5 manieren om een DDoS-aanval te pareren
Marc Guardiola, CISO en lead architect bij Solvinity, legt het uit.
Bij het insourcen en het bouwen van het netwerk houden we bij Solvinity al rekening met DDoS- of ransomware-aanvallen. We beperken we de risico’s op voorhand zoveel als mogelijk. Dit doen we door de volgende maatregelen te nemen:
- Risico-indicatie Of het nu een financiële instelling, een overheid of een ‘gewoon’ bedrijf is; bij de eerste aanvraag gaan we al na wat de beste mogelijkheid is om de dienst te beveiligen. De onboarding van nieuwe klanten gebeurt volgens een grondig due diligence proces. We kijken wat voor omgeving het is, wat voor risico’s er zijn en hoe we die het beste kunnen mitigeren.
- Assessment Per omgeving maken we een assessment om met de klant te bepalen welke oplossing het beste past. Dat hangt af van diverse factoren. Hoe belangrijk is het dat de betreffende applicatie altijd beschikbaar is? Wat is de impact als het mis gaat? En: hoe groot is de kans dat dit gebeurt? Maar ook: hoe groot is de impact op de privacy en hoe zwaar weegt dit? En wat mag dit kosten? Vervolgens maken we een SLA, inclusief risico-indicatie. Want 100 procent beveiliging bestaat niet.
- Standaardoplossingen Op elk vlak moet je de zaken op het gebied van security goed voor elkaar hebben. Bepaalde standaardoplossingen dekken al een hoop, zoals patchmanagement. Er is nog wel eens sprake van kwetsbaarheden die niet direct tot een datalek leiden, maar wél een risico vormen voor de beschikbaarheid. Een server kan met heel weinig middelen worden platgelegd. Met enkele basismaatregelen op het gebied van patchmanagement, hardening en tuning lukken dit soort lichte DDoS-aanvallen al niet meer.
- Risicomanagement Een andere maatregel is het detecteren en tegenhouden van verdacht verkeer binnen de buitenste randen van je netwerk. Waarom zou je verkeer toelaten dat tot overbelasting leidt en niets te maken heeft met de dienstverlening? En we kijken naar de mate waarin een omgeving risico’s met zich meebrengt. Bij politieke partijen moet je bijvoorbeeld rond verkiezingstijd extra op je hoede zijn. Als we weten dat bepaalde omgevingen vaker zijn geDDoS’t of al een dreigmail hebben gehad, dan zonderen we ze af in een bepaald stukje netwerk, zodat andere klanten goed beschermd blijven. Sommige organisaties worden overigens ook geDDoS’t op normaal verkeer. Dan kun je ervoor kiezen al het verkeer naar zo’n omgeving te blokkeren, maar dat wil de betreffende organisatie natuurlijk niet. Ook dan plaatsen we de klant op een afgeschermd deel van onze infrastructuur, zodat we meer mogelijkheden krijgen om maatregelen te nemen.
- Optimale bescherming Voor optimale bescherming kun je nog meer doen: Het inzetten van specialistische filterapparatuur werkt goed. Maar dit gebruik je misschien nauwelijks, terwijl dit wel heel duur is. Externe filtering: je kunt organiseren dat verkeer vanuit bijvoorbeeld Zuid-Amerika daar wordt gefilterd, waarna de provider alleen schoon verkeer doorstuurt buiten het gebied. Er bestaan diensten waarmee je in de data van het verkeer kunt kijken. Dit werkt eveneens uitstekend, maar is privacygevoelig. Bepaalde organisaties kunnen of willen hier om die reden geen gebruik van maken. Always-on DDoS-mitigatie-leveranciers bieden uitstekende bescherming, maar zijn heel duur. En kosten spelen uiteindelijk altijd een rol.
Buiten schot
En hoe proberen wij zelf buiten schot te blijven? Veel van onze beheersystemen hangen niet aan het internet. Vaak kunnen we toegang buiten het publieke netwerk verlenen. De zaken die wel via internet gaan, zoals onze e-mail, DNS-server en serviceportaal, bedienen we op dezelfde manier als onze klanten. En dat gaat behoorlijk geavanceerd. Via een zelfgebouwd SDN (Software Defined Network) detecteren we scenario’s. Zowel voor de klant als voor onszelf. Daarmee kunnen we DDoS-aanvallen zoveel mogelijk automatisch tegengaan. Belangrijk en handig, zeker als je bedenkt dat het voortdurend meer en complexer wordt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee