Slachtoffers maken samen vuist tegen DDoS-aanval met clearing house

Het clearing house verzamelt profielen van DDoS-aanvallen die de aangesloten organisaties doormaken. Die handtekeningen (fingerprints) worden gedeeld met de anderen zodat deze weten hoe de aanval eruit ziet. Zo kunnen ze sneller reageren mocht de aanval ook hen treffen. De aangesloten organisaties installeren software (dissector) die tijdens een aanval automatisch fingerprints genereert en opstuurt naar de clearinghouseserver. "Organisaties blijven zelf verantwoordelijk voor de DDoS-detectie en het mitigeren [afwenden of stoppen, red] het DDoS-verkeer dat ze te verwerken krijgen", zegt Cristian Hesselman, directeur van SIDN Labs.

Het clearing house is een initiatief van de Nederlandse Anti-DDoS-Coalitie - een samenwerkingsverband van 17 deelnemers uit verschillende industriesectoren, variërend van de NBIP, de Betaalvereniging en DINL tot ISP's en internet exchanges. Naast het uitwisselen van kennis over DDoS-aanvallen en trends, organiseren ze ook periodiek oefeningen om elkaar zo goed mogelijk voor te bereiden op het afweren van een aanval. Het clearing house is nu de derde pijler onder dit initiatief.

Internationaal onderzoek

De werkgroep die het clearing house heeft voorbereid krijgt een belangrijke steun in de rug van het Europese cybersecurityonderzoeksproject CONCORDIA. "De Europese Commissie ziet het project als een 'sweet spot'. Voor een investering in het onderzoek, krijgt het via de Anti-DDoS-coalitie meteen de toepassing van de onderzoeksresultaten terug." Aan CONCORDIA doen in totaal 50 partijen uit heel Europa mee. Bij het werk aan het clearing house zijn onder meer Telecom Italia, onderzoeksgroep FORTH uit Griekenland en Siemens betrokken als buitenlandse deelnemers.

Hoewel één overkoepelend Europees clearing house voor alle industriesectoren in theorie waarschijnlijk het meest effectief zou zijn - criminelen maken immers ook geen onderscheid - ziet Hesselman dat niet snel gebeuren. "Zeker in de pilot zijn het organisaties die elkaar helemaal vertrouwen omdat ze elkaar kennen. Als het clearing house in de operationele fase groter wordt moet je goede afspraken maken, want dan ga je over op 'impersonal trust'. Bij een Europa- of sectorbrede organisatie komen er duizenden partijen bij elkaar. Dat wordt het nog lastiger het vertrouwen te waarborgen. Dat is in ieder geval geen onderdeel van CONCORDIA."

Professionaliseringsslag nodig

Voor de operationele fase moet de organisatie nog verder worden geprofessionaliseerd. Zo moet de database van het clearing house worden beheerd door een vertrouwde en kundige marktpartij. De Stichting Nationale Beheersorganisatie Internet Providers (NBIP) is daarvoor een heel voor de hand liggende kandidaat. Nu al is NBIP een belangrijke partner voor aangesloten organisaties bij het verweer tegen DDoS, onder meer via NaWas, de 'wasstraat' waarmee het verkeer bij een aanval wordt geschoond. NBIP speelt in de opzet van het clearing house ook al een belangrijke rol door bijvoorbeeld bekende DDoS-fingerprints te delen. Over het definitieve beheer van het clearing house worden nu gesprekken gevoerd.

De software moet ook nog verder worden ontwikkeld. "We hebben nu de dissector-software als prototype gereed. Maar er moet ook nog aanvullende software komen bijvoorbeeld voor het visualiseren om de gebruiksvriendelijkheid te verbeteren. En er is software in de maak om de fingerprints makkelijk of zelfs automatisch om te kunnen zetten in regels waarmee deelnemers hun netwerken proactief in kunnen regelen tegen DDoS-aanvallen. "Nu vond de ontwikkeling plaats onder de vlag van het Europees project. Maar dat loopt in 2022 af. Daarna moet de doorontwikkeling plaatsvinden door een software-ontwikkelaar uit de markt."

Ontstaan honeypot voorkomen

Ook de juridische afspraken voor de operationele fase moeten nog worden afgerond. Er is vroeg gestart met het opstellen van dat juridische waarborgen voor de vijf deelnemers in de pilot, zelfs nog voor maar iets aan technologie werd ontwikkeld. "Je weet dat dat onderdeel een kwestie is van geduld en doorzettingsvermogen. Je moet vijf partijen op een lijn krijgen en bij de grotere organisaties staan de juristen vaak wat verder van de techniek en zijn daarom extra voorzichtig. Voor de operationele fase met meer partijen moeten er nieuwe afspraken komen en dat kost tijd. Maar we hebben het voor de pilotfase ook voor elkaar gekregen, dus ik heb er vertrouwen in."

Met de marktpartij die de database gaat beheren, moeten straks ook goede afspraken worden gemaakt over de beveiliging. "We voorkomen dat die database een 'honeypot' wordt voor de aanvallers." Hesselman denkt aan de opzet van een gedistribueerde database zodat nooit de hele infrastructuur kan worden platgelegd. Hesselman: "Het clearing house is een stukje van de puzzel om het DDoS-aanvallers lastig te maken. Je hebt daarnaast een heel scala aan andere maatregelen nodig op verschillende plaatsen in het internet. Denk aan DDoS-mitigatiediensten, het goed beveiligingen van apparatuur zoals IoT-componenten en netwerkonderdelen."