Transformation in die Cloud - welche Cloud darf es sein?
Security

DDoS-aanvallen - hartstilstand voor IT-systemen

18-sep-2017

DDoS-aanvallen kunnen servers laten crashen - Amazon en Twitter zijn twee in het oog springende voorbeelden. Het aantal aanvallen groeit snel. Hoe kunnen bedrijven zichzelf beschermen?
Hackers use DDoS attacks to crash websites. How can companies protect themselves?
Amazon en Twitter, de blog van Brian Krebs, beveiligingsexpert in de VS en de kantoorwebsite van de Duitse Bondskanselier - de lijst van slachtoffers van DDoS-aanvallen groeit en het aantal aanvallen neemt toe. Volgens een DDoS-enquête van IDG Connect, hebben bedrijven elk jaar last van meer dan 15 DDoS-aanvallen elk jaar en zijn systemen gemiddeld 17 uur offline.

Ernstige gevolgen voor bedrijven

Het principe achter DDoS-aanvallen is even eenvoudig als succesvol. En pijnlijk voor de slachtoffers. Cybercriminelen sluizen meer dataverkeer naar een IP-adres dan het kan verwerken en leggen zo de servers plat. In september 2016 stuurden hackers ongeveer 1 terabyte aan verkeer per seconde naar de server van een Franse host en verbraken daarmee eerdere datarecords.
De gevolgen van een DDoS-aanval kunnen ernstig zijn. Online winkels zijn onbereikbaar, e-mailservers kunnen geen berichten verzenden of ontvangen en werknemers onbereikbaar. Het verlies van inkomsten en de reputatieschade kan het bedrijf permanent benadelen en een impact hebben op klantvertrouwen. DDoS-aanvallen kunnen soms gevolgd worden door pogingen om te chanteren - de aanvallers dreigen nogmaals toe te slaan op de systemen. 

Verbonden apparaten betrokken bij DDoS-aanvallen

Waar het vroeger moeilijk was om één doelwit te overspoelen met grote hoeveelheden data, lijken verbonden apparaten in het IoT nu aan hackers geheel nieuwe mogelijkheden te bieden voor een DDoS-aanval. Videocamera's, verwarmingsbesturing of ontvangers - elk apparaat dat met het Internet verbonden is, bevat een kleine processor. Hoewel individuele apparaten niet bijzonder krachtig zijn, kunnen hackers deze gemakkelijk bundelen en omzetten in botnets, die dan servers bombarderen met tienduizenden transmissies per seconde. Criminelen hoeven niet eens geavanceerde IT-kennis te hebben om zo'n aanval uit te voeren. De tools voor DDoS-aanvallen kunnen op internet gekocht worden. 

Verschillende manieren om DDoS-aanvallen af te weren

Meer dan een derde van de 250 IT-beleidsvormers en consultants die ondervraagd werden door Link11 en TeleTrusT gaven in het onderzoek aan dat ze slachtoffer waren geworden van DDoS-aanvallen. Hoe kunnen zij hun systemen beter beschermen? Veel IT-afdelingen denken dat ze machteloos staan tegen zulke aanvallen, omdat zelfs speciale firewalls ze niet tegen kunnen houden. Ze kunnen misschien voorkomen dat een aanval de servers bereikt. Om dat voor elkaar te krijgen, moeten ze echter de poorten sluiten en toegang voor al het webverkeer blokkeren. 

Dataverkeer filteren in de backbone

Providers kunnen een alternatief bieden. Zij kunnen dataverkeer in de backbone van het netwerk analyseren en verkeer uitschakelen als ze detecteren dat er ongebruikelijk hoge volumes verkeer naar één IP-adres gaan. De provider kan de gebruikte methodes nauwkeurig coördineren met het bedrijf dat doelwit is. Door middel van de 'zwarte gat' methode, bijvoorbeeld, wissen experts al het verkeer dat naar een IP-adres gaat en dat niet door de klant gebruikt wordt. Daarmee wordt de verbinding vrijgemaakt. Filterlijsten hebben ook een nuttig effect. Het bedrijf geeft aan welke afzenders toestemming hebben om toegang te krijgen tot de verbinding en alle andere verzoeken worden verwijderd. Een andere manier is een soort virtuele machine die schadelijke IP-pakketten in het dataverkeer van de klant aanmerkt en weggooit, zodat alleen schoon verkeer het klantsysteem bereikt en het bedrijf kan werken zonder onderbreking.

De verbinding monitoren en op aanvallen reageren

Wanneer een bedrijf een DDoS-aanval detecteert, moet het z.s.m. contact op nemen met de provider zodat afweermaatregelen genomen kunnen worden en de schade geminimaliseerd. Experts zullen de verbinding, die soms weken kan duren, gedurende de aanval monitoren. Hierdoor zijn ze in staat hun werkwijze aan te passen als de cybercriminelen hun tactiek veranderen. Zodra de aanval afneemt, zal de provider terugkeren naar de oorspronkelijke routing en heeft de klant weer een transparante internetverbinding. Filterlijsten kunnen actief blijven. 
De provider kan alleen een DDoS-aanval afweren als de verbinding al onder vuur ligt. Een voorbereidende maatregel is daarom noodzakelijk: het bedrijf en de provider kunnen bijvoorbeeld vooraf samenwerken om te specificeren welke methodes gebruikt moeten worden en om noodnummers uit te wisselen.