DDoS-aanvallen treffen ondernemingen uit alle sectoren

Van 50 naar 300 Gbps in een jaar tijd

Op het gebied van cybercriminaliteit zijn er wellicht evenveel scenario’s als criminelen. Bij DDoS-aanvallen (Distributed Denial-of-Service), die zowel ondernemingen als particulieren treffen, schuilt de grootste nieuwigheid wellicht in de exponentiële toename van het aantal aanvallen. “Terwijl het gemiddelde volume van tegelijk uitgevoerde verzoeken in 2020 nog 50 Gbps bedroeg, is dat intussen gestegen tot 300 Gbps. Dat komt overeen met 60 miljoen pakketjes per seconde tijdens een aanval. Geen enkele klassieke bescherming is opgewassen tegen een dergelijke aanval,” verduidelijkt Mounir Senhaji, Security Consultant en DDoS-specialist bij Proximus.

Blitzkrieg op de IT-infrastructuur

Een geslaagde aanval verzadigt de bandbreedte van de servers, met uitputting van de systeemresources als gevolg. Om zich op doeltreffende wijze te beschermen tegen deze verschillende types van aanvallen, moet er een oplossing worden geïmplementeerd die de aanvallen kan afweren op het niveau van de internetprovider. Die moet worden aangevuld met een oplossing die toepassingsaanvallen kan blokkeren.

De motieven

Thimo De Souter, Security Specialist bij de Proximus partner Davinsi Labs, merkt dat er verscheidene motieven achter deze aanvallen schuilgaan: “Een financieel motief uiteraard, met ransomware. Maar het kan ook een poging zijn om een concurrent te destabiliseren. In sommige gevallen kan men het zelfs beschouwen als het digitale equivalent van een soort manifestatie met ideologische of politieke inslag. Ook zien we tijdens examenperioden steevast een toename van het aantal DDoS-aanvallen door studenten die zich vervelen.”

“Een onrustwekkende nieuwe trend is dat er illegale service-oplossingen worden aangeboden die om het even wie in staat stellen om DDoS-aanvallen uit te voeren,” preciseert Mounir Senhaji.

Hoewel geen enkele organisatie gespaard blijft van deze aanvallen, zien we wel dat de grootste bedrijven vaak te maken krijgen met de meest geavanceerde cybercriminelen.

Mounir Senhaji - Security Consultant en DDoS-specialist bij Proximus

Alle sectoren door elkaar

De sterke groei van telewerk is een gedroomde opportuniteit voor cybercriminelen. Hoe meer verbindingen er zijn, hoe groter het risico op fouten... Volgens Mounir Senhaji zijn de aanvallen tegen alle sectoren gericht. “De bankensector natuurlijk maar ook de gezondheids-, retail- en onderwijssector krijgen de hardste klappen. De aanvallen hebben steeds meer impact en volgen een beproefde modus operandi. De enige verdediging is anticipatie en wij begeleiden ondernemingen uiteraard met oplossingen op maat.”

Analyseren, configureren en testen

Technisch gesproken, kunnen DDoS-aanvallen in een vroeg stadium worden neergeslagen. Thimo De Souter presenteert een stappenplan. “Breng de bestaande infrastructuur in kaart en elimineer alle verouderde en overbodige systemen die met het internet zijn verbonden. Vervolgens moeten de kritieke systemen worden geanalyseerd om het toe te kennen beveiligingsbudget te bepalen. En last but not least moet de configuratie van de beveiliging worden getest met het simulatie-instrument van Davinsi Labs bijvoorbeeld.”

“Anti-DDoS-oplossingen in de cloud en op de site hebben allebei hun voor- en nadelen, maar zijn erg complementair. DDoS is een kwestie van tijd, regelmatige tests en onderhoud op lange termijn,” onderstreept Mounir Senhaji.

Realtime simulatie

Hoewel geen enkele organisatie gespaard blijft van deze aanvallen, zien we wel dat de grootste bedrijven vaak te maken krijgen met de meest geavanceerde cybercriminelen. Er bestaat geen betere voorbereiding dan een simulatie. “Na de infrastructuurtest kan men ook meer gerichte tests uitvoeren, op de VPN-server of de startpagina van een e-commercewebsite bijvoorbeeld. De simulator onderzoekt dan de kwetsbare elementen, net zoals een crimineel dat zou doen. Op basis van de resultaten formuleren we een simulatievoorstel bestaande uit een aanval op de volumetrische of applicatieve laag,” legt Thimo De Souter uit.

Performante (en soms verrassende) resultaten

Dankzij het dashboard kunnen klanten de gesimuleerde aanvallen in realtime volgen. “Het eindrapport bevat dan een nauwkeurig verslag van de kwetsbaarheden en adviezen voor een afdoende bescherming. Op die manier maken we klanten bewust van hun eigen situatie. De ervaring heeft ons geleerd dat zelfs reeds beschermde organisaties vaak verrast zijn door de resultaten en hun kwetsbaarheid. Een ontoereikende configuratie of perimeter kunnen daarvan de oorzaak zijn,” onderstreept Thimo De Souter.