit probleem aan te pakken via het tijdelijk blokkeren van het betreffende IP-adres of door het opzetten van ‘use cases’ in uw ‘SIEM’ (‘Security Information and Event Management’) om mislukte inlogpogingen aan te pakken. Dit is een extra reden om verder te denken dan alleen antiDDoS-aanbieders wanneer u wilt dat u toereikende defensieve maatregelen treft.

7. Gebruik informatie. Soms kunt u via het monitoren van gesprekken op verschillende media, zoals Twitter of Facebook, of door het in de gaten houden van verschillende soorten pasting websites, zoals Pastebin, bepalen of een bepaald bedrijf of een bepaald segment een potentieel DDoS-slachtoffer vormt. Uw antiDDoS-provider zal dit waarschijnlijk niet voor u doen en de verzamelde informatie wordt niet aan uw SIEM console gekoppeld. U dient dit daarom zelf te doen, aangezien het essentieel is een eventuele aanval meteen af te kunnen weren. Hanteer als uitgangspunt dat u wilt kunnen anticiperen – maak hier afhankelijk van uw omvang en mogelijkheden automatische of handmatige middelen voor vrij -, door proactief intelligence te verzamelen.

8. Ontwerp stabiele ‘end-to-end response procedures’, voor alle mogelijke scenario’s.
Hou rekening met worst-case scenario’s en denk aan de continuïteit van uw bedrijfsvoering. Geen enkele aanpak voor DDoS is hetzelfde en een aantal preventieve en beperkende tactieken kunt u wellicht zelf al implementeren, zonder gebruik te maken van een antiDDoS-provider. Sommige aanvallen kunnen simpelweg worden tegengehouden door TCP/IP hardening of door het patchen van een webapplicatie, terwijl andere maatregelen weer met uw antiDDoS provider moeten worden overlegd. Een voorbeeld hiervan is het gebruik van Content Delivery Networks (CDN). En bereid u voor op het ergste: soms zitten er geen digitale protesteerders achter DDoS-aanvallen, maar gaat het om een zogenaamde afleidingsaanval van de georganiseerde misdaad: uw security response zal zich dan focussen op het specifieke onderdeel dat wordt aangevallen, maar ondertussen vinden de daadwerkelijk schadelijke acties op de achtergrond plaats. De beschikbaarheid van forensische capaciteit, in huis of geleverd via een derde partij, is altijd een goede keus. Niet alleen om de eventuele DDoS-afleiding te analyseren, maar ook om andere incidenten te onderzoeken, zoals malwareverspreiding of systeeminbraak. Wat dit betreft hoort DDoS-incident repsonse wellicht onderdeel uit te maken van uw business continuïteitsplan,waarbij de incident response processen worden gelinkt aan de passende disaster recovery procedures. Vandaag de dag zijn de situaties die een bedreiging vormen voor de continuïteit niet meer beperkt tot problemen met het moederboard, beschadigde harde schijven of branden in datacentra.

9. Trainen, trainen, trainen.
DDoS moet tegemoet getreden worden met adequate preventie van en reactie op incidenten. Dit kan alleen efficiënt werken wanneer alle betreffende procedures regelmatig worden geoefend. Zorg daarom voor mogelijkheden binnen uw organisatie om DDoS response procedures van begin tot eind te testen. En dan gaat het niet alleen om de ondersteunende technologieën, zoals het instellen van Web Application Firewalls, maar ook de response procedures die verder gaan dan IT en technologie: hoe reageert uw service desk op vragen van cliënten, hoe reageert uw community manager op nieuws in de sociale media en hoe legt uw PR -afdeling het een en ander uit aan de pers. En natuurlijk, hoe u een aanvraag naar uw antiDDoS-provider stuurt om uw gewenste reactie te initiëren. Of denkt u dat zij dit zouden doen zonder dat u hierom vraagt?

10. Wanneer u ooit het slachtoffer van een DDoS-aanval bent geweest, leer ervan om gemaakte fouten in de toekomst te voorkomen. Zodra het incident is behandeld, sluit dan de ‘incident response loop’ af. Betrek alle belanghebbenden, zoals het  SOC, het NOC, uw verschillende businessinterfaces, de Service Desk, de afdelingen PR en sociale media, in het evaluatie proces en geef hen feedback op de details van het proces. Hoe meer u hierin investeert, des te beter u voorbereid bent op een volgende gebeurtenis. Uw organisatie zal dan via een eenduidige benadering veel beter in staat zijn deze verstorende gebeurtenissen het hoofd te bieden.

Last, but not least: vergeet niet dat elke organisatie  uniek is: een andere mate van kwetsbaarheid, aantrekkingskracht voor verschillende soorten aanvallers, beschermingsniveaus en degelijkheid, soorten reacties en impact. Neem de tijd om inzicht te krijgen uw eigen problematiek, in plaats van te proberen het probleem op te lossen door simpelweg technologie aan te schaffen.