Beheer

Dit is een bijdrage van Solvinity
Security
ME

5 manieren om een DDoS-aanval te pareren

Hoe een secure managed IT services provider zijn klanten en zichzelf kan beschermen

12 mei 2020
Door: Solvinity, partner

Hoe een secure managed IT services provider zijn klanten en zichzelf kan beschermen

Onze toenemende afhankelijkheid van digitale systemen maakt ons kwetsbaar. Security-dreigingen zoals DDoS-aanvallen zijn een groeiend fenomeen. Dit vergroot de behoefte aan IT-specialisten met parate security-kennis, maar deze kennis is schaars. Hierdoor is het uitbesteden van IT populair. Dit maakt service providers een interessant doelwit voor DDoS-aanvallen. Hoe beschermt een secure managed services provider zijn klanten en zichzelf hiertegen? Marc Guardiola, CISO en lead architect bij Solvinity, legt het uit.

Bij het insourcen en het bouwen van het netwerk houden we bij Solvinity al rekening met DDoS- of ransomware-aanvallen. We beperken we de risico’s op voorhand zoveel als mogelijk. Dit doen we door de volgende maatregelen te nemen:

  1. Risico-indicatie
    Of het nu een financiële instelling, een overheid of een ‘gewoon’ bedrijf is; bij de eerste aanvraag gaan we al na wat de beste mogelijkheid is om de dienst te beveiligen. De onboarding van nieuwe klanten gebeurt volgens een grondig due diligence proces. We kijken wat voor omgeving het is, wat voor risico’s er zijn en hoe we die het beste kunnen mitigeren.
     
  2. Assessment
    Per omgeving maken we een assessment om met de klant te bepalen welke oplossing het beste past. Dat hangt af van diverse factoren. Hoe belangrijk is het dat de betreffende applicatie altijd beschikbaar is? Wat is de impact als het mis gaat? En: hoe groot is de kans dat dit gebeurt? Maar ook: hoe groot is de impact op de privacy en hoe zwaar weegt dit? En wat mag dit kosten? Vervolgens maken we een SLA, inclusief risico-indicatie. Want 100 procent beveiliging bestaat niet.
     
  3. Standaardoplossingen
    Op elk vlak moet je de zaken op het gebied van security goed voor elkaar hebben. Bepaalde standaardoplossingen dekken al een hoop, zoals patchmanagement. Er is nog wel eens sprake van kwetsbaarheden die niet direct tot een datalek leiden, maar wél een risico vormen voor de beschikbaarheid. Een server kan met heel weinig middelen worden platgelegd. Met enkele basismaatregelen op het gebied van patchmanagement, hardening en tuning lukken dit soort lichte DDoS-aanvallen al niet meer.
  1. Risicomanagement
    Een andere maatregel is het detecteren en tegenhouden van verdacht verkeer binnen de buitenste randen van je netwerk. Waarom zou je verkeer toelaten dat tot overbelasting leidt en niets te maken heeft met de dienstverlening? En we kijken naar de mate waarin een omgeving risico’s met zich meebrengt. Bij politieke partijen moet je bijvoorbeeld rond verkiezingstijd extra op je hoede zijn. Als we weten dat bepaalde omgevingen vaker zijn geDDoS’t of al een dreigmail hebben gehad, dan zonderen we ze af in een bepaald stukje netwerk, zodat andere klanten goed beschermd blijven. Sommige organisaties worden overigens ook geDDoS’t op normaal verkeer. Dan kun je ervoor kiezen al het verkeer naar zo’n omgeving te blokkeren, maar dat wil de betreffende organisatie natuurlijk niet. Ook dan plaatsen we de klant op een afgeschermd deel van onze infrastructuur, zodat we meer mogelijkheden krijgen om maatregelen te nemen.
     
  2. Optimale bescherming
    Voor optimale bescherming kun je nog meer doen:

    • Het inzetten van specialistische filterapparatuur werkt goed. Maar dit gebruik je misschien nauwelijks, terwijl dit wel heel duur is.
    • Externe filtering: je kunt organiseren dat verkeer vanuit bijvoorbeeld Zuid-Amerika daar wordt gefilterd, waarna de provider alleen schoon verkeer doorstuurt buiten het gebied.
    • Er bestaan diensten waarmee je in de data van het verkeer kunt kijken. Dit werkt eveneens uitstekend, maar is privacygevoelig. Bepaalde organisaties kunnen of willen hier om die reden geen gebruik van maken.
    • Always-on DDoS-mitigatie-leveranciers bieden uitstekende bescherming, maar zijn heel duur. En kosten spelen uiteindelijk altijd een rol.

Buiten schot

En hoe proberen wij zelf buiten schot te blijven? Veel van onze beheersystemen hangen niet aan het internet. Vaak kunnen we toegang buiten het publieke netwerk verlenen. De zaken die wel via internet gaan, zoals onze e-mail, DNS-server en serviceportaal, bedienen we op dezelfde manier als onze klanten. En dat gaat behoorlijk geavanceerd. Via een zelfgebouwd SDN (Software Defined Network) detecteren we scenario’s. Zowel voor de klant als voor onszelf. Daarmee kunnen we DDoS-aanvallen zoveel mogelijk automatisch tegengaan. Belangrijk en handig, zeker als je bedenkt dat het voortdurend meer en complexer wordt.

1
Reacties
Hans Poort 22 mei 2020 15:51

Goed stuk van Marc, zo ken ik 'm ook.

Reactie toevoegen