De ene bank na de andere kregen recent herhaaldelijk te maken met DDoS aanvallen. ABN Amro, ING, Rabobank, SNS en zelfs organisaties als de Belastingdienst en DigiD, ze kregen het allemaal te verduren. In deze blog gaan we dieper op dit onderwerp in en benadrukken we eventuele risicofactoren in de toekomst.
Wat is dat ook alweer, een DDOS aanval?
Een kleine opfrisser, wat is zo een DDoS aanval ook alweer… De afkorting DDoS staat voor Distributed Denial of Service. Elke infrastructuur die gebruikt wordt voor websites of andere online toepassingen is geschaald op een x aantal gebruikers tegelijkertijd. Uiteraard wordt hierbij rekening gehouden met pieken. Bij een dergelijke aanval komt het erop neer dat de servers van de betreffende website of applicatie bewust overvraagd worden van buitenaf door een zodanig groot aantal computers dat ze als gevolg daarvan ‘down’ gaan. Dit resulteert erin dat de online dienstverlening die geboden wordt door de getroffen partij niet gecontinueerd kan worden. Deze is dan simpelweg niet meer benaderbaar voor de reguliere gebruiker door het grote aantal ‘gebruikers’ die al op de servers aanwezig zijn door de DDoS attack.
Welke gevolgen heeft dit?
Het directe gevolg van zo een aanval is, zoals in de vorige alinea omschreven, dat de website of applicatie niet meer te bereiken is voor de reguliere gebruiker. Dergelijke grote organisaties, zoals de afgelopen periode in het nieuws, hebben een zodanig goede infrastructuur dat de downtime vaak beperkt blijft tot minutenwerk. Dat klinkt niet erg spectaculair, maar toch zijn de indirecte gevolgen een stuk groter. Banken verliezen bijvoorbeeld snel hun waardevolle vertrouwen van de consument als online- en mobiel bankieren onaangekondigd, in relatief korte tijd meermaals down gaat. Als we denken aan de webshop-reuzen dan zou zo een aanval al snel voor duizenden misgelopen euro’s kunnen zorgen. Daarnaast moeten we niet vergeten dat zeker niet alle organisaties (de juiste) maatregelen hebben genomen tegen dergelijke aanvallen. De impact van een DDoS aanval zou dan net zo makkelijk op kunnen lopen van minuten naar uren.
Wie zijn target en waarom?
De beweegredenen van een hacker om een DDoS aanval in gang te zetten zijn zeer divers. Aan de ene kant kunnen het internetcriminelen zijn die een DDoS aanval inzetten om de IT-afdeling van een organisatie bezig te houden en af te leiden, zodat zij vrij(er) baan krijgen om bijvoorbeeld data te stelen waar ze daadwerkelijk op uit zijn. Aan de andere kant kan het net zo goed een verveelde puber zijn die het wel grappig lijkt, al die ophef. Daartussen zitten nog allerlei andere motieven, zoals concurrentie dwarsliggen of ideologische redenen.
De directe operationele impact van een aanval is, onafhankelijk van het doel, doorgaans vergelijkbaar. Het bestaat voornamelijk uit chaos bij de organisatie die aangevallen wordt. Overheidsinstanties en banken zijn een perfect target in de ogen van kwaadwillenden als het gaat om het generen van impact. In welke branche zou een DDoS aanval nog meer grote chaos kunnen veroorzaken? Precies, de zorgsector. De grote vraag is of de IT van de zorgsector en andere risicosectoren hier goed op voorbereid is.
DDoS aanvallen worden steeds geavanceerder door verschillende aanvalstechnieken te combineren. Voor het adequaat afwenden van zulke aanvallen maakt Sentia gebruik van een van de grootste DDoS-wasstraten van ons land en kan zich prima meten aan andere soortgelijke Europese initiatieven. Binnen die oplossing wordt het invalide verkeer van het valide verkeer gescheiden, waarna alleen nog het valide verkeer wordt aangeboden. In aanvulling daarop heeft Sentia detectiemechanismes in haar netwerk waarbij geautomatiseerd het verkeer wordt omgeleid naar de wasstraat, wanneer de dreiging van de aanval serieuze vormen aanneemt. - Joost Peters, Security Officer
Hoe kan een DDOS aanval worden voorkomen?
Voorkomen is beter dan genezen. Helaas is een geavanceerde DDoS aanval lastig te voorkomen, maar er zijn voldoende maatregelen te nemen om de impact tot een minimum te beperken. Beveiligingssoftware zorgt er bijvoorbeeld voor dat alle verkeersstromen, die op het netwerk actief zijn, worden geclassificeerd en gedetecteerd. Op deze manier worden aanvallen vooraf al afgeslagen, zonder dat de eindgebruiker hier iets of veel van merkt. Daarnaast is er monitoring software die proactief signaleert en direct actie onderneemt bij een aanval of verdacht gedrag. Op deze manier kan een zorginstelling operationeel blijven bij een aanval, zonder dat werknemers en patiënten hier iets van merken. Advies en actie ondernemen op dit vlak is daarom, zeker nu in 2018, aan de orde van de dag.
