Zo bescherm je je tegen een DDoS-aanval
De DDoS-aanvallen die Nederlandse organisaties deze week teisteren zijn uiterst zwaar. Zwaarder dan ooit, hoewel niemand onthuld heeft hóe zwaar ze zijn. Kun je je hier nog tegen verdedigen? Moeilijk, zeker tegen de zeer grote aanvallen. Toch zijn onderstaande maatregelen bepaald niet nutteloos. Het houdt in elk geval een deel van de DDoS-aanvallen tegen.
- Gebruik een oplossing voor DDoS-mitigatie Die herkent verdacht verkeer dat op een DDoS-aanval wijst en stopt dit verkeer voordat het bij het netwerk komt. De normale verdediging tegen cyberaanvallen volstaat niet. Firewalls, intrusion prevention systems en load balancers kunnen de aanvallen niet blokkeren. De aanvallen moeten ‘verzacht’ en afgewend worden voordat ze bij die apparaten komen want die zijn hiervoor zeer kwetsbaar. De methode om je te verdedigen is de aanval op tijd afslaan – dus voordat die het netwerk bereikt. Het verkeer moet omgeleid worden. Een organisatie kan een eigen DDoS-mitigatieoplossing gebruiken of die van een externe aanbieder. Diverse dienstverleners en de NaWas (Nationale Wasstraat) bieden die service. Hierbij wordt de enorme hoeveelheid van verkeer waaruit de DDoS-aanval bestaat, omgeleid en gefilterd. Daarna krijgen de legitieme dataverzoeken van echte klanten toegang.
- Gebruik firewalls en routers en load balancers Firewalls en routers zijn hard nodig om bekend of herkend kwaadaardig danwel verdacht verkeer tegen te houden. Maar daarnaast zijn load balancers nodig. Die verdelen het werk tussen verschillende servers in een netwerk en staan standaard tussen de edge routers en end servers. Ze doen dat om te voorkomen dat servers overladen worden. Bij een DDoS-aanval kunnen ze het verkeer dat daarvan afkomstig is, routeren naar andere servers zodat het aanvalsoppervlak verkleind wordt.
- DDoS-aanvallen op de applicatielaag zijn vaak kleiner en meer gericht Omdat ze ontworpen zijn om zo veel mogelijk buiten zicht te blijven is bescherming nodig ter plekke of in het datacenter waardoor deep-packet inspectie mogelijk is en alles op de applicatielaag zichtbaar is. Dat vereist dus een tool voor webbescherming die DDos-aanvallen op de applicatielaag aan kan. Een belangrijke functie van zo’n tool moet zijn dat je hem zelf kunt configureren.. Mitigatie op basis van het netwerk volstaan niet meer.Er kan ook redundantie toegevoegd worden aan een applicatie door deze te laten draaien bij verschillende publieke cloudproviders.
- Werk samen Door informatie over aanvallen en de eigen verdediging met andere mogelijk slachtoffers te delen, kunnen aanvallen eerder herkend worden en beter gepareerd. Vooral de bankenindustrie loopt hierin voorop. Men deelt informatie over aanvallen en de eigen verdediging en werkt onderling verder samen met de telecomproviders en hun service providers.