Als een tractor die door je veranda rijdt, zo wordt een zogenaamde DDoS of distributed denial of service wel eens genoemd. Een orkaan waar weinig of niets tegen kan beginnen. Maar it-afdelingen kunnen maatregelen nemen om zich tegen DDoS te beschermen. ‘Alleen worden ze in ons land nog maar weinig gebruikt.’
Ook deze week werd Tax On Web nog slachtoffer van een DDoS-aanval. De zoveelste. Over het fenomeen is dan ook veel te doen bij bedrijven en it-afdelingen. We zetten vier misverstanden over DDoS op een rijtje.
Misverstand 1: Het is een buitenlands (en oud) fenomeen
Wat hebben Tax on Web, VTM en BNP Parisbas Fortis met elkaar gemeen? Alle drie werden ze in ons land de voorbije weken slachtoffer van een DDoS-aanval. De trend is duidelijk. DDoS-aanvallen zijn steeds talrijker, dat zegt onderzoeksbedrijf Akamai in zijn Q1 2016 State of the Internet – Security Report.
Dat het fenomeen al tientallen jaren bestaat, klopt absoluut. Maar toch zit de DDoS nog altijd in de lift. Uit cijfers van Akamai blijkt dat het aantal distributed denial of service-aanvallen in de eerste drie maanden van dit jaar is toegenomen met 125 procent tegenover dezelfde periode vorig jaar.
De grootste slachtoffers onder de servers zijn die gericht op gamers. Qua webapplicaties zijn het retailers die te maken krijgen met de DDoS-aanvallen. Maar ook (en met name) in België komt het fenomeen flink opzetten. Gemiddeld één op tien van de Belgische bedrijven heeft al eens een DDoS-aanval moeten afweren.
Misverstand 2: Het gaat steeds om gigantische data
Iedereen denkt dat het bij een DDoS om een gigantische datahoeveelheid gaat. ‘Die aanvallen komen inderdaad vaak in het nieuws, maar dat zijn de eerder domme of brute vormen van DDoS’, stelt Luk Schoonaert, technology director bij security distributeur Exclusive Networks. ‘Moeilijk is dat op zich ook niet. Als ik echt zou willen zou ik VTM ook plat kunnen leggen met de internetverbinding van mij thuis. Bedrijven of organisaties uit ons land nemen hier nog maar weinig maatregelen tegen.’
Naast de zogenaamde ‘brute kracht’ DDoS is er nog een andere vorm die niet zo vaak in de media komt, en die is veel doordachter. Je gaat niet op de deur beginnen beuken, maar vindt de ingang via een achterdeur. ‘Hier spreekt men dan over een applicatieve DDoS’, verduidelijkt Eddy Willems, security evangelist bij antivirusbedrijf G Data.
Misverstand 3: Er valt niets tegen te beginnen
Het vaak aangehaalde idee dat ertegen DDoS weinig te beginnen valt, klopt niet. ‘Een doorsnee DDoS attack is geen tractor die door een veranda rijdt’, stelt Luk Schoonaert, technology director bij security distributeur Exclusive Networks. Dat er niets tegen te beginnen valt, klopt ook niet.
Er zijn twee structurele maatregelen die bedrijven kunnen nemen. Enerzijds is er die om het webverkeer te filteren vooraleer het uw website of Webtoepassing bereikt. ‘Cloud scrubbing heet zoiets. Je kan het beschouwen als een soort van virtuele wasstraat’, aldus Willems. De internetprovider of bij cloud provider, als Amazon, of ook Proximus en Telenet neemt dan al bij de bron de nodige maatregelen. Internationaal zitten er achterdeuren in de cloud.
Willems: ‘Als je als bedrijf je website of -toepassing in België draait , zijn Proximus en Telenet de enige die een waterdichte oplossing kunnen bieden. Tenminste als ze hier voldoende capaciteit voor voorzien.’ Volgens Willems werkt cloud scrubbing ook in België, al lijkt het bij de Belgische providers als Telenet en Proximus nog beperkt ingeburgerd. Al zijn er in ons land ook cloud providers, zoals Nucleus, die naar eigen zeggen intussen zo’n ‘virtuele wasstraat’ voorzien.
Een bijkomende oplossing, en vaak noodzakelijk bij de applicatieve DDoS, is dat bedrijven zich individueel beschermen met aangepaste apparatuur. ‘Het gaat hierbij om zogenaamde DDoS-appliances, die zulke aanvallen moeten detecteren. In de praktijk staan die dan voor de gewone firewall, vermits een firewall van origine niet is gebouwd om een DDoS-aanval tegen te gaan’, vertelt Filip Savat, country manager Belux bij Fortinet, dat zelf ook dergelijke DDoS-appliances aan de man brengt.
Dergelijke DDoS-appliances zitten in ons land (eindelijk) in de lift. ‘De laatste maanden is dat echt in een stroomversnelling gekomen’, beaamt Savat. Het zijn, volgens hem, vooral de grotere kmo, de financiële sector en de overheidsbedrijven die vragende partij zijn in ons land. ‘Slimme aanvallen vereisen ook slimmere oplossingen. Sommige, en dan vooral de meer vernuftige aanvallen worden dagen op voorhand opgebouwd met als bedoeling vitale services en applicaties lam te leggen met een beperkt aantal pakketten. Hier kan enkel een gedragsgebaseerde oplossing een goed antwoord bieden en is een op handtekeningen gebaseerd oplossing (signature based) minder geschikt.’
Concreet zullen het een combinatie van oplossingen zijn die een DDoS moeten kunnen tegengaan: cloud scrubbing in combinatie met aangepaste toepassingen ter plaatse. Willems: ‘Cloud scrubbing via cloud providers zoals bijvoorbeeld via Akamai of anderen, werkt volgens mij toch wel ook in België. Alles hangt ervan af waar de slechte traffic vandaan komt. Komt die vanuit het buitenland dan moet de aanval toch makkelijker af te slaan zijn. Tenzij er tools als Loic, Hoic, Hulk of aanverwante gebruikt worden, want die zijn er niet op gericht om dit te ontwijken. Kortom, de combinatie van beide DDoS-appliances en cloud scrubbing is volgens mij dus een must.’
Misverstand 4: DDoS gaat om security
Tenslotte wordt DDoS vaak in de categorie van security geplaatst, maar ook dat klopt niet echt. ‘Een DDoS gaat om availability”, benadrukt Luk Schoonaert van Exclusive Networks. Alleen zijn de drijfveren of aanleidingen vaak erg verschillend. Soms loopt het via ransomware, soms zijn er politieke redenen om een computersysteem onbeschikbaar te maken. Soms is zo’n DDoS-aanval bedoeld als afleidingsmaneuver, zoals we bij Sony en Playstation hebben gezien, waarbij men tijdens de aanval wist in te breken. En daarnaast zijn er uiteraard ook nog de aanvallen die worden uitgevoerd door en tussen nationale landen en staten, waarbij bijvoorbeeld China en Rusland niet zo’n beste reputatie hebben.’
