CYBER SECURITY.
CYBER SECURITY.
Pentests
Preventie
Inzicht
Cyberlab

De (echte) best practices voor DDoS Mitigation

Van koppen als “DDoS-aanvallen steeds kleiner en korter” tot “Azure weerstaat grootste DDoS-aanval ooit”: DDoS-aanvallen zijn aan het veranderen. Wat voor invloed heeft dat op de DDoS Mitigation?
24 november, 2021

Voor we dieper ingaan op DDoS Mitigation best practices (het tegengaan van DDoS aanvallen), eerst wat meer over DDoS zelf. Want wat is een DDoS-aanval precies?
 

Dit is een DDoS-aanval

Het doel van een (Distributed) Denial-of-Service-aanval is online diensten niet (of slecht) bereikbaar te maken voor gebruikers. Dat doen aanvaller door er een overload aan verkeer eropaf te sturen. Zo’n DDoS aanval heeft dus vaak netwerkapparatuur en ondersteunende servers van online diensten als doelwit.

In een tijd waarin veel processen afhankelijk zijn van online diensten, is een DDoS-aanval een dreiging voor veel organisaties. Niet alleen online dienstverleners, maar ook de klanten die er gebruik van maken. Denk bijvoorbeeld het mislopen van inkomsten wanneer een betaaldienst niet werkt. Een DDoS-aanval heeft bijna altijd invloed op de continuïteit van een organisatie.
 

De veranderende DDoS-aanvallen

Wie de berichtgeving over DDoS-aanvallen in de gaten houdt, valt iets op. Namelijk dat de hoeveelheid kleine korte aanvallen groeit, en de grote aanvallen kolossaler zijn dan ooit. Interessant, want we hebben een tijd gekend waarin grote aanvallen de norm was.

Er lijkt een verschuiving gaande te zijn: meer kleine aanvallen en grotere doelgerichte aanvallen. Aanvallers kiezen waarschijnlijk steeds vaker voor klein om detectiesystemen (op basis van signatures) te omzeilen. Zo’n kleine aanval valt bij dit soort systemen minder snel op.

Daar tegenover staat dat de grote aanvallen steeds groter zijn. Waar een kleine al snel minder dan 10 Gbps is, was de recente aanval op een Azure-klant wel 2,4Tbps en had Akamai vorig jaar te maken met een aanval van 2,3Tbps.
 

Klein, maar niet onschuldig

Een “kleine aanval” klinkt als een minder schadelijke aanval. Maar is dat wel zo? Helaas: in het geval van een DDoS-aanval is zo’n kleine aanval nog altijd van flinke hinder. Het doel van aanvallers is de boel overbelasten. Of ze dat nu met 200Gbps, 2Tbps, of maar 10Gbps bereiken, maakt ze niet uit. Het ligt er maar net aan hoeveel het doelwit aankan.

Voorheen speelden aanvallers op “safe” door hoe dan ook voor de gigantische bulkloads te gaan. Zo wisten ze zeker dat de boel bij iedereen bezweek. Providers hebben inmiddels alleen al zoveel maatregelen getroffen, dat deze grote bulkloads bijna altijd gedetecteerd worden. Die kleinere loads van onder de 10Gbps niet: ze overbelasten servers, zonder direct op te vallen.

In de praktijk blijken deze kleine loads voldoende voor succesvolle aanvallen. Daarom is het tijdperk van giga-bulkloads op zijn retour, maar blijft de DDoS dreiging aanwezig.
 

Waarom DDoS aanvallen?

Inmiddels weten de meesten dat geld hetgeen is dat cybercriminelen hoofdzakelijk drijft. Vaak is data de buit die ze te koop zetten. Of ze vragen om losgeld. Maar hoe zit dat bij een DDoS, waarbij er geen buit zoals data is? DDoS’en zijn er vooral om te saboteren: om de concurrent onderuit te halen, bijvoorbeeld. Of uit activisme. Aanvallers verdienen doorgaans geld aan een DDoS door o.a. “DDoS-as-a-service” te aan te bieden op het dark web.
 

Best practices bij een DDoS

Nu komen we bij de best practices op het gebied van DDoS Mitigation aan. De nare waarheid is alleen: die zijn er niet zoveel. Althans, niet vanuit cybersecurity oogpunt. We zouden liegen als we beweren dat – bijvoorbeeld – een Firewall hier tegen helpt. Een Firewall is enorm veel waard: maar dan wel bij andere dreigingen, niet bij een DDoS.

Er zijn genoeg lijstjes met DDoS Mitigation tips te vinden op het web. Maar eerlijk? Die zijn uw tijd niet echt waard. Deze investeringen leveren vaak te weinig preventie op, zeker in vergelijking tot de (tijds)investering die ervoor nodig is.
 

Raadpleeg uw hostingprovider

Een DDoS is wat dat betreft dus een vreemde eend in de bijt. Hostingproviders weten er alles van. Letterlijk. Wilt u zeker weten dat u er alles aan hebt gedaan de kans op continuïteitsschade na een DDoS te verkleinen? Neem dan contact op met uw hostingproviders. Vraag wat voor maatregelen ze hebben getroffen (of aanbieden).

Hoe zit het met de detectie van een bulkload? Bespreek ook mogelijkheden zoals Cloudflare. Die voorkomen DDoS-aanvallen niet, maar het zijn wel een oplossingen die verkeer in een wachtrij naar binnen laat.
 

Bent u wel of geen DDoS doelwit?

Om u wel even gerust te stellen: niet elke organisatie is een DDoS doelwit. Ga dus zeker bij uzelf na wat voor impact een DDoS zou hebben. In het geval van veel organisaties betekent het namelijk enkel dat een e-mail service even niet beschikbaar is op kantoor. Het gevolg is dan tijdelijk thuiswerken. Dat is goed te overzien.

Is een website de core business van een organisatie? Bijvoorbeeld SaaS-diensten of webshops? Dan is het interessant om uw hostingprovider eens te spreken over DDoS-aanvallen. Want in dat geval betekent een storing in de service natuurlijk een storing in de omzet en/of klantervaring.
 

Cyber security en bedrijfscontinuïteit

Heeft u vragen over dit artikel? Of zou u meer willen weten over cyber security en bedrijfscontinuïteit? Bel of mail ons dan (uiteraard vrijblijvend) voor meer informatie!

 

Meer kennis over cyber security?

Neem vrijblijvend contact met ons op als u vragen hebt.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor