Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Van koppen als “DDoS-aanvallen steeds kleiner en korter” tot “Azure weerstaat grootste DDoS-aanval ooit”: DDoS-aanvallen zijn aan het veranderen. Wat voor invloed heeft dat op het voorkomen van een DDoS-aanval?

Voor we dieper ingaan op DDoS Mitigation (een DDoS-aanval voorkomen of verhelpen) best practices, eerst wat meer over DDoS zelf. Want wat is een DDoS-aanval precies?
 

Dit is een DDoS-aanval

Het doel van een (Distributed) Denial-of-Service-aanval is online diensten niet (of slecht) bereikbaar te maken voor gebruikers. Dat doen aanvaller door er een overload aan verkeer eropaf te sturen. Zo’n DDoS-aanval heeft dus vaak netwerkapparatuur en ondersteunende servers van online diensten als doelwit.

In een tijd waarin veel processen afhankelijk zijn van online diensten, is een DDoS-aanval een dreiging voor veel organisaties. Niet alleen online dienstverleners, maar ook de klanten die er gebruik van maken. Denk bijvoorbeeld het mislopen van inkomsten wanneer een betaaldienst niet werkt. Een DDoS-aanval heeft bijna altijd invloed op de continuïteit van een organisatie.
 

De veranderende DDoS-aanvallen

Wie de berichtgeving over DDoS-aanvallen in de gaten houdt, valt iets op. Namelijk dat de hoeveelheid kleine korte aanvallen groeit, en de grote aanvallen kolossaler zijn dan ooit. Interessant, want we hebben een tijd gekend waarin grote aanvallen de norm was.

Er lijkt een verschuiving gaande te zijn: meer kleine aanvallen en grotere doelgerichte aanvallen. Aanvallers kiezen waarschijnlijk steeds vaker voor klein om detectiesystemen (op basis van signatures) te omzeilen. Zo’n kleine aanval valt bij dit soort systemen minder snel op.

Daar tegenover staat dat de grote aanvallen steeds groter zijn. Waar een kleine al snel minder dan 10 Gbps is, was de recente aanval op een Azure-klant wel 2,4Tbps en had Akamai vorig jaar te maken met een aanval van 2,3Tbps.
 

Klein, maar niet onschuldig

Een “kleine aanval” klinkt als een minder schadelijke aanval. Maar is dat wel zo? Helaas: in het geval van een DDoS-aanval is zo’n kleine aanval nog altijd van flinke hinder. Het doel van aanvallers is de boel overbelasten. Of ze dat nu met 200Gbps, 2Tbps, of maar 10Gbps bereiken, maakt ze niet uit. Het ligt er maar net aan hoeveel het doelwit aankan.

Voorheen speelden aanvallers op “safe” door hoe dan ook voor de gigantische bulkloads te gaan. Zo wisten ze zeker dat de boel bij iedereen bezweek. Providers hebben inmiddels alleen al zoveel maatregelen getroffen, dat deze grote bulkloads bijna altijd gedetecteerd worden. Die kleinere loads van onder de 10Gbps niet: ze overbelasten servers, zonder direct op te vallen.

In de praktijk blijken deze kleine loads voldoende voor succesvolle aanvallen. Daarom is het tijdperk van giga-bulkloads op zijn retour, maar blijft de DDoS dreiging aanwezig.
 

Waarom DDoS aanvallen?

Inmiddels weten de meesten dat geld hetgeen is dat cybercriminelen hoofdzakelijk drijft. Vaak is data de buit die ze te koop zetten. Of ze vragen om losgeld. Maar hoe zit dat bij een DDoS, waarbij er geen buit zoals data is? DDoS’en zijn er vooral om te saboteren: om de concurrent onderuit te halen, bijvoorbeeld. Of uit activisme. Aanvallers verdienen doorgaans geld aan een DDoS door o.a. “DDoS-as-a-service” te aan te bieden op het dark web.
 

Beste manieren om een DDoS aanval te voorkomen

Nu komen we bij de best practices om DDoS-aanvallen te voorkomen aan. De nare waarheid is alleen: die zijn er niet zoveel. Althans, niet vanuit cybersecurity oogpunt. We zouden liegen als we beweren dat – bijvoorbeeld – een Firewall hier tegen helpt. Een Firewall is enorm veel waard: maar dan wel bij andere dreigingen, niet bij een DDoS.

Er zijn genoeg lijstjes met DDoS Mitigation tips te vinden op het web. Maar eerlijk? Die zijn uw tijd niet echt waard. Deze investeringen leveren vaak te weinig preventie op, zeker in vergelijking tot de (tijds)investering die ervoor nodig is.
 

Raadpleeg uw hostingprovider

Een DDoS aanval is wat dat betreft dus een vreemde eend in de bijt. Hostingproviders weten er alles van. Letterlijk. Wilt u zeker weten dat u er alles aan hebt gedaan de kans op continuïteitsschade na een DDoS te verkleinen? Neem dan contact op met uw hostingproviders. Vraag wat voor maatregelen ze hebben getroffen (of aanbieden).

Hoe zit het met de detectie van een bulkload? Bespreek ook mogelijkheden zoals Cloudflare. Die voorkomen DDoS-aanvallen niet, maar het zijn wel een oplossingen die verkeer in een wachtrij naar binnen laat.

Verder biedt Imperva tegenwoordig een DDoS Protection oplossing die bulkloads omleidt via hun eigen servers.
 

Bent u wel of geen DDoS doelwit?

Om u wel even gerust te stellen: niet elke organisatie is een DDoS doelwit. Ga dus zeker bij uzelf na wat voor impact een DDoS aanval zou hebben en hoe ver u moet gaan in het voorkomen ervan. In het geval van veel organisaties betekent het namelijk enkel dat een e-mail service even niet beschikbaar is op kantoor. Het gevolg is dan tijdelijk thuiswerken. Dat is goed te overzien.

Is een website de core business van een organisatie? Bijvoorbeeld SaaS-diensten of webshops? Dan is het interessant om uw hostingprovider eens te spreken over DDoS-aanvallen. Want in dat geval betekent een storing in de service natuurlijk een storing in de omzet en/of klantervaring.
 

Cyber security en bedrijfscontinuïteit

Heeft u vragen over dit artikel? Of zou u meer willen weten over cyber security en bedrijfscontinuïteit? Bel of mail ons dan (uiteraard vrijblijvend) voor meer informatie!

Veel bedrijven gebruiken Office 365 voor hun e-mailcommunicatie. De cloud brengt vele voordelen met zich mee: maar ook een aantal uitdagingen op security-gebied. In dit artikel geef ik een paar eenvoudig toe te passen tips om bedrijven te helpen hun Office 365 omgeving beter te beveiligen. En: zo e-mail hacks te voorkomen.

Hoe simpel is een e-mail hack?

Er wordt vaak gedacht dat hacken ingewikkeld is. Dat Microsoft zijn zaken wel zo goed op orde heeft dat een hack eigenlijk niet eens plaats kan vinden. Dat is slechts ten dele waar: een hack hoeft helaas helemaal niet zo ingewikkeld te zijn, ook niet in het geval van Office 365. Soms is er zelfs amper technische kennis voor nodig.
 

Datalekken via Office 365

Zo ontdekten we een tijd geleden bij een bedrijf dat alle mails die de CFO ontving direct werden doorgestuurd naar een extern en onbekend e-mailadres. Dit gebeurde niet via de forwarding rules, maar op het niveau van de mailbox op Office 365. Hoe lang dit al gaande was? Dat was niet duidelijk. Maar waarschijnlijk was er al veel informatie naar buiten gelekt.

Wat veel beheerders niet weten, is dat Office 365 diverse mogelijkheden heeft om hen te helpen dit soort aanpassingen te detecteren. Dit is echter niet standaard ingeschakeld!

Hoe u Office 365 zo instelt dat u wel op de hoogte blijft van al deze aanpassingen? Ik leg hieronder stap voor stap uit hoe u dit doet, samen met nog een aantal andere tips tegen e-mail hacks.
 

1. Audit logs & alarmen inschakelen

Om op de hoogte te blijven van verdachte activiteiten binnen de Office 365-omgeving, is het mogelijk Audit logs en Alarmen in te schakelen. Dit zijn standaard functionaliteiten binnen Office 365 en dus voor iedereen toegankelijk.

Het instellen gaat als volgt: Ga in Office 365 naar “Security & Compliance”. Open het search menu en klik op “Audit log search”. Als het goed is komt u uit op de zoekpagina waar normaal gezien de audit logs staan. Is het opslaan van deze logs nog niet ingeschakeld? Dan zal Office 365 dit hier melden en de optie geven dit alsnog direct in te schakelen. (let op: de audit logs worden 24 uur na inschakeling pas zichtbaar)

Wanneer auditing is ingeschakeld, hebt u ook de mogelijkheid “Alert policies” te maken. Die alerts triggeren bij bepaalde gebeurtenissen: zowel op gebruikers- als organisatieniveau. Om een alarm te maken voor het instellen van een forward op een mailbox gaat u naar Alerts/Alert policies.

Hieronder een voorbeeld van hoe u deze zou kunnen instellen:

2. Phishing-mails namens directie ontmaskeren

Tegenwoordig zien we erg veel phishingaanvallen waarbij aanvallers zich voordoen als iemand binnen de organisatie. Zo verzenden ze bijvoorbeeld mails met verzoeken om geld over te maken vanaf een mailadres dat sterk lijkt op die van de directeur. Uiteraard met de naam van de directeur als afzender.

Om te voorkomen dat valse externe e-mails voor echt worden aangezien, is het mogelijk een titel-extensie toe te voegen. Denk bijvoorbeeld aan de tekst [External]. Op deze manier kan altijd direct herkent worden of een email van buiten de organisatie komt. Hieronder een voorbeeld:

Dit is heel eenvoudig in te stellen door in Office 365 een transport rule te maken. Deze ziet er als volgt uit:

3. Basic Authentication uitschakelen

De oude authenticatie methode van Microsoft is niet de meest veilige. De zogenoemde “Basic Authentication” maakt uw e-mail client kwetsbaar voor brute force of password spray aanvallen. Gelukkig heeft Microsoft inmiddels Modern Authentication toegevoegd en plant in Oktober 2020 Basic Authentication volledig uit te schakelen.

Ons advies is om nu al gebruik te maken van Modern Authentication. Dat is een stuk veiliger. Daarnaast voorkomt u dat uw organisatie in Oktober tegen problemen aanloopt als Basic Authentication “ineens” niet meer werkt.

In de praktijk heeft het wegvallen van Basic Authentication waarschijnlijk niet veel impact op organisaties die gebruik maken van modernere applicaties en telefoons. Vanaf Office 2013 wordt het nieuwe Modern Authentication ondersteund. Opmerking hierbij is wel dat er voor Office 2013 eerst een register sleutel moet worden toegevoegd.

Zijn er nog oudere toestellen in gebruik? Ook voor legacy gebruikers is er een oplossing door simpelweg de Outlook app te gaan gebruiken.

Om Basic Authentication uit te schakelen is het mogelijk om binnen Azure de “Security defaults” in te schakelen. Dit schakelt ook de Basic authenticaiton uit.

Lees hier meer over security defaults.

Uiteraard adviseren we ook om eerst alle eisen voor het uitschakelen van Basic Authentication goed door te lezen. In dit artikel is alles terug te vinden over Basic Authentication.
 

4. Uitschakelen ongebruikte protocollen

Standaard bevat Office 365 nog een aantal (oude) protocollen welke bij veel organisatie niet, of zeer beperkt worden gebruikt. Het is aan te raden deze protocollen in zijn geheel uit te schakelen of slechts voor de noodzakelijke accounts actief te laten.

Het gaat hierbij om de volgende protocollen:

Het uitschakelen van deze protocollen kan per user via de Exchange Management console (behalve SMTP authentication).

Het is ook mogelijk dit via powershell uit te voeren op grote schaal:

Per user

Set-CASMailbox -Identity printer@domain.onmicrosoft.com -ImapEnabled $false – MapiEnabled $false -PopEnabled $false -SmtpClientAuthenticationDisabled $true

Alle bestaande users

Get-CasMailbox | set-CasMailbox -ImapEnabled $false -PopEnabled $false -MapiEnabled $false -SmtpClientAuthenticationDisabled $true

Voor alle toekomstige users

Get-CASMailboxPlan | set-CASMailboxPlan -ImapEnabled $false -PopEnabled $false -MapiEnabled $false -SmtpClientAuthenticationDisabled $true
 

5. Admin-account beheer optimaliseren

Elke Office 365-omgeving krijgt een standaard admin-account met het “onmicrosoft”-domein. Meestal gaan IT-beheerders vanuit dit account de Office 365-omgeving optuigen en koppelen ze vervolgens het bedrijfsdomein.

Vaak koppelen ze het domein middels SAML aan ADFS en hebben ze hun ADFS additioneel beveiligd met 2FA. Dit zijn goede beveiligingen. Echter, SAML-connecties worden per domein gemaakt: het “onmicrosoft”-domein – dat vaak actief wordt gehouden – is daardoor dan niet beveiligd.

Denk ook aan het admin-account van testdomeinen: als deze ook niet goed beveiligd zijn, kunnen aanvallers deze misbruiken om bij data te komen.

Controleer daarom altijd of er geen admin-account actief is op het “onmicrosoft”-domein of een testdomein. Configureer vervolgens een alert zoals eerder beschreven, om een melding te sturen wanneer er een nieuw account met admin-rechten wordt toegevoegd. Op deze manier hou je de controle over de admin-accounts in Office 365.
 

6. Admin rol splitsen

Net zo belangrijk is het splitsen van de admin rol. Actieve mailbox accounts mogen nooit admin zijn in Office 365. Maak dan ook altijd een los account aan voor admin activiteiten. Dit account hoeft niet voorzien te zijn van een licentie en is daarom dus gratis.

Bijvoorbeeld: de beheerder gebruikt voor mails voorbeeld@ip4sure.nl. Als de gebruiker als admin in Office 365 moet zijn logt deze in met admin-voorbeeld@ip4sure.nl. Uiteraard is ook het admin account voorzien van een sterk wachtwoord en 2FA.

Meer informatie over een veilige Office 365 omgeving?
Met deze simpele tips hopen wij beheerders te helpen hun omgeving veiliger te maken. Deze tips zijn (uiteraard) niet voldoende om alle informatie in Office 365 te beveiligen, maar het zijn snelle en gemakkelijke stappen om de beveiliging te verbeteren.

Mocht u hulp nodig hebben of uitgebreidere beveiligingsopties willen gebruiken dan, neem dan contact met ons op via 040-2444666 of info@ip4sure.nl.

In 2019 publiceerden we al eerder een blog over Office 365 hacks. Dit artikel is een up-to-date versie ervan.

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*

Aanmelden voor de webinar:

"*" geeft vereiste velden aan

Naam*
Privacy policy*