Een DDoS-aanval (Distributed Denial of Service) is geen lachertje; ze overspoelen uw netwerk met kwaadaardig verkeer, waardoor uw toepassingen worden platgelegd en legitieme gebruikers geen toegang meer hebben tot uw service. DDoS-aanvallen leiden vaak tot gederfde omzet, verlaten winkelwagentjes, reputatieschade en ontevreden gebruikers.
In het eerste deel van deze blogserie zijn enkele stappen besproken die u moet nemen om u voor te bereiden op een Distributed Denial of Service (DDoS)-aanval voordat deze plaatsvindt. In dit bericht wordt besproken wat u moet doen als u wordt aangevallen.
Hoewel u niet kunt bepalen wanneer u wordt aangevallen, kunt u door de onderstaande stappen te volgen de gevolgen van de aanval beperken, u op weg helpen naar herstel en voorkomen dat dit nog eens gebeurt.
Alert key stakeholders
Vaak wordt gezegd dat de eerste stap bij het oplossen van een probleem is te erkennen dat u een probleem hebt. Daartoe moet u de belangrijkste stakeholders binnen de organisatie waarschuwen en uitleggen dat u wordt aangevallen, en welke stappen worden ondernomen om dit te beperken.
Voorbeelden van de belangrijkste stakeholders zijn de organisatie CISO, security operations center (SOC), netwerk IT-directeur, operations managers, business managers van de getroffen diensten, enzovoort.
Omdat u waarschijnlijk uw handen vol in de bestrijding van de aanval, is het waarschijnlijk het beste om deze waarschuwing te houden kort en to-the-point.
Kerninformatie – voor zover u die hebt – moet het volgende omvatten:
- Wat gebeurt er?
- Wanneer is de aanval begonnen?
- Welke bedrijfsmiddelen (toepassingen, diensten, servers, enz.) zijn getroffen
- Impact voor gebruikers en klanten
- Welke stappen worden ondernomen om de aanval te beperken
Belanghebbenden op de hoogte houden naarmate de gebeurtenis zich ontwikkelt, en/of nieuwe informatie beschikbaar komt. Door de belangrijkste belanghebbenden voortdurend op de hoogte te houden, voorkomt u verwarring, onzekerheid en paniek, en coördineert u de inspanningen om de aanval te stoppen.
Notify Your Security Provider
Naast het informeren van belanghebbenden binnen uw organisatie, wilt u ook uw beveiligingsprovider waarschuwen, en eventuele stappen van hun kant in gang zetten om u te helpen de aanval af te slaan.
Uw beveiligingsprovider kan uw internet service provider (ISP), web hosting provider, of een speciale beveiligingsdienst zijn.
Elk type leverancier heeft verschillende mogelijkheden en reikwijdte van de dienstverlening. Uw ISP zou kunnen helpen de hoeveelheid kwaadaardig netwerkverkeer dat uw netwerk bereikt te minimaliseren, terwijl uw webhostingprovider u zou kunnen helpen de applicatie-impact te minimaliseren en uw service op te schalen. Evenzo zullen beveiligingsdiensten meestal specifieke hulpmiddelen hebben voor het omgaan met DDoS-aanvallen.
Zelfs als u nog geen vooraf bepaalde overeenkomst voor service hebt, of niet bent geabonneerd op hun DDoS-beschermingsaanbod, moet u toch contact opnemen om te zien hoe ze kunnen helpen.
Activeer tegenmaatregelen
Als u al tegenmaatregelen hebt genomen, is dit het moment om ze te activeren.
Eén aanpak is het implementeren van IP-gebaseerde Access Control Lists (ACL’s) om al het verkeer te blokkeren dat afkomstig is van aanvalsbronnen. Dit wordt gedaan op het niveau van de netwerkrouter en kan meestal worden afgehandeld door uw netwerkteam of uw ISP. Dit is een nuttige aanpak als de aanval afkomstig is van een enkele bron of een klein aantal aanvalsbronnen. Als de aanval echter afkomstig is van een grote groep IP-adressen, dan helpt deze aanpak wellicht niet.
