Hoewel gedistribueerde denial-of-service (Distributed Denial of Service, of DDoS)-aanvallen het hele jaar plaatsvinden, is het feestdagenseizoen de periode waarin enkele aanvallen veel aandacht krijgen.
Krijg inzichten rechtstreeks van de experts in de Microsoft Bedreigingsinformatie-podcast. Luister nu.
DDoS-verdediging tijdens de feestdagen: Je gids om veilig te blijven
DDoS-aanvallen worden uitgevoerd door individuele apparaten (bots) of een netwerk van apparaten (een botnet) die geïnfecteerd zijn met malware en gebruikt worden om websites of services te overspoelen met hoge volumes verkeer. DDoS-aanvallen kunnen een paar uur tot enkele dagen duren.
- Wat: een DDoS-aanval overspoelt een site of server met onnodig verkeer om de service te verstoren of offline te halen.
- Waarom: criminelen gebruiken DDoS-aanvallen om eigenaren van sites af te persen om financiële of politieke redenen of om concurrentievoordeel te behalen.
- Hoe: dankzij het verdienmodel 'cybercrime-as-a-service' (cybercriminaliteit als een dienst), kan een DDoS-aanval al vanaf USD 5 worden besteld bij een DDoS-abonnementsservice.1
IP-stressers, ook bekend als DDoS-stressers of IP-booters, zijn hoofdzakelijk software als een dienst voor cyberaanvallers. Deze services laten iedereen toe om een botnet te gebruiken om massale DDoS-aanvalcampagnes te starten, omdat je geen coderingsvaardigheden nodig hebt.
- Eén: organisaties beperken meestal hun resources voor de bewaking van hun netwerken en toepassingen, zodat het makkelijker is voor bedreigingsactoren om een aanval uit te voeren.
- Twee: Het volume van het verkeer is op zijn hoogst (dit jaar wordt er naar verwachting voor USD 1,33 biljoen verkocht), vooral voor e-commercewebsites en gamingproviders. Dit maakt het moeilijker voor IT-personeel om onderscheid te maken tussen rechtmatig en onrechtmatig verkeer.
- Drie: voor aanvallers die uit zijn op financieel gewin is de kans op lucratievere uitbetaling groter tijdens de feestdagen, omdat de inkomsten het hoogst zijn en de uptime van services essentieel is.
Vorig jaar hebben we aandacht besteed aan hoe het feestdagenseizoen een toename van zulke aanvallen liet zien, wat de behoefte aan robuuste verdediging nog eens benadrukt.
Elke downtime van een website of server tijdens de piek van het feestdagenseizoen kan leiden tot gemiste verkoop en klanten, hoge kosten om te herstellen of schade aan je reputatie. De impact is zelfs nog groter voor kleinere organisaties, omdat zij meer moeite kunnen hebben met het herstellen na een aanval.
In het algemeen valt een DDoS-aanval onder drie primaire categorieën, met in elke categorie een verscheidenheid aan verschillende cyberaanvallen. Nieuwe DDoS-aanvalsvectoren duiken elke dag op nu cybercriminelen gebruikmaken van geavanceerdere technieken, bijvoorbeeld aanvallen op basis van kunstmatige intelligentie (AI). Aanvallers kunnen meerdere typen aanvallen gebruiken tegen een netwerk, inclusief aanvallen uit verschillende categorieën.
Volumetrische aanvallen: Deze zijn gericht op de bandbreedte. Ze zijn ontworpen om de netwerklaag te overspoelen met verkeer.
Een voorbeeld: Een aanval met DNS (Domain Name System)-versterking, waarbij open DNS-servers worden gebruikt om een doel te overspoelen met DNS-responsverkeer
Protocolaanvallen: Deze zijn gericht op resources. Ze maken gebruik van zwakke punten in laag 3 en laag 4 van de protocolstack.
Een voorbeeld: Een SYN-aanval (een synchronisatieoverloopaanval), waarbij alle beschikbare serverresources worden gebruikt (en daardoor de server niet meer beschikbaar is).
Resourcelaagaanvallen: Deze zijn gericht op webtoepassingspakketten. Ze verstoren de transmissie van gegevens tussen hosts
Een voorbeeld: Een HTTP/2 Rapid Reset-aanval, waarbij een vastgesteld aantal HTTP-aanvragen wordt verzonden met gebruik van HEADERS gevolgd door RST_STREAM. Dit patroon wordt herhaald om een hoog volume verkeer te genereren op de aangevallen HTTP/2 servers.
Hoewel je niet volledig kunt voorkomen dat je het doelwit bent van een DDoS-aanval, kan een proactieve planning en voorbereiding je helpen een effectievere verdediging op te richten.
Het is daarnaast belangrijk om te onthouden dat hoge volumes verkeer rond de feestdagen het moeilijker kunnen maken om afwijkingen te detecteren.
- Evalueer je risico's en beveiligingsproblemen: Begin met het identificeren van de toepassingen binnen je organisatie die zijn blootgesteld aan het openbare internet. Zorg er ook voor dat je het normale gedrag van je toepassing kent, zodat je snel kunt reageren wanneer je een ander gedrag ziet dan verwacht.
- Zorg ervoor dat je beschermd bent: Met het hoogste aantal DDoS-aanvallen tijdens de feestdagen, heb je een DDoS-beschermingsservice nodig met geavanceerde mogelijkheden voor beperking. Deze service kan aanvallen aanpakken op elke schaal. Let op servicefuncties zoals: verkeersbewaking; beveiliging die is aangepast aan de kenmerken van je toepassing; DDoS-beschermingstelemetrie, -bewaking en -waarschuwingen; toegang tot een antwoordteam dat snel kan handelen.
- Maak een DDoS-reactiestrategie: Het hebben van een reactiestrategie is essentieel om je te helpen bij het identificeren, beperken en snel herstellen van DDoS-aanvallen. Een belangrijk onderdeel van de strategie is het samenstellen van een DDoS-antwoordteam met duidelijk gedefinieerde rollen en verantwoordelijkheden. Dit DDoS-antwoordteam moet begrijpen hoe het een aanval identificeert, beperkt en bewaakt. Daarnaast moet het in staat zijn om te coördineren met interne belanghebbenden en klanten.
- Vraag om hulp tijdens een aanval: Als je denkt dat je het onderwerp van een aanval bent, neem je contact op met de toepasselijke technische professionals. Bijvoorbeeld een opgericht DDoS-antwoordteam kan tijdens de aanval helpen bij onderzoek naar de aanval, maar ook bij analyse na de aanval.
- Leer uit een aanval en pas je aan: Waarschijnlijk wil je na een aanval zo snel mogelijk verder gaan, maar het is belangrijk dat je je resources blijft bewaken en dat je een retrospectief onderzoek uitvoert na een aanval. Zorg ervoor dat je analyse na een aanval het volgende overweegt:
- Was er sprake van verstoring van de service of de gebruikerservaring vanwege een gebrek aan schaalbare architectuur?
- Welke toepassingen of services hebben het meest geleden?
- Hoe effectief was de DDoS-reactiestrategie en hoe kan deze worden verbeterd?
Microsoft volgen