Volg Software Zaken

Beschermen tegen DDoS-aanvallen: voorbereiding en samenwerking essentieel

| Tijs Hofmans | Security

Het is niet makkelijk je als bedrijf te wapenen tegen DDoS-aanvallen, maar samenwerking is een goed begin. SoftwareZaken vroeg aan bedrijven en beveiligingsexperts wat bedrijven kunnen doen tegen dit bedrijfsgevaar.

Eind januari werden een aantal banken, de Belastingdienst en techsite Tweakers getroffen door een grote DDoS-aanval. Achteraf bleek een jongen van 18 achter de aanval te zitten. Hij kocht voor een paar tientjes een webstresser op internet. Daardoor ontstaat de vraag wat je kunt doen tegen aanvallen die zo makkelijk zijn uit te voeren. Verschillende partijen, zoals beveiligingsonderzoekers, banken en bedrijven, denken dat de sleutel in goede samenwerking ligt. Ook hebben bedrijven goede voorbereidingen en meer bewustzijn nodig.

Makkelijk/moeilijk te pakken

Dat Jelle S. überhaupt zo snel werd opgepakt had hij voornamelijk aan zichzelf te wijten. De 18-jarige vermeende dader liet veel sporen achter. Hij ging in gesprek met een systeembeheerder van Tweakers, en ging achter dezelfde bank aan die hem maanden eerder al wist te ontmaskeren. Het geeft wel aan hoe moeilijk het tijdens een DDoS-aanval is om in te schatten hoe serieus die is. Pas achteraf bleek het niet geavanceerde Russen te gaan, maar om een baldadige puber met wat extra zakgeld.

Confirmation bias

Bedrijven en rechercheurs voeden al snel hun confirmation bias, denkt John Fokker van McAfee (en voormalig van het Team High Tech Crime). Al snel na de aanvallen van eind januari wezen de vingers naar Rusland. De timing was opvallend (de aanval vond plaats nadat de Volkskrant Russische inmenging in de Amerikaanse verkiezingen onthulde), en een ip-adres dat bij de aanval werd gebruikt leek afkomstig uit het land. Fokker: “Je zoekt in zo’n geval al snel naar aanwijzingen die je vermoeden bevestigen. Maar een Russisch IP-adres kan ook op een proxy wijzen. Je moet kijken naar wat je kunt bewijzen.” Dat is vaak pas achteraf mogelijk.

Te koop: aanval

Voor het uitvoeren van een DDoS-aanval heb je geen tienduizenden euro´s en high-end-apparatuur nodig. Dat had Jelle S. ook niet. De reden dat DDoS-aanvallen steeds groter worden en vaker voorkomen is de beschikbaarheid ervan op internet. Al voor een paar tientjes huur je een command and control-server waarmee je een degelijke aanval kunt uitvoeren. Voor nog een paar tientjes méér wordt de capaciteit van verkeer groter en de duur van de aanval langer.

De grens tussen kattenkwaad van kwajongens met wat extra zakgeld en een malafide aanval is klein. Voor een bedrijf maakt het echter weinig verschil. Een tooltje dat voor een paar tientjes online staat kan net zoveel schade opleveren als een legitieme aanval.

Afpersing

Er bestaan daarentegen ook hackersgroepen die DDoS-aanvallen op geraffineerde wijze inzetten voor afpersing. Groepen zoals het Amada Collective of DD4BC (‘DDoS for Bitcoin’) sturen DDoS-aanvallen op bedrijven af tot zij betalen – meestal met moeilijk te traceren bitcoins.

“Bedrijven krijgen soms uit het niets een mail. ‘Waarschuwing: over een uur leggen we je servers plat, tenzij je betaalt’, lees je dan”, vertelt Christiaan Beek, lead scientist bij McAfee.

Zulke afpersing heeft veel parallelen met ransomware. Voor bedrijven komt het dan neer op een simpele rekensom: hoe hoog zijn de kosten als je een uur onbereikbaar bent, en hoe hoog is de losgeldeis? Vaak is het voordeliger om tandenknarsend voor het laatste te kiezen. Je hebt dan natuurlijk nooit de garantie dat de aanval stopt – of dat je in de toekomst niet nóg eens getroffen wordt.

