Met een Distributed Denial-of-Service-aanval (DDoS-aanval) wordt de capaciteit van een onlinedienst van een organisatie of de ondersteunende servers en netwerkapparatuur aangevallen, schrijft ITPro. Het resultaat van deze aanval is dat de online aangeboden diensten slecht of helemaal niet meer bereikbaar zijn voor je medewerkers of je klanten. Dat betekent niet alleen potentieel inkomstenverlies, maar het kan ook leiden tot imagoschade en serieuze materiële problemen. Een DDoS-aanval vormt daarmee een reële dreiging voor alle organisaties met een vorm van onlinedienstverlening waarvan de continuïteit van belang is. Denk hierbij bijvoorbeeld aan een boekingsplatform, een online marktplaats of je eigen website.
DDoS-aanvallen bestaan al sinds de begindagen van het internet, maar ze worden de laatste jaren steeds verwoestender. Aanvallen duren tegenwoordig langer en de schade wordt steeds groter. Ze nemen ook toe in aantallen, met alleen al in 2023 wereldwijd 5,2 miljoen HTTP DDoS-aanvallen die door cybersecuritybedrijf Cloudflare zijn voorkomen. Op dit moment vinden er in Nederland ongeveer tussen de tien en twintig gerichte DDoS-aanvallen per dag plaats. Dat lijkt niet veel, maar is bijna een verdrievoudiging van de laatste drie jaar. Als organisatie je hoofd in het zand steken en denken dat het jullie niet overkomt, is dan ook niet de meest verstandige strategie, zeker aangezien de schade serieuze kan zijn.
Niemand is immuun voor een DDoS-aanval, zelfs de grote multinationals niet. Het is gelukkig mogelijk om snel te herstellen, mits je de juiste protocollen en strategie volgt
Impact van een DDoS-aanval
,,Elke organisatie kan een doelwit worden voor een DDoS-aanval," stelt Laurie Iacono, associate managing director in cyberrisk bij Kroll. De Amerikaanse ziet vooral de IT-sector, detailhandel, financiële sector en gezondheidszorg als sectoren die vaker dan andere sectoren het doel zijn. Iacono: ,,Dat komt omdat die bedrijven bijzonder veel te verliezen hebben als hun klantgerichte websites niet beschikbaar zijn. Voor de hackers hebben deze organisaties ook de meest waardevolle informatie, zoals wachtwoorden, persoonsgegevens of details over bankrekeningen. Door dit online te verkopen aan andere schimmige figuren, valt hier grof geld me te verdienen."
Niemand is immuun voor een DDoS-aanval, zelfs grote multinationals niet. In oktober 2016 was internetserviceprovider Dyn het slachtoffer van drie opeenvolgende DDoS-aanvallen die werden uitgevoerd via een botnet bestaande uit IoT-apparaten zoals printers, IP-camera's en babyfoons die waren geïnfecteerd met de zogeheten Mirai-malware. De aanvallen op Dyn legden al het verkeer van de provider plat. Dat had niet alleen invloed op Dyn zelf, maar ook op klanten met populaire websites als Amazon, CNN, BBC, PayPal, Netflix en The New York Times die een tijdlang offline waren en hierdoor veel inkomsten misliepen. Aanvallen zoals deze hebben een enorme impact – het bedrijf Dyn bestaat bijvoorbeeld niet meer en is kort na de hack opgegaan in Oracle. Het is gelukkig wel mogelijk om snel te herstellen, mits je de juiste protocollen en strategie volgt.
Goede beschermingsstrategie
Voorkomen is beter dan genezen en het begint allemaal met een goede bescherminsstrategie. ,,Om de bedrijfsvoering weer op de rails te krijgen na een DDoS-aanval, moet elk bedrijf vooral een goede DDoS-beschermingsstrategie hebben voor alle bedrijfskritische diensten", zegt Andreas Schneider, field CISO EMEA bij Lacework Schneider. ,,Dit vereist kennis van de online actviteiten van de organisatie en weten welke systemen en diensten essentiële onderdelen zijn van het bedrijfsproces. Al deze onderdelen moeten los van elkaar worden beschermd tegen DDoS-aanvallen, ongeacht of ze worden ondersteund door je interne IT-afdeling of externe partijen," aldus Schneider.
Schneider beschrijft hoe hij bij de bedrijven waar hij werkzaam is geweest diverse DDoS-aanvallen heeft meegemaakt, de meest impactvolle duurde uiteindelijk ruim een maand. ,,De grootste boosdoeners zijn vaak de bekende marketinglandingspagina's," zo stelt Schneider. ,,Deze pagina's worden meestal extern gehost en zijn essentieel om leads en inkomsten te genereren. Maar omdat die diensten buiten de eigen omgeving zijn gehost, vormen ze de grootste risicoplekken voor een mogelijke aanval."
Lewis Graham, consultant bij Pentest People, vult aan: ,,Als de verdediging van een bedrijf wordt doorbroken en een DDoS-aanval wordt vermoed, is het cruciaal dat leiders de aanval bevestigen door de belangrijkste verkeerspatronen nauwgezet te analyseren en gegevens te verzamelen. Pas daarna kan het herstelproces beginnen. Een belangrijke stap hierbij is het inzetten van een alternatieve of back-up-website op een apart domein. Dit zorgt voor ononderbroken toegang tot je diensten of informatie, waardoor de eventuele verliezen voor het bedrijf worden beperkt."
