Slecht of helemaal niet meer bereikbaar zijn, met grote (imago)schade en omzetverlies tot gevolg. Het aantal Distributed Denial of Service, oftewel DDoS, -aanvallen is de afgelopen jaren flink toegenomen. En dit aantal blijft stijgen. Voeg daaraan toe dat hierbij steeds meer devices, zoals IoT, worden gebruikt om nog grotere aanvallen uit te voeren en je begrijpt dat je als organisatie niet achter kan blijven in de aanschaf van preventieve DDoS-maatregelen. De aanval zelf voorkomen is onmogelijk, en met alleen de aanschaf ben je er nog niet. Maar de DDoS-aanval afweren en de omvang en tijdsduur beperken, dat kan wel. In deze blog daarom een stappenplan hoe je voorkomt dat jouw organisatie het volgende slachtoffer wordt.
Maar ik heb toch anti DDoS-middelen aangeschaft…
De aanvallen van vandaag zijn geëvolueerd en omvatten nu DDoS-toolkits, bewapende IoT-apparaten, online DDoS-services en meer. Gevestigde oplossingen, die afhankelijk zijn van ineffectieve, op handtekeningen gebaseerde IPS of alleen beperking van de verkeerssnelheid, zijn niet langer toereikend. De eerste stap is dus om binnen de organisatie de kwetsbaarheid te testen. Stel je wordt morgen aangevallen, heb je dan de juiste middelen in huis om jezelf te verdedigen?
Zodra je hebt vastgesteld wat je hebt, kan je gaan kijken naar welke gaten er nog zijn in de verdediging. Je kan de deur op slot draaien, maar als het raam ernaast wagenwijd openstaat kan de aanvaller nog steeds gewoon binnen komen. Een van de hoog aangeschreven DDoS-protectie tegen zowel capaciteitsaanvallen (Volume Attacks) als de complexere Netwerk en Applicatie Attacks is bijvoorbeeld de Thunder TPS (Threat Protection System) van A10. Hiermee verdedig je de organisatie tegen de DDoS of Things en traditionele zombiebotnets, en het detecteert DDoS-aanvallen via pakketten met hoge resolutie of stroomrecordanalyse van edge-routers en -switches. De schaalbare DDoS-verdediging kan daarnaast een aanvaller chirurgisch onderscheiden van een legitieme gebruiker. Hierdoor hoeft bij een aanval niet al het verkeer geweerd te worden en zorg je ervoor dat de legitieme gebruiker nog gewoon toegang heeft tot het netwerk. Maar abnormale (anomalies) in de pakketten worden gedetecteerd, geïnspecteerd en eventueel geblokkeerd.
Preventie optimaal inzetten
Hoe ziet dit voor de Thunder TPS eruit in de praktijk? Een systeem kan meerdere detectoren hebben die los van de mitigator in het netwerk worden geplaatst. De communicatie met het managementsysteem zorgt ervoor dat het aanvalsverkeer wordt omgeleid naar de mitigator die vervolgens het verkeerd ‘schoonwast’ en naar de juiste bestemming stuurt. Om al het verkeer te kunnen inspecteren en ‘schoonwassen’ plaats je de mitigator op een strategisch punt aan de ingang van het netwerk. Wanneer het cruciale netwerk meerdere toegangen heeft, kies je ervoor om meerdere detectoren op verschillende locaties in het netwerk te plaatsen. In het onderwijs nemen bijvoorbeeld studenten hun eigen laptop mee, waarvoor een wifi-netwerk beschikbaar wordt gesteld. Dan is het essentieel dat de studenten niet vervolgens het interne netwerk van de school kunnen aanvallen. In deze stap kijk je dus hoe je de aangeschafte anti DDoS-middelen optimaal inzet voor jouw situatie.
Inzicht, inzicht, inzicht
Je hebt de juiste maatregelen genomen, je hebt ze goed ingezet en nu ben je volledig beschermd. Toch? Er is nog een laatste stap die helaas vaak wordt overgeslagen: het behouden van inzicht. Oftewel het monitoren van het netwerk en zicht houden op kwetsbaarheden, én op DDoS-aanvallen. Het blijft namelijk mogelijk dat een aanval niet wordt gedetecteerd door de aangeschafte preventie. In dat geval moet er snel en adequaat gereageerd worden om schade te kunnen voorkomen of anders te minimaliseren. Voor optimaal resultaat is het van belang dat een toegewijd team van cyber securityspecialisten in een Network Operations Center (NOC) of Security Operations Center (SOC) dagelijks bezig is met de meldingen die hieruit voortkomen. Uiteraard kan je er als organisatie ook voor kiezen om het zelf in de gaten te houden. Welke optie je ook kiest, het belangrijkste is dat potentiële beveiligingsincidenten correct worden geïdentificeerd, geanalyseerd, verdedigd en gerapporteerd. Dan kan je zeggen dat de aangeschafte DDoS-preventie ook optimaal wordt ingezet.
Denk je na het lezen van deze blog: ‘nee we hebben ons nog niet goed voorbereid op een DDoS-aanval’? We bouwen graag samen aan een sterke security-architectuur voor jouw organisatie. Op onze Cyber Security-pagina beschrijven we de route naar een beveiligde organisatie. Of neem geheel vrijblijvend contact met ons op via het contactformulier aan de zijkant.
* Geschreven in samenwerking met A10 networks.