Een DDoS (Distributed Denial of Service)-aanval is bedoeld om de IT-infrastructuur (zoals servers) van een organisatie, onderneming … buiten werking te stellen.
Cybercriminelen installeren malware op apparaten die op een netwerk zijn aangesloten zonder dat de eigenaar daarvan op de hoogte is. Ze gebruiken die "zombies" vervolgens om een groot aantal gelijktijdige verzoeken te lanceren naar de server die ze willen aanvallen. Wanneer het aantal verzoeken de maximumcapaciteit van de infrastructuur overschrijdt, kunnen de servers de volgende problemen ondervinden:
- ze werken trager: de reactie op verzoeken is veel trager dan normaal,
- ze zijn totaal niet meer toegankelijk: verzoeken van alle of sommige gebruikers worden volledig genegeerd.
In het algemeen duren de aanvallen minder dan een uur en meestal niet langer dan 15 minuten (zie grafiek).
Er is nu een variant van DDoS opgedoken, namelijk Ransom Distributed Denial of Service (RDDoS). Cybercriminelen bedreigen een organisatie met meerdere DDoS-aanvallen maar beloven hun aanvallen te stoppen in ruil voor losgeld. Een tip: panikeer niet en betaal vooral niet!
Grafiek. Duur van een Distributed Denial of Service aanval
Source : Imperva, Global DDoS Threat Landscape Report 2021
Hoe beschermt u zich tegen een DDoS-aanval?
Kies uw partners zorgvuldig
- uw webmaster (degene die uw website maakt en onderhoudt)
- uw webhost (om een webhost van goede kwaliteit te vinden, vergelijkt u best: https://webadvisor.be/beste-website-hosting-belgie/
- uw intern personeel of externe IT-diensten, en bepaal de interventietijden (< 15min)
Hou de volgende informatie bij de hand (ook op papier)
- de contactgegevens van de webmaster en webhost
- de verbindingsgegevens en ondersteuningsmaatregelen van de webmaster en/of de host van de website
- een overzicht van de betalingen (hosting, domeinnaam ...)
- de identificatie van de personen die toegang hebben tot die informatie
- uw IP-adres (u vindt het op https://whatismyipaddress.com/), of activeer de mogelijkheid om uw IP-adres bij elke nieuwe verbinding te wijzigen.
Maak een back-up van uw gegevens en programma's op en buiten de site
Het gebruik van automatische back-ups of reservekopieën is de veiligste manier om ervoor te zorgen dat uw gegevens en programma's altijd beschikbaar zijn, zelfs bij een cyberaanval. Anders moet u vanaf 0 herbeginnen, bijvoorbeeld in geval van diefstal van uw rechten.
Zorg er dan ook voor dat u:
- uw back-ups elders opslaat dan waar uw website zich bevindt.
- offline extra kopieën hebt, zelfs als uw webhost en webplatform die back-ups in hun diensten opnemen.
Houd al uw systemen en software up-to-date
Uw besturingssysteem (Windows ...), uw routers en uw software moeten up-to-date zijn.
Gebruikt u een Content Management Systeem (CMS) zoals WordPress of Drupal? Controleer dan of uw websitetechnologie is bijgewerkt met de laatste softwarestatus, vooral als er beveiligingsupdates zijn geweest.
Maakt u gebruik van gepersonaliseerde software? Overweeg dan over te schakelen op een CMS dat regelmatig wordt bijgewerkt. Bespreek het met uw webmaster.
Ken de omvang van uw netwerk
- Verdeel uw netwerk in zones. Wanneer uw netwerk niet in zones is opgedeeld, heeft elke machine die op het netwerk is aangesloten toegang tot alle andere machines. Als één computer het doelwit wordt van een cyberaanval, is uw hele IT-infrastructuur in gevaar.
- Identificeer het "normale" verkeer op uw website en observeer het. Als u het "normale" verkeer op uw website kent, kunt u (vroegtijdige tekenen van) abnormale verkeersstromen detecteren en het verkeer buiten uw netwerk omleiden, en ook rate limiting toepassen om de hoeveelheid inkomend verkeer te beperken.
Zorg ervoor dat u over anti-DDoS-bescherming beschikt
- Implementeer anti-DDoS-bescherming met “on-premises” oplossingen (waarbij de software buiten het netwerk wordt geïnstalleerd), DDoS scrubbing service (dienst om DDoS-aanvallen te neutraliseren) of een hybride oplossing.
- Bespreek het met uw webmaster of webhost.
Pas goede praktijken toe (eventueel met externe hulp)
- Installeer een netwerk-firewall en pas de nodige regels toe voor toegang tot het internet (network-based).
- Voorzie interne systemen, zoals servers en werkstations, van een host-based firewall.
- Schakel ongebruikte diensten uit of filter ze uit het netwerk.
- Activeer automatische updates van besturingssystemen, programma's en routers.
- Laat het standaardwachtwoord niet ingesteld op de internetrouter en andere systemen, maar vervang het door een sterk wachtwoord.
- Gebruik indien mogelijk cloud-gebaseerde diensten. Websites, e-maildiensten of andere online platforms zijn zeer kwetsbaar wanneer ze lokaal op een server worden gehost. Diensten in de cloud zijn beter beschermd door de brede beschikbaarheid ervan.
- Maak waar mogelijk gebruik van tweefactorauthenticatie (2FA), met name voor
- beheerdersaccounts
- gebruikers met extra of gevoelige privileges die specifieke taken moeten uitvoeren die anders zijn dan die van gewone gebruikers.
Meer informatie over tweefactorauthenticatie (2FA) vindt u op de website Safeonweb.
- Gebruik antivirus (antimalware) op servers en endpoints (pc's van werknemers, smartphones ...). Zo vermijdt u dat u deelneemt aan een DDoS-aanval zonder uw medeweten.
- Gebruik Intrusion Detection tools (IDS) op netwerken. Die tools controleren het netwerkverkeer op verdachte activiteiten en sturen waarschuwingen wanneer veiligheidslekken worden ontdekt.
- Activeer de filterfunctionaliteit op de internetrouter of firewall.
- Verdeel het netwerk en de cloud-diensten van uw bedrijf volgens toepassingen, activiteiten of functies (backoffice, productiesystemen, openbare website, externe gebruikers, externe diensten, interne gebruikers, interne bedrijfsgegevens, enzovoort).
Wees alert
- Gebruik diensten die uw site voortdurend controleren en u waarschuwen in geval van panne.
- Voer regelmatig scans uit van het netwerk van uw onderneming.
Sensibiliseer uw personeel regelmatig
Elk personeelslid is een schakel in de keten van informatiesystemen. Daarom moeten zij op de hoogte zijn van de veiligheidsproblemen van de IT-infrastructuur. U moet hen bewust maken van goede IT-beveiligingspraktijken (wat te doen als zij merken dat de site niet beschikbaar is of bij cybersquatting (defacement van de website)?).
Uw bedrijf is het doelwit van een DDoS-aanval. Wat moet u doen?
Doe een beroep op het team
Contacteer
- uw webmaster en de host van uw website
- uw intern personeel (als u dat heeft) of externe IT-diensten.
Beperk de TTL (Time to Live) tot 1 uur