Als het doelwit van de aanval een applicatie of een web-gebaseerde dienst is, dan kunt u ook proberen om het aantal gelijktijdige applicatieverbindingen te beperken. Deze aanpak staat bekend als rate-limiting en wordt door webhostingproviders en CDN’s vaak geprefereerd. Merk echter op dat deze aanpak vatbaar is voor een hoge mate van vals-positief, omdat het geen onderscheid kan maken tussen kwaadwillig en legitiem gebruikersverkeer.
Dedicated DDoS-beschermingshulpmiddelen geven u de breedste dekking tegen DDoS-aanvallen. DDoS-beschermingsmaatregelen kunnen worden ingezet als apparaat in uw datacenter, als een cloudgebaseerde scrubbing-dienst, of als een hybride oplossing waarin een hardwareapparaat en een clouddienst worden gecombineerd.
In principe treden deze tegenmaatregelen onmiddellijk in werking zodra een aanval wordt gedetecteerd. In sommige gevallen kan het echter nodig zijn dat de klant dergelijke hulpmiddelen – zoals out-of-path-hardwareapparaten of handmatig geactiveerde on-demand mitigatieservices – actief initieert.
Zoals hierboven vermeld, zelfs als u geen speciale beveiligingsoplossing hebt, bieden de meeste beveiligingsdiensten de mogelijkheid van on-boarding in noodsituaties tijdens een aanval. Dergelijke on-boarding brengt vaak een flinke vergoeding met zich mee, of een verplichting om later een abonnement op de dienst te nemen. Dit kan echter noodzakelijk zijn als u geen andere optie hebt.
Monitor Attack Progression
Tijdens de aanval moet u de progressie ervan in de gaten houden om te zien hoe deze zich in de loop van de tijd ontwikkelt.
Enkele belangrijke vragen die je in die tijd moet proberen te beantwoorden:
- Wat voor DDoS-aanval is het? Is het een flood op netwerkniveau, of is het een aanval op de toepassingslaag?
- Wat zijn de kenmerken van de aanval? Hoe groot is de aanval (zowel in termen van bits-per-seconde als van pakketten-per-seconde)?
- Is de aanval afkomstig van een enkele IP bron, of van meerdere bronnen? Kunt u ze identificeren?
- Hoe ziet het aanvalspatroon eruit? Is het een enkele aanhoudende vloed, of is het een burst aanval? Gaat het om een enkel protocol, of om meerdere aanvalsvectoren?
- Blijven de doelen van de aanval hetzelfde, of veranderen de aanvallers hun doelen in de loop van de tijd?
Het volgen van het aanvalsverloop helpt u ook om uw verdediging af te stemmen.
Beoordeel de prestaties van de verdediging
Ter slotte moet u, terwijl de aanval zich ontwikkelt en uw tegenmaatregelen worden ingezet, de effectiviteit ervan meten.
De vraag hier is simpel:
Werkt de verdediging, of komt het aanvalsverkeer erdoor?
Uw beveiligingsleverancier moet u voorzien van een Service LevelAgreement (SLA)-document waarin zijn serviceverplichtingen zijn vastgelegd. Twee van de belangrijkste meeteenheden in dit document zijn Time-to-Mitigate (TTM) en Consistency-of-Mitigation.
- De Time-to-Mitigate meet hoe snel uw leverancier zich inzet om de aanval te stoppen.
- De Consistency-of-Mitigation meet aan de andere kant hoe goed hij de aanval stopt. Deze metric wordt meestal gedefinieerd als de verhouding van kwaadaardig verkeer dat wordt toegestaan om het te maken door naar uw netwerk.
Als u vindt dat uw beveiliging niet voldoet aan hun SLA verplichting – of erger nog – is niet in staat om de aanval te stoppen op alle, nu is ook het moment om te beoordelen of je nodig hebt om een verandering aan te brengen.
Download Radware’s “Hackers Almanac” voor meer informatie.
Download nu