Schadeberekening

Doorgaans valt de schade van een DDoS-aanval wel mee. Er worden geen gegevens vernietigd of gestolen, er worden geen systemen permanent stuk gemaakt… De overlast (en daarmee de kosten van een aanval) duren net zo lang als de aanval duurt. Bij de grote aanvallen van eind januari konden klanten bijvoorbeeld enkele avonden geen gebruik maken van de bankdiensten. Vervelend, frustrerend… Maar niet onoverkomelijk.

Dat maakt de kosten van DDoS-bescherming relatief makkelijk te berekenen. De uren dat werknemers niet kunnen werken of het gemiddelde aantal orders dat een webshop normaal per uur verwerkt zijn de belangrijkste kosten die je maakt. Tel daarbij nog een paar variabele kosten op zoals die van je systeembeheerders, en je hebt een goede berekening.

Daardoor is het ook relatief simpel te berekenen hoeveel je als bedrijf kunt investeren in maatregelen tegen DDoS-aanvallen.

Voorbereiding

Toch moet je daar niet te licht over denken, zegt ceo Ali Niknam van bunq. Een goede voorbereiding is volgens hem essentieel. “Vergelijk het met brandveiligheid. Rookmelders zijn heel handig, maar niet als je ze pas ophangt als de brand net is uitgebroken.” Hij heeft enkele handige tips voor bedrijven. Die gaan voornamelijk over het opstellen van de juiste processen om je tegen zulke aanvallen te beschermen.

“Weet wat je moet doen bij een aanval. Stel een protocol op waarin al je medewerkers weten wat hun rol is.” Ook is het volgens Niknam slim om ook de zwakke plekken in je systemen te kennen, en welke apparatuur je moet inschakelen tijdens een aanval. “Dan ben je al een heel eind.”

Maar de belangrijkste tip van Niknam is dat IT-beveiliging in het dna van je bedrijf moet zitten. “De hele organisatie moet daar op één of andere manier mee bezig zijn.” Bij SoftwareZaken zien we dat grote partijen dit doen door een beveiligingsbeleid volgens ISO 27001 op te stellen. Voor middelgrote of kleinere partijen is Security Verified een goede totaal-aanpak op organisatieniveau.

Samenwerking

Daarnaast pleiten veel betrokkenen voor betere samenwerking met elkaar. Het bedrijfsleven, maar ook providers, beveiligingsexperts en -bedrijven én de politie hebben er baat bij in gesprek te gaan en elkaar te helpen. Begin april schreven security-experts bijvoorbeeld een open brief waarin ze stellen dat samenwerking tussen de commerciële sector en de overheid essentieel is. Informatie uitwisselen is daarbij belangrijk. De experts willen bijvoorbeeld DDoS-logs uitwisselen en er fingerprints van maken, honeypots inzetten om besmette IoT-apparaten in kaart te brengen, en crawlers gebruiken die online zoeken naar websites die aanvalspakketten verkopen.

Wasstraat

Er bestaan inmiddels steeds meer van zulke collectieven, zoals Nationale Beheersorganisatie Internet Providers (NBIP). Die bieden een zogeheten ‘wasstraat’ aan. Daarmee wordt internetverkeer geanalyseerd op opvallend gedrag (zoals een hoge hoeveelheid verkeer bij een DDoS-aanval, of het gebruik van SQL-injecties). Het malafide verkeer wordt met zo’n wasstraat omgeleid zodat alleen het legitieme verkeer doorkomt. “Daar maken wij ook gebruik van”, zegt Ali Niknam van bunq. “Het is niet goedkoop, maar wel erg veilig.”

Afbeelding: Wikimedia Commons

Tijs Hofmans
Author: Tijs Hofmans
Tijs Hofmans is tech- en ruimtevaartjournalist. Hij schrijft voor diverse techtijdschriften en -websites, en is als freelancer verbonden aan SoftwareZaken om te schrijven over privacy en security. Hij is te bereiken via https://www.tijshofmans.nl