Independent. Dynamic. Involved.
nlen

DDOS aanvallen: Zeker geen ver van mijn bed show

Door Thom Otten. Afgelopen dagen was er veel aandacht voor het fenomeen Distributed Denial-Of-Service, ook wel bekend als DDOS. Organisaties als ABN-AMRO, ING, Rabobank, Belastingdienst en DigiD (Logius) zijn korte of lange tijd getroffen door deze aanvallen. Consumenten en bedrijven ondervonden hier hinder van doordat sites onbereikbaar waren en betalingsverkeer niet mogelijk was. Gezien de recente berichtgeving lijkt het erop dat de golf van aanvallen nog niet voorbij is.

Wat is een DDOS?

Bij een DDOS gaat het erom dat diensten zoals online bankieren onbeschikbaar raken doordat er op grote schaal slecht beveiligde/geconfigureerde systemen misbruikt worden om via die systemen een grote hoeveelheid netwerkverkeer te genereren naar een doelsysteem zoals bijv. een banksysteem.

Meestal vindt dit op twee manieren plaats, namelijk via gebruikerssystemen die geïnfecteerd raken met een botnet, (een botnet is een netwerk van computers die zonder medeweten van de eigenaar onder controle staan van de eigenaar van het botnet), en via DDOS diensten die vaak door buitenlandse partijen worden aangeboden.

In het eerste geval draait er mogelijk malware op het systeem van een willekeurige gebruiker (zombie) die communiceert met een ‘Command & Control’ server die commando’s geeft aan de desbetreffende zombie om netwerkverkeer te gaan genereren richting het doelsysteem, bijv. een bankapplicatie/systeem. Als het botnet groot genoeg is gebeurt dit met duizenden zombies tegelijk.

Doordat gedurende een bepaalde tijd zo’n grote hoeveelheid verkeer richting het doel-systeem (online banksysteem) wordt gestuurd wordt deze online dienst onbeschikbaar omdat de verwerkingscapaciteit ontoereikend is voor de grote hoeveelheid dataverkeer dat wordt aangeboden aan de online dienst.

In het tweede geval kan men ook een DDOS dienst afnemen bij een online (malafide) dienst die ervoor zorgt dat er zoveel dataverkeer wordt genereerd naar het doelsysteem zodat deze wederom onbeschikbaar raakt omdat de verwerkingscapaciteit van de online dienst ontoereikend is voor de grote hoeveelheid dataverkeer dat wordt aangeboden. Vaak bieden deze partijen dit onder het mom van een stress-test aan.

Afleidingsmanoeuvre

In sommige gevallen wordt een DDOS als afleidingsmanoeuvre gebruikt met als doel organisaties of consumenten te misleiden. Vaak zie je dat er daarna een phishingmail wordt rondgestuurd met bijvoorbeeld de vraag het wachtwoord te updaten. Hierdoor loopt een organisatie of consument het risico dat men het wachtwoord wijzigt op een malafide portal van de aanvaller. De aanvaller beschikt zo over het wachtwoord en verkrijgt niet-gewenste toegang tot bepaalde diensten met alle gevolgen van dien.

In het geval van een afleidingsmanoeuvre kan een organisatie die last heeft van een DDOS blind worden voor aanvallen die op andere diensten plaatsvinden aangezien men bezig is om hun diensten zo snel mogelijk weer beschikbaar te maken voor hun klanten. Hier is het van belang dat uw organisatie processen en tooling voor detectie en monitoring ter beschikking heeft.

Hoe voorkomt u een DDOS aanval?

Een DDOS aanval is niet te voorkomen. Men kan wel leed verzachten door gebruik te maken van een zogenaamde DDOS-wasstraat. Denk hierbij bijvoorbeeld aan de Nationale Anti-DDoS Wasstraat (NaWas). Er zijn meerdere partijen die dit soort diensten aanbieden. Deze tools analyseren het netwerkverkeer en proberen legitiem verkeer van het malafide te scheiden. In het geval van een DDOS vanuit een botnet kan dit een lastige klus zijn gezien het moeilijk te herkennen is welk verkeer legitiem of malafide is.

Risico’s inventariseren

Veel organisaties denken misschien nu, waarom zou dit op ons van toepassing zijn? Wij zijn helemaal niet interessant omdat we geen grote partij zijn of geen kritische infra beheren. Maar als u bijvoorbeeld diensten afneemt bij een groot datacenter, dan kunt u indirect het slachtoffer worden van een DDOS op een andere organisatie omdat dan de datalijnen naar dat datacenter vol raken en uw servers ook niet meer benaderbaar zijn. Dit zijn risico’s die u als organisatie dient te inventariseren.

Daarnaast, zoals eerder aangegeven kan uw organisatie na een DDOS slachtoffer worden van een phishing campagne. Hier kan men zich als organisatie weerbaarder voor maken door de medewerkers te trainen in het herkennen van phishing mail en door middel van een awareness campagne.

Systemen binnen uw organisatie kunnen geïnfecteerd worden met malware zodat uw systemen zombies worden en onderdeel worden van een Botnet. Malware die dit doen maken gebruik van kwetsbaarheden in besturingssystemen, browsers, applicaties of plugins. Door o.a. de nieuwste patches te installeren loopt u minder risico dat deze systemen misbruikt kunnen worden voor onder ander DDos aanvallen.

Waar kan Traxion helpen?

Traxion kan uw organisatie op verschillende manieren helpen weerbaarder te maken tegen DDOS aanvallen, botnet infecties of tegen indirecte aanvallen zoals phishing. Onderstaand vindt u passende Traxion diensten die cyclisch toepast kunnen worden:

PLAN:

  • Risico analyses
    • Lopen wij organisatie risico voor DDOS aanvallen?
    • Hebben wij als organisatie zo’n wasstraat nodig?
    • Hoe staat het gesteld met onze externe datacenters en Cloud applicaties?

DO:

  • Awareness Campagnes
    • Herkennen onze gebruikers phishingmails?
  • Security Monitoring/Intelligence
    • Inrichten van logging en monitoring processen en tooling.
  • Preventie maatregelen
    • Inregelen van een anti DDOS wasstraat systeem.

CHECK:

  • Vulnerability Management
    • Voor welke kwetsbaarheden is onze organisatie kwetsbaar?
    • Welke kwetsbaarheden kunnen misbruikt worden voor een DDOS aanval?
    • Zijn mijn systemen slecht geconfigureerd waardoor ze misbruikt kunnen worden voor een DDOS aanval?
    • Traxion kan u helpen bij real time analyseren dataverkeer in de wasstraat.

ACT:

  • Traxion kan u ondersteunen bij het oplossen van een DDOS-aanval en de geconstateerde bevindingen.
Confidental Infomation