Continuïteit van online diensten
Doelgroep:
IT-managers en andere verantwoordelijken voor informatiebeveiliging van organisaties die online diensten verlenen, zoals websites.
In samenwerking met:
De Belastingdienst, SURFcert, NBIP/NaWas en andere domeinexperts.
Definitie
DDos staat voor Distributed Denial of Service-aanval. Het houdt in: een aanval op de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur. Het resultaat van deze aanval is dat digitale diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten.
In veel gevallen wordt dit soort aanvallen vanaf meerdere computers tegelijkertijd uitgevoerd. In dat geval heet het een Distributed DoS (DDoS)-aanval. Het effect voor de organisatie is uiteindelijk hetzelfde dus worden beide soorten aanvallen in deze publicatie met één term benoemd: DDOS.
Achtergrond
Bij een Denial-of-Service (DoS)-aanval wordt de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur aangevallen door deze te overbelasten of te overladen met netwerkverkeer. Ook maken kwaadwillenden misbruik van fouten in software. Het resultaat van een geslaagde aanval is altijd dat deze diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten.
Dit vormt een reële dreiging voor alle organisaties met onlinedienstverlening, zoals websites, waarvan de continuïteit van belang is. Afhankelijk van het type aanval kan de organisatie geen gebruik meer maken van ICT-systemen doordat deze traag of onbereikbaar zijn. Omdat een onlinedienstverlening verstoord wordt, kunnen klanten niet meer geholpen worden.
Over het algemeen is de slagingskans en schade van een DDOS-aanval vrij groot. Imagoschade is voor de meeste organisaties het grootste zorgpunt, naast de kosten van mitigatie en verloren inkomsten tijdens een aanval. Verder kan een aanval ervoor zorgen dat een organisatie haar afspraken niet na kan komen wat tot andere problemen kan leiden.
Er is geen garantie dat als alle maatregelen zijn genomen een DDoS-aanval voorkomen kan worden. Het is dus van belang dat er een goede risicoafweging wordt gemaakt tussen de gevolgen van het niet bereikbaar zijn door een DDoS-aanval en de kosten van de maatregelen in relatie tot de organisatiebelangen.
Wat adviseert het NCSC?
Wij adviseren om zowel technische als organisatorische maatregelen te treffen om je te beschermen tegen de verschillende vormen van DDOS-aanvallen. Bespreek de onderstaande adviezen met de relevante stakeholders binnen jouw organisatie, onder wie de collega’s die verantwoordelijk zijn voor het beheer en de continuïteit van de online diensten.
Advies 1
Maak een overzicht van en monitor de infrastructuur.
Maak een duidelijk overzicht van de infrastructuur. Welke online diensten biedt jouw organisatie aan en welke platformen en infrastructuur zijn hiervoor nodig? Welke hiervan zijn gevoelig voor een (D)DoS-aanval? Zijn er bepaalde diensten die belangrijker zijn dan andere? Wat is bijvoorbeeld de impact op de organisatie als een bepaalde dienst niet meer beschikbaar is? Welke netwerksegmenten zijn er? Is alles binnen eigen beheer, of zijn er servers of diensten uitbesteed aan derden? Denk hierbij ook aan de internetprovider en aan online diensten van derden. Breng de hele keten van de dienstverlening in kaart zodat deze adequaat kunnen worden beschermt.
Heb je een actueel overzicht van de infrastructuur, stel dan een baseline vast van ‘normaal’ gedrag: de hoeveelheid websiteverkeer, gebruikelijke tijdstippen, type verkeer, gebruikte poorten, enzovoort. Stel de baseline vast op basis van een representatieve periode. Het is geen gemiddelde, maar een bandbreedte waarbinnen wordt gedefinieerd welk netwerkverkeer en systeemgedrag ‘normaal’ is. Voor infrastructuur binnen het eigen beheer kun je gebruikmaken van systeemlogs en statistieken van netwerkapparaten. Indien je diensten uitbesteed aan derden, werk je samen met die partijen aan oplossingen.
Nadat een baseline is vastgesteld, kan inkomend en uitgaand verkeer worden gemonitord. Dit betekent dat er geautomatiseerd wordt gekeken of de metingen significant afwijken van de vastgestelde baseline. Het type (D)DoS-aanval en de werking van de tegenmaatregelen kan zo geanalyseerd worden. Zonder geschikte monitoringsystemen is het lastig om aanvallen te onderscheiden van legitiem verkeer of van technische storingen. Houd ook rekening met voorspelbare afwijkingen van de baseline, bijvoorbeeld reclamecampagnes of jaarlijkse momenten wanneer er veel legitieme gebruikers worden verwacht.
Advies 2
Ga bij elke externe leverancier (incl. de internetserviceprovicer) na welke DDOS-maatregelen al genomen zijn en wat daar de afspraken over zijn.
Maak gebruik van het bij Advies 1 gemaakte overzicht om bij alle externe leveranciers (incl. de internet service provider) over hun (D)DoS-bescherming te informeren. Wat is hun aanpak bij (D)DoS-aanvallen en wat zijn de contractuele afspraken hierover?