De grootste boosdoeners zijn meestal de marketinglandingspagina’s. Deze pagina’s worden meestal extern gehost en zijn essentieel om leads te genereren
Langetermijnvisie
Mocht je bedrijf onverhoopt slachtoffer worden van een DDoS-aanval, dan is het na de aanval altijd verstandig om ook intern goed te laten onderzoeken wat er nou precies is gebeurd, om zo te begrijpen hoe je de volgende keer beter met een gerichte aanval kunt omgaan. ,,Vaak zie je dat bedrijven die al een keer slachtoffer zijn geweest van een DDoS-aanval, later opnieuw worden aangevallen, omdat de daders weten dat ze er al eerder success hebben gehad," aldus Schneider. ,,Realiseer je wel dat elke nieuwe aanval de verdediging van een organisatie opnieuw zal testen. De sleutel is om te leren van elke geïdentificeerde aanval en de niet volledig beveiligde locaties als eerste op orde te brengen."
Schneider beveelt aan om na een hack altijd een 'post-mortem'-onderzoek uit te voeren. ,,Bespreek hierbij de belangstrijkste lessen die geleerd moeten worden en gebruik het om processen en technologieën in het vervolg verder te verbeteren." Hierbij moeten overigens niet alleen C-level-executives betrokken zijn, maar ook je IT-afdeling, het cybersecuritypersoneel en andere relevante stakeholders. Laat hen deelnemen aan expertgroepen, bijeenkomsten en conferenties. ,,En laat je medewerkers hun ervaringen en geleerde lessen met anderen delen, om zo elkaar verder te helpen," aldus Schneider.
Centralisatie en consolidatie
,,Het is belangrijk om elke DDoS-aanval zo gedetailleerd mogelijk te analyseren," zegt Nik Rozenberg, CEO van cybersecuritybedrijf BotGuard. ,,Deze informatie komt van je beveiligingsprovider of je interne netwerk. Onderzoek welke locaties zijn aangevallen, welke protocollen en patronen zijn gebruikt, hoe lang de aanval heeft geduurd en of het de netwerklaag of de applicatielaag heeft beïnvloed. Pas wanneer je een volledig beeld hebt van wat er is gebeurd, kun je je bedrijf de beste kans geven om toekomstige aanvallen te voorkomen."
Centralisatie en consolidatie zijn hierin enorm belangrijk, evenals de noodzaak om systemen te segmenteren en te differentiëren, stelt Muhammad Yayha Patel, lead security engineer bij Check Point. ,,Als een doorsnee overheidswebsite een tijdlang offline is, dan is dat vervelend. Maar je komt voor veel serieuzere problemen te staan wanneer bijvoorbeeld uitkeringsinstanties of toeslagen niet beschikbaar zijn, of wanneer hulpdiensten onbereikbaar zijn." Rozenberg vult aan: ,,Juist daarom is het na een aanval cruciaal om de schade op te nemen en te begrijpen hoe deze je bedrijf en klanten heeft beïnvloed. Door de interne kosten van een aanval te kennen, kun je beslissen hoeveel je bereid bent te besteden om ervoor te zorgen dat het niet nogmaals voorkomt."
Welke maatregelen kan je treffen?
Erik Biemans, cybersecurity-expert, benadrukt dat je een DDoS-aanval nooit kunt voorkomen, maar organisaties kunnen wel maatregelen treffen om zich er zo goed mogelijk tegen te verdedigen en daarmee de aanval af te slaan of de impact op zijn minst te minimaliseren. ,,De eerste stap die gezet moet worden is het identificeren van de risico's en het opstellen van 'incident response'- en 'business continuïty'-plannen waarin staat hoe gehandeld moet worden als een DDoS-aanval plaatsvindt."
Biemans: ,,De maatregelen die getroffen kunnen worden zijn afhankelijk van de organisatie. Voor websites kan bijvoorbeeld gebruik worden gemaakt van een Content Delivery Network (CDN) zoals Akamai of Cloudflare. Een CDN verdeelt de belasting van een website over meerdere servers wereldwijd. Hierdoor kan een plotselinge toename van verkeer beter worden opgevangen, waardoor een DDoS-aanval minder impact heeft. Ook kan men een Web Application Firewall (WAF) inschakelen. Dit kan helpen om kwaadaardig verkeer te filteren en aanvallen af te weren voordat ze de servers van de organisatie bereiken. Deze firewalls zijn in staat om verdachte patronen in het netwerkverkeer te detecteren en te blokkeren."
,,Tot op heden zijn verreweg de meeste DDoS-aanvallen zelden professioneel van aard en worden ze meestal door een tiener op de spreekwoordelijke zolderkamer of door kleine criminelen uitgevoerd. Waar ik mij zorgen om maak is dat DDoS-aanvallen in de toekomst ook kunnen worden ingezet als geopolitiek wapen. Als statelijke actoren meer geavanceerde DDoS-aanvallen inzetten tegen bijvoorbeeld de kritieke infrastructuur van een ander land, dan kan dit grote gevolgen voor de samenleving hebben. Daarom is het van belang voor organisaties om de risico's niet alleen in kaart te brengen, maar ook up-to-date te houden om zich voor te kunnen bereiden op de digitale dreigingen van vandaag en morgen."
Studio BusinessWise besteedde eerder al een aflevering aan wat je als organisatie kan en moet doen wanneer je te maken krijgt met een hack. Bekijk de video onder nog eens terug.
Bron: ITPro/Kader: Alex Vos
In onze wekelijkse nieuwsbrief vind je het beste van BusinessWise die week. Abonneer je gratis en blijf altijd op de hoogte!
