DDoS-aanvallen: hoe stoppen we deze hardnekkige plaag?

28 november 2018 - Het Nederlandse bedrijfsleven en de overheid worden al jaren om de haverklap getroffen door DDoS-aanvallen. Eind mei was het weer raak, dit keer bij Rabobank en ABN AMRO. Ondanks forse investeringen in security is deze dreiging groter dan ooit. Hoe komt dat toch?

Cybersecurity expert Bastiaan Bakker van Motiv geeft antwoord.
Bakker begint te vertellen: "Bedrijven investeren op grote schaal in anti-DDoS-middelen zoals ‘wasstraten’ en content delivery networks die aanvallen kunnen afslaan. Toch richten DDoS-aanvallers nog altijd veel schade aan. Bovendien lijkt er geen maat te zitten op de vuurkracht van aanvallers. In maart werd GitHub zelfs getroffen door de krachtigste DDoS-aanval ooit met een piek van 1,35 terabyte per seconde.
Een belangrijke oorzaak is de inleertijd die bijvoorbeeld een wasstraat nodig heeft om DDoS-verkeer te kunnen herkennen en filteren uit het gangbare netwerkverkeer. Hoe slimmer de DDoS-aanval, hoe lastiger het is om een antimiddel te maken waarmee de DDoS-aanval kan worden herkend en gestopt. En als de inleerperiode langer duurt, geldt dat ook voor de systeemuitval."

Vier trends
Maar dat is slechts een deel van het verhaal. De strijd tegen DDoS-aanvallen wordt eveneens bemoeilijkt door vier andere trends:

1. Aanvallen op applicatieniveau
"In plaats van de infrastructuur van bijvoorbeeld een webwinkel te belasten met een volumeaanval, proberen cybercriminelen nu om met vele gebruikers tegelijkertijd daadwerkelijk te winkelen. De aanvaller meldt zich netjes aan als gebruiker van de pagina, waardoor een versleutelde verbinding (SSL) wordt opgezet.
Bij een groot aantal versleutelde verbindingen wordt niet zozeer de infrastructuur belast, maar kan de webservice het aantal gebruikers niet meer tegelijkertijd verwerken. Extra nadelig is dat de wasstraat ongewenst DDoS-verkeer heel moeilijk kan onderscheiden van gewenst verkeer van de gewone bezoekers," aldus Bakker

2. Sophisticated DDoS-aanvallen
Aanvallers gaan steeds verfijnder en strategischer te werk. Bakker legt uit: "Ze proberen verschillende complexe verzoeken uit en testen het effect. De hacker vraagt in een webwinkel bijvoorbeeld alle producten met zout op, of laat de webserver van een reisplanner het traject tussen Amsterdam en Tokio uitstippelen met vier keer overstappen.
De meest effectieve aanvraag wordt op grote schaal ingezet. Op die manier wordt niet de website zelf lamgelegd, maar de achterliggende systemen die de verzoeken of transacties verwerken."

3. Cloudcomputing en online processen
"We zien een verschuiving van het traditionele model van webservices met afgeschermde intelligente applicaties voor dataverwerking en databases naar platformen met microservices die via cloudplatformen worden aangeboden. Hiermee groeit het aanvalsoppervlak en ontstaan meer potentiële zwakke plekken die nog niet zijn voorzien van afschermende maatregelen.
Ook maken webapplicaties steeds vaker gebruik van een API-gateway. Toegevoegde waarde van zo’n gateway is dat apps ook de content van bijvoorbeeld de webwinkel kunnen gebruiken. Maar de API-gateway zelf is eveneens kwetsbaar voor DDoS-aanvallen."

4. Aanvallen op de DNS-service
Zodra een gebruiker een URL invoert, zoekt de computer het bijbehorende IP-adres op met behulp van DNS (Domain Name System). Dit systeem is daarmee het telefoonboek op internet: het koppelt de naam aan een nummer. Ook een cybercrimineel kan DNS veelvuldig raadplegen, waardoor het telefoonboek voor anderen onbereikbaar wordt.
Bakker: "Gevolg is dat websites van klanten van de DNS-provider uit de lucht gaan. Deze aanvallen zijn te stoppen door ook de DNS-service te beschermen met een anti-DDoS-dienst."

Hoe nu verder?
Bakker: "Een voor de hand liggende oplossing is het creëren van (nog) meer overcapaciteit. Dat dreigt echter te ontaarden in een ‘race-to-the-bottom’. Ik geloof dan ook vooral in de ontwikkeling van slimmere technieken, zoals algoritmes die aanvallen steeds beter leren af te slaan.
Een ander belangrijk wapen is kennisdeling. Samenwerking met branchegenoten, overheidsinstanties zoals het Nationaal Cyber Security Centrum en securityleveranciers is cruciaal om deze dynamische dreiging het hoofd te bieden."
 

Doorsturen  |  Reageer  |  Nieuwsbrief