Neem contact op met iedere externe leverancier en verifieer:
- De contactgegevens van personen die gebeld kunnen worden tijdens een aanval;
- Welke maatregelen en ondersteuning zij bieden om aanvallen te mitigeren en wat daar de gevolgen van kunnen zijn. Het kan bijvoorbeeld zijn dat de hostingprovider blackholing/null-routering gebruikt tijdens een aanval. Hierbij wordt al het verkeer voor de systeem gerouteerd naar een ‘zwart gat’ om de rest van hun infrastructuur te beschermen;
- Welke maatregelen zijn genomen om jouw diensten te beschermen tegen aanvallen op andere klanten van de leverancier. Als je bijvoorbeeld gebruikmaakt van gedeelde hostingmiddelen, kunnen aanvallen op andere klanten ook jouw diensten negatief beïnvloeden;
- Indien er sprake is van gedeelde infrastructuur: met welke andere (type) klanten deel je de infrastructuur?
- Welke anti-spoofingmechanismes worden gebruikt*;
- Welke detectiemechanismes gebruikt worden om (D)DoS-aanvallen in een vroeg stadium te detecteren;
- Welke afspraken er gemaakt zijn voor het installeren van beveiligingsupdates;
Hoe het met de systeem- en netwerkcapaciteit van de online diensten gesteld is.
*Internetproviders kunnen filtering toepassen volgens bekende standaarden, zoals BCP38: http://www.bcp38.info/, om gespoofd verkeer tegen te houden.
Advies 3
Ga bij alle interne infrastructuur na welke maatregelen al genomen zijn en, pas technische maatregelen toe indien nodig.
Het NCSC adviseert om meerdere overlappende maatregelen te treffen om de weerbaarheid van interne infrastructuur tegen (D)DoS-aanvallen te vergroten. Maak gebruik van het bij Advies 1 gemaakte overzicht om voor de eigen infrastructuur vast te leggen welke maatregelen al getroffen zijn. Voor alle applicaties, servers of netwerkapparatuur waar er onvoldoende maatregelen zijn getroffen, informeer over de mogelijke technische maatregelen.
In de factsheet Technische maatregelen voor de continuïteit van online diensten vind je een uitgebreide lijst van technische maatregelen. Overweeg het treffen van maatregelen op deze lijst, indien deze nog niet getroffen zijn. Afhankelijk van de mate van uitbesteding van de ICT kunnen sommige maatregelen niet worden toegepast zonder medewerking van derden.houden.
Advies 4
Bereid incidentrespons voor en denk na over failoverscenario’s van online diensten.
Maak een draaiboek voor tijdens een DDoS-aanval. Beschrijf hoe een aanval herkend wordt en wie welke stappen neemt. Wie houdt bijvoorbeeld de tijdlijn en kenmerken van de aanval bij? Wie verzamelt de nodige gegevens om aangifte te doen? Overweeg om een gespecialiseerd team in te richten dat autonoom optreedt tijdens dit soort incidenten. Bijvoorbeeld een Security Operations Centre (SOC) of Computer Security Incident Response Team (CSIRT).
Denk na over backup- en failoverscenario’s van online diensten. Maak afspraken met externe dienstverleners over responsmechanismes en eventuele extra dienstverlening. Voorbeelden zijn een simpele website die klanten laat weten dat er aan het probleem gewerkt wordt, of het laten inschakelen van een (D)Dos wasstraat die inkomend verkeer opschoont voordat het uw online diensten bereikt.
Overweeg het opzetten van alternatieve communicatiepaden die gebruikt kunnen worden tijdens een aanval. Hiermee blijf je in contact met de belangrijke systemen en organisaties.
Advies 5
Instrueer de communicatieadviseur van de organisatie.
Maak een draaiboek voor tijdens een DDoS-aanval. Beschrijf hoe een aanval herkend wordt en wie welke stappen neemt. Wie houdt bijvoorbeeld de tijdlijn en kenmerken van de aanval bij? Wie verzamelt de nodige gegevens om aangifte te doen? Overweeg om een gespecialiseerd team in te richten dat autonoom optreedt tijdens dit soort incidenten. Bijvoorbeeld een Security Operations Centre (SOC) of Computer Security Incident Response Team (CSIRT).
Denk na over backup- en failoverscenario’s van online diensten. Maak afspraken met externe dienstverleners over responsmechanismes en eventuele extra dienstverlening. Voorbeelden zijn een simpele website die klanten laat weten dat er aan het probleem gewerkt wordt, of het laten inschakelen van een (D)Dos wasstraat die inkomend verkeer opschoont voordat het uw online diensten bereikt.
Overweeg het opzetten van alternatieve communicatiepaden die gebruikt kunnen worden tijdens een aanval. Hiermee blijf je in contact met de belangrijke systemen en organisaties.
Ten slotte
Het uitvoeren van een DDOS-aanval is een strafbaar feit waar gevangenisstraf of een boete op staan. Het is belangrijk om aangifte bij de politie te doen. Ook als de dader niet te achterhalen is, helpt het doen van aangifte om een beter beeld te geven van de omvang van dit fenomeen.
Als je ervoor kiest om aangifte te doen, neem dan via 0900-8844 contact op met het lokale wijkteam voor het maken van een afspraak. Vraag of er een digitaal expert aanwezig kan zijn tijdens de aangifteprocedure. Neem uit het monitoringsysteem de basisgegevens mee.