Bijna geen dag gaat voorbij of de Nederlandse pers maakt melding van DDoS-aanvallen waardoor de dienstverlening van ondernemers, overheden of instellingen ernstig wordt gehinderd. De indruk die ontstaat is dat dit soort aanvallen in omvang en aantal alleen maar toeneemt. ChannelConnect vroeg vier deskundigen om een reactie.
Op de vraag of er sprake is van een toename in DDos- aanvallen volgde in de telefoongesprekken en e-mails uiteenlopende antwoorden. CEO en medeoprichter van Serverius Gijs van Gemert reageerde met een tegenvraag: “Wat is een DDoS-aanval en wat is protectie?” Die vraag blijkt minstens zo belangrijk. Voor sommigen is het hebben van een schoon netwerk de protectie. Anderen, zoals Serverius, richten zich op het bereikbaar houden van applicaties. Er is dus verschil in wat er beschermd moet worden. Dat bepaalt de manier waarop je naar aanvallen kijkt. Het verklaart volgens Van Gemert ook waarom er verschillende signalen over de omvang en aantallen aanvallen worden afgegeven. “Wij zien in ieder geval geen toename van het aantal en volume van aanvallen.”
Volgens Van Gemert zijn daarvoor twee ontwikkelingen medeverantwoordelijk. De eerste is dat de grotere carriers – de partijen die de bulk van het internetverkeer afhandelen – inmiddels zien dat ze ook een rol te vervullen hebben. Het zijn hun klanten die misbruikt worden om onbedoeld dergelijke aanvallen uit te voeren. Als voorbeeld noemt hij carriers met veel verkeer van consumentenproviders. Daar zitten de kwetsbare en besmette computers en routers die voor DDoS-aanvallen essentieel zijn. De tweede reden is dat de techniek steeds beter wordt. “Windowsupdates kun je bijna niet meer uitzetten”, legt hij uit. “Dat lijkt een detail, maar heeft wel een enorme impact op het veilig houden van thuiscomputers en netwerken. Daardoor vervalt het absolute gemak waarmee een botnet kan worden opgebouwd en onderhouden om DDoS-aanvallen uit te voeren.”
Wat is een DDoS-aanval en wat is protectie?
Eric Bais van A2B-Internet deelt de mening van Van Gemert als het gaat om het aantal en volume. “Echte grote aanvallen zijn nog steeds mogelijk, maar we zien die niet veel. De mondiale DDoS-protectieaanbieders kunnen dat redelijk het hoofd bieden door met name het UDP-verkeer weg te filteren en te verspreiden. Die methode werkt.” Het is volgens hem makkelijker en sneller aanvallen uit te voeren die net tegen of over de capaciteit van het doelwit zitten. Dat is ook wat Octavia de Weerdt van NaWas signaleert. Volgens Wim Zandee van F5 is er wel sprake van een toename van het aantal aanvallen.
Ook bij het volume ziet hij nog een toename, maar daardoor moet de markt zich niet laten afleiden. “Het neemt namelijk niet weg dat er ook enorm veel kleinere DDoS-aanvallen zijn die wellicht aan de aandacht ontsnappen”, aldus Zandee en geeft daarvoor als verklaring dat veel systemen pas een DDoS-aanval als zodanig herkennen als deze een bepaalde grootte van volume heeft.
Het idee dat de DDoS-aanvallen in elk opzicht toenemen, zoals in de pers wordt gesuggereerd, lijkt derhalve toe te zijn aan een revisie. Wat de antwoorden duidelijk maken is dat er op verschillende manieren naar het onderwerp gekeken kan worden.
Trends
Vervolgens werd gevraagd welke trends men ziet. Zandee noemt er twee. Als eerste trend wijst hij op het gebruik van Botnet assisted attacks en IoT-devices als Botnets. “Met Mirai zagen we aanvallen met tot dan toe ongekende aantallen en grootte. Ook de gelaagdheid en de verfijning was uniek. Door de opkomst van slecht beveiligde en niet te updaten IoT-apparatuur ligt hier een grote toekomstige vijand voor ons op de loer”, vertelt hij en voegt daar aan toe dat die IoT-apparaten een andere taal met elkaar spreken op gebied van protocollen. “Het is dus zaak deze IoT-protocollen goed te blijven volgen en hier securitymaatregelen voor te nemen.”
Echte grote aanvallen zijn nog steeds mogelijk, maar we zien die niet veel
De tweede trend is volgens Zandee dat steeds meer van de informatiestromen versleuteld is. Ongeveer zestig tot zeventig procent van de communicatie is nu al encrypted en dat wordt alleen maar meer. Door de toename van cryptografie vinden versleutelde aanvallen op de applicatie-infrastructuur kunnen steeds meer traditionele securitymaatregelen hier niet mee omgaan. Daarom is het volgens hem noodzakelijk te investeren in maatregelen die hierop voorbereid zijn en de mogelijkheid hebben de versleutelde aanvallen ook tegen te houden.
De trends die NaWas opvallen zijn van een andere aard. De Weerdt ziet dat de meeste DDoS-aanvallenondertussen tot stand komen via een tussenpartij. Die leveren de zogenaamde stresser-of booter-services. Hier is sprake van de doorontwikkeling van een businessmodel, waarbij het niet gaat om geavanceerde aanvallen. “Die zijn niet in het belang van de aanbieder. Die wil namelijk met zo min mogelijk inspanning zijn omzet halen“, stelt De Weerdt. Een andere trend die NaWas ziet, is dat DDoS-aanvallen vaker meerdere vectoren kennen. De reactie van Bais op de vraag naar trends is tweeledig. Het neerleggen van meer capaciteit is in zijn optiek niet langer de oplossing, want dat is een wapenwedloop die nergens toe leidt. Dat ziet hij dan ook minder gebeuren. “Waar de markt veel meer baat bij heeft, en wat wij zien toenemen, is slimmer omgaan met de middelen die er al zijn.”
Van Gemert ziet als trend dat de hoeveelheid aanvallen niet lijkt toe te nemen maar dat rond de impact twee belangrijke ontwikkelingen zichtbaar zijn. “We zien dat de impact van aanvallen alsmaar groter wordt. Dat komt door het type aanval en de gekozen doelwitten. Verder merken we heel duidelijk dat de acceptatie van die impact onder druk staat.” Daarmee bedoelt hij dat klanten steeds kritischer reageren op de bank als de bank-app niet werkt, en op bedrijven waarvan de favoriete websites onbereikbaar zijn.
Toekomst
De genoemde trends leidden voorspelbaar tot vragen over de toekomst. Zijn de huidige, veelal op hardware gebaseerde oplossingen nog wel toereikend en in welke hoek moeten de oplossingen gezocht worden. Is dat in de vorm van samenwerking, kennisdeling óf is er sturing door de overheid nodig?
De Weerdt: “Geïntegreerde oplossingen in één appliance zijn niet meer voldoende. Het is beter om te investeren in goede detectie samen met een scrubbingcenter dan in een eigen anti-DDoS-appliance. Voor een eerstelijnsdefensie met overloop naar een scrubbingcenter kan het wel een goede oplossing zijn. Goede detectie blijft echter een eerste voorwaarde.”
‘Wil je dit echt goed oppakken dan moet je een team dedicated op die klus zetten en dat jaren achter elkaar’
Volgens Zandee is het samenwerken van verschillende systemen op de juiste plaatsen in de infrastructuur, voor de applicatie, on premise network DDoS bij de provider en cloud scrubbingcenters van essentieel belang. Daaraan voegt hij toe dat de afweging tussen hard- en software niet gewogen zou moeten worden op basis van winst of verlies, maar eerder op het beoogde resultaat. Daarom is in zijn optiek een schaalbare hardwareoplossing onder omstandigheden nog steeds prima. “Voor het afhandelen en beveiligen van een heel specifieke applicatie kun je beter dicht tegen de applicatie aan opereren en past een softwareoplossing over het algemeen prima. Het is dus afhankelijk van hetgeen je wil beveiligen en wat voor controls je in huis wil halen.”
Bais verwijst naar zijn eerdere opmerkingen over meer intelligentie toepassen voor detectie en bestrijding. Daarbij noemt hij expliciet systemen waarbij binnenkomend verkeer wordt afgewikkeld op basis van een ranking, classificatie en die met open API’s naast elkaar kunnen werken en elkaar versterken.
Van Gemert staat met zijn antwoord vooral stil bij de huidige Nederlandse situatie. “We hebben bar weinig kennis op dit vlak in Nederland, en de markt is te afhankelijk van derden en buitenlandse partijen. De initiatieven om Nederland weerbaarder te maken missen in mijn optiek praktijkkennis, diepgang en ze zijn te afhankelijk van een handjevol leveranciers. Wil je dit echt goed oppakken dan moet je een dedicated team op die klus zetten en dat jaren achter elkaar.” Van Gemert vindt dat de gehele markt en ook de overheid hier steken laat vallen. “Alle goedbedoelde initiatieven ten spijt, hebben we in Nederland nog steeds te weinig kennis en middelen. Er wordt te veel gefocusseerd op quickwins, terwijl het onderwerp daar totaal niet voor geschikt is. Wat dat betreft hebben ze het in Duitsland veel beter voor elkaar. Daar is serieuze funding en commitment van de partijen.” Door het ontbreken van, wat Van Gemert noemt, de kennis, worden de verkeerde vragen gesteld en dat leidt tot de verkeerde oplossingen. Gevolg daarvan is dat de resultaten van DDoS-protectie kunnen tegenvallen.
Overheid en GDPR
Vanzelfsprekend is de reactie van NaWas op de vraag naar de toekomst een andere. Daar ziet men veel in het uitbouwen van de bestaande samenwerking. Een rol voor de overheid, in de vorm van wetgeving, ziet NaWas liever niet. Zandee geeft aan veel te zien in meer en betere samenwerking, maar blijkt ook positief over de rol van de overheid. In zijn optiek is wetgeving absoluut nodig, waarbij de AVG/GDPR een goede stap is. Daarmee doelt hij op de verplichting passende maatregelen te treffen om het lekken van data te voorkomen. Het is een intrigerend idee dat door de AVG/GDPR de kwaliteit van anti-DDoS-diensten verder kan én moet toenemen. Of het blijft bij een idee of werkelijkheid wordt zal de tijd leren.
DIT ARTIKEL KWAM MEDE TOT STAND DOOR DE INPUT VAN:
- Eric Bais, directeur A2B internetverkeer
- Gijs van Gemert, CEO van Serverius
- Octavia de Weerd, directeur Stichting NAWAS
- Wim Zandee, director System Engineering North & East EME bij F5 Networks
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]