(D)Dos-aanvallen kunnen de ICT en daarvan afhankelijke werkzaamheden van de organisatie verstoren. Dit kan de continuïteit van jouw bedrijfsvoering verstoren en leiden tot (imago)schade. Het vormt een reële bedreiging voor organisaties die online diensten verlenen.
Deze publicatie beschrijft welke technische en organisatorische maatregelen je kunt nemen om de organisatie tegen de verschillende vormen van (D)Dos-aanvallen te beschermen.
Doelgroep: IT-managers en andere verantwoordelijken voor informatiebeveiliging van organisaties die online diensten verlenen, zoals websites
Aan deze factsheet hebben bijgedragen: De Belastingdienst, SURFcert, NBIP/NaWas en andere domeinexperts.
(D)DoS betekent:Distributed Denial of Service aanval. Een aanval op de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur. Het resultaat van deze aanval is dat digitale diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten.
Wat is DDoS?
Bij een Denial-of-Service (DoS)-aanval wordt de capaciteit van online diensten of de ondersteunende servers en netwerkapparatuur aangevallen door deze te overbelasten of te overladen met netwerkverkeer. Ook kan er misbruik worden gemaakt van fouten in software waardoor ondersteunende apparaten onbeschikbaar worden. Het resultaat is dat deze diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten. In veel gevallen wordt dit soort aanvallen vanaf meerdere computers tegelijkertijd uitgevoerd. In dat geval heet het een Distributed DoS (DDoS)-aanval. Het effect voor de organisatie is uiteindelijk hetzelfde dus worden beide soorten aanvallen in deze publicatie met één term benoemd: (D)DoS
De belangrijkste feiten:
Een (D)DoS-aanval kan online diensten verstoren.
Aanvallen worden steeds groter en complexer. Tegelijkertijd wordt het steeds makkelijker en goedkoper om aanvallen uit te voeren.
Ook kleine bedrijven, zoals webshops, kunnen worden afgeperst met behulp van (D)DoS-aanvallen.
Tref technische en organisatorische maatregelen om jouw online diensten weerbaarder te maken.
Het is belangrijk afspraken te maken met de ICT-leveranciers over hun (D)DoS-bescherming.
Een (D)DoS-aanval kan plaatsvinden op veel verschillende manieren
Deze publicatie richt zich enkel op opzettelijke aanvallen. “Natuurlijke” factoren, zoals buitengewoon veel gebruikers tegelijkertijd op een website, worden bewust buiten beschouwing gelaten. Er zijn tientallen vormen van (D)DoS-aanvallen bekend die zich richten op de routering, specifieke netwerkservices of het overbelasten van de rekencapaciteit van specifieke apparatuur. Aanvallen zijn tegenwoordig meestal ‘multi-vector’. Meerdere aanvalstechnieken worden gelijktijdig of achter elkaar ingezet tijdens de aanval. Ook passen aanvallers soms hun tactieken aan tijdens een aanval aan. Het blokkeren van één aanval leidt dan tot een ander aanvalspatroon.
Kwaadwillenden en hun technieken
Er zijn verschillende kwaadwillenden die (D)DoS-aanvallen kunnen uitvoeren. Hacktivisten, waaronder het hacktivistencollectief ‘Anonymous’, gebruiken (D)DoS-aanvallen om een politieke boodschap af te geven. Criminelen zetten dit soort aanvallen in om geld te verdienen door bedrijven af te persen. Zelfs kleine bedrijven hebben hier last van. Ook worden aanvallen ingezet om andere criminele activiteiten te verhullen. Statelijke actoren gebruiken (D)DoS-aanvallen om de stabiliteit van vitale infrastructuur te ondermijnen. Scriptkiddies gebruiken eenvoudige tools om aanvallen uit te voeren, soms zonder een duidelijke motivatie. Gebruikers van de eigen diensten voeren aanvallen uit om verschillende redenen. Voorbeelden zijn een ontevreden medewerker of een scholier die onder een toets probeert uit te komen.
Kwaadwillenden gebruiken diverse middelen en technieken om hun identiteit te verbergen. Hierdoor is de pakkans over het algemeen klein. Met IP-spoofing is het mogelijk om netwerkverkeer aan te passen zodat het uit andere netwerken lijkt te komen. Vaak worden aanvallen uitgevoerd vanaf botnets. Dit zijn netwerken van een groot aantal besmette computers of bijvoorbeeld IP Camera’s die vanuit een centraal punt gestuurd worden. In plaats van een netwerk rechtstreeks aan te vallen, gebruiken aanvallers ook reflectie-aanvallen. Hierbij vragen aanvallers meerdere middelen, zoals DNS-servers en uPnP-diensten op modems, om antwoord te geven op een verzoek. Dit antwoord wordt echter gestuurd naar het slachtoffer. Kwaadwillenden kunnen ook gebruikmaken van betaalde (D)DoS-diensten, zogenaamde Booters. Zonder enige kennis kan men hiermee voor weinig geld en met een druk op de knop een grootschalige aanval uitvoeren. Deze booters maken vaak gebruik van botnets om het DDoS verkeer te versturen.
UPnP staat voor: Universal Plug and Play en is een set netwerkprotocollen waarmee netwerkapparaten (zoals pc's, printers, scanners, mobiele apparaten en WiFi-toegangspunten) elkaars aanwezigheid op het netwerk kunnen ontdekken. Daarnaast kan UPnP een netwerk tot stand brengen voor het delen van gegevens, communicatie en voor entertainmentdoeleinden. UPnP vind je terug in routers en kan er automatisch voor zorgen dat poorten worden opengezet van en naar het internet.
De meeste aanvallen waarover geschreven wordt, zijn op websites. In principe is elke dienst op internet kwetsbaar.
Applicaties worden aangevallen door deze te overbelasten met veel verzoeken. Hierdoor kunnen geen legitieme gebruikers worden bediend. Ook kunnen ‘dure’ verzoeken worden uitgevoerd. Een voorbeeld hiervan is het laden van een webpagina die veel gegevens uit een database moet halen. Een steeds populairder type aanval is de slow HTTP post aanval. Door periodiek onvolledige verzoeken naar een server te sturen, worden verbindingen opgezet en heel lang opengehouden terwijl die server op de rest van het verzoek wacht. Deze aanvallen zijn lastig te detecteren omdat de verzoeken legitiem lijken te zijn. Denk daarbij het heel langzaam invullen van een gebruikersnaam veld.
Reflectie-aanvallen gebruiken publiek toegankelijke diensten op het internet, bijvoorbeeld open DNS resolvers, om DDos-verkeer te versterken.Er wordt dan bijvoorbeeld gebruik gemaakt van ontwerp- of implementatiefouten in de openbare dienst om de hoeveelheid of omvang van netwerkpakketten te vermenigvuldigen en te laten doorsturen naar het beoogde doelwit.
Servers worden overbelast met aanvallen op het netwerk- of transportniveau. Een voorbeeld hiervan is de TCP SYN-flood waarbij de server meerdere verzoeken ontvangt om een TCP-verbinding op te zetten. De server reserveert alvast de nodige middelen voor iedere connectie totdat alle middelen gereserveerd zijn. Hierna kunnen gebruikers geen verbinding meer maken.
Sommige aanvallen zijn gericht op een netwerk of netwerkapparatuur. Vaak richt dit soort aanvallen zich op het verbruiken van de beschikbare netwerkbandbreedte of de verwerkingscapaciteit van de netwerkapparatuur. Ook kan netwerkapparatuur te maken krijgen met dezelfde aanvallen als servers, zoals TCP SYN-flood.
Als de applicatie een met TLS beveiligde verbinding biedt, kunnen aanvallen zich hierop richten. Aanvallers kunnen hierdoor relatief veel rekenkracht van een server vragen zonder zelf veel te doen. Een TLS verbinding (een beveiligde verbinding) eist meer rekenkracht voor de webserver dan een onbeveiligde verbinding. De CPU moet immers voor het opzetten van iedere verbinding een cryptografische handtekening genereren, en alle data ontcijferen.
Wat is het probleem?
Een (D)DoS-aanval kan de ICT en de daarvan afhankelijke werkzaamheden van een organisatie verstoren. Dit vormt een reële dreiging voor alle organisaties met onlinedienstverlening, zoals websites, waarvan de continuïteit van belang is. Afhankelijk van het type aanval kan de organisatie geen gebruik meer maken van ICT-systemen doordat deze traag of onbereikbaar zijn. Omdat een onlinedienstverlening verstoord wordt, kunnen klanten niet meer geholpen worden.
Over het algemeen is de slagingskans en schade van een (D)DoS-aanval vrij groot. Imagoschade is voor de meeste organisaties het grootste zorgpunt, naast de kosten van mitigatie en verloren inkomsten tijdens een aanval. Verder kan een aanval ervoor zorgen dat een organisatie haar afspraken niet na kan komen wat tot andere problemen kan leiden.
Er is geen garantie dat als alle maatregelen zijn genomen een DDoS-aanval voorkomen kan worden. Het is dus van belang dat er een goede risicoafweging wordt gemaakt tussen de gevolgen van onbeschikbaarheid door een DDoS-aanval en de kosten van de maatregelen in relatie tot de organisatiebelangen.
Wat adviseert het NCSC?
Het NCSC adviseert om zowel technische als organisatorische maatregelen te treffen om een organisatie te beschermen tegen de verschillende vormen van (D)DoS-aanvallen. Bespreek de onderstaande adviezen met de relevante stakeholders binnen jouw organisatie, waaronder de personen die verantwoordelijk zijn voor het beheer en de continuïteit van de online diensten.
Maak een duidelijk overzicht van de infrastructuur. Welke online diensten biedt jouw organisatie aan en welke platformen en infrastructuur zijn hiervoor nodig? Welke hiervan zijn gevoelig voor een (D)DoS-aanval? Zijn er bepaalde diensten die belangrijker zijn dan andere? Wat is bijvoorbeeld de impact op de organisatie als een bepaalde dienst niet meer beschikbaar is? Welke netwerksegmenten zijn er? Is alles binnen eigen beheer, of zijn er servers of diensten uitbesteed aan derden? Denk hierbij ook aan de internetprovider en aan online diensten van derden. Breng de hele keten van de dienstverlening in kaart zodat deze adequaat kunnen worden beschermt.
Heb je een actueel overzicht van de infrastructuur, stel dan een baseline vast van ‘normaal’ gedrag: de hoeveelheid websiteverkeer, gebruikelijke tijdstippen, type verkeer, gebruikte poorten, enzovoort. Stel de baseline vast op basis van een representatieve periode. Het is geen gemiddelde, maar een bandbreedte waarbinnen wordt gedefinieerd welk netwerkverkeer en systeemgedrag ‘normaal’ is. Voor infrastructuur binnen het eigen beheer kun je gebruikmaken van systeemlogs en statistieken van netwerkapparaten. Indien je diensten uitbesteed aan derden, werk je samen met die partijen aan oplossingen.
Nadat een baseline is vastgesteld, kan inkomend en uitgaand verkeer worden gemonitord. Dit betekent dat er geautomatiseerd wordt gekeken of de metingen significant afwijken van de vastgestelde baseline. Het type (D)DoS-aanval en de werking van de tegenmaatregelen kan zo geanalyseerd worden. Zonder geschikte monitoringsystemen is het lastig om aanvallen te onderscheiden van legitiem verkeer of van technische storingen. Houd ook rekening met voorspelbare afwijkingen van de baseline, bijvoorbeeld reclamecampagnes of jaarlijkse momenten wanneer er veel legitieme gebruikers worden verwacht.
Maak gebruik van het bij Advies 1 gemaakte overzicht om bij alle externe leveranciers (incl. de internet service provider) over hun (D)DoS-bescherming te informeren. Wat is hun aanpak bij (D)DoS-aanvallen en wat zijn de contractuele afspraken hierover?
Neem contact op met iedere externe leverancier en verifieer:
De contactgegevens van personen die gebeld kunnen worden tijdens een aanval;
Welke maatregelen en ondersteuning zij bieden om aanvallen te mitigeren en wat daar de gevolgen van kunnen zijn. Het kan bijvoorbeeld zijn dat de hostingprovider blackholing/null-routering gebruikt tijdens een aanval. Hierbij wordt al het verkeer voor de systeem gerouteerd naar een ‘zwart gat’ om de rest van hun infrastructuur te beschermen;
Welke maatregelen zijn genomen om jouw diensten te beschermen tegen aanvallen op andere klanten van de leverancier. Als je bijvoorbeeld gebruikmaakt van gedeelde hostingmiddelen, kunnen aanvallen op andere klanten ook jouw diensten negatief beïnvloeden;
Indien er sprake is van gedeelde infrastructuur: met welke andere (type) klanten deel je de infrastructuur?
Welke anti-spoofingmechanismes worden gebruikt*;
Welke detectiemechanismes gebruikt worden om (D)DoS-aanvallen in een vroeg stadium te detecteren;
Welke afspraken er gemaakt zijn voor het installeren van beveiligingsupdates;
Hoe het met de systeem- en netwerkcapaciteit van de online diensten gesteld is.
*Internetproviders kunnen filtering toepassen volgens bekende standaarden, zoals BCP38: http://www.bcp38.info/, om gespoofd verkeer tegen te houden.
Het NCSC adviseert om meerdere overlappende maatregelen te treffen om de weerbaarheid van interne infrastructuur tegen (D)DoS-aanvallen te vergroten. Maak gebruik van het bij Advies 1 gemaakte overzicht om voor de eigen infrastructuur vast te leggen welke maatregelen al getroffen zijn. Voor alle applicaties, servers of netwerkapparatuur waar er onvoldoende maatregelen zijn getroffen, informeer over de mogelijke technische maatregelen.
In de factsheet Technische maatregelen voor de continuïteit van online diensten vind je een uitgebreide lijst van technische maatregelen. Overweeg het treffen van maatregelen op deze lijst, indien deze nog niet getroffen zijn. Afhankelijk van de mate van uitbesteding van de ICT kunnen sommige maatregelen niet worden toegepast zonder medewerking van derden.
Maak een draaiboek voor tijdens een (D)DoS-aanval. Beschrijf hoe een aanval herkend wordt en wie welke stappen neemt. Wie houdt bijvoorbeeld de tijdlijn en kenmerken van de aanval bij? Wie verzamelt de nodige gegevens om aangifte te doen (zie kader)? Overweeg om een gespecialiseerd team in te richten dat autonoom optreedt tijdens dit soort incidenten. Bijvoorbeeld een Security Operations Centre (SOC) of Computer Security Incident Response Team (CSIRT).
Denk na over backup- en failoverscenario’s van online diensten. Maak afspraken met externe dienstverleners over responsmechanismes en eventuele extra dienstverlening. Voorbeelden zijn een simpele website die klanten laat weten dat er aan het probleem gewerkt wordt, of het laten inschakelen van een (D)Dos wasstraat die inkomend verkeer opschoont voordat het uw online diensten bereikt.
Overweeg het opzetten van alternatieve communicatiepaden die gebruikt kunnen worden tijdens een aanval. Hiermee blijf je in contact met de belangrijke systemen en organisaties.
Bepaal een communicatiestrategie voor uitingen naar de eigen medewerkers, klanten, leveranciers, overheid en andere stakeholders. Communicatie over (D)DoS-bestendigheid kan juist leiden tot (D)DoS-aanvallen. Het is te laat om tijdens een crisis te bepalen hoe gecommuniceerd gaat worden. Zorg ook dat een communicatieadviseur op hoofdlijnen weet wat de gevolgen zijn van een (D)DoS-aanval. Wat wordt eraan gedaan? Hoe lang kan het gaan duren? Waar kan men terecht voor meer informatie? Communiceer daarbij vooral geen onzekerheden of onjuistheden.
Tot slot
Het uitvoeren van een (D)DoS-aanval is een strafbaar feit waar gevangenisstraf of een boete voor kan worden opgelegd. Het is belangrijk om aangifte bij de politie te doen. Ook als de dader niet te achterhalen is, helpt het doen van aangifte om een beter beeld te geven van de omvang van dit fenomeen.
Indien je ervoor kiest om aangifte te doen, neem dan via 0900-8844 contact op met het lokale wijkteam voor het maken van een afspraak. Vraag of er een digitaal expert aanwezig kan zijn tijdens de aangifteprocedure. Neem uit het monitoringsysteem de basisgegevens mee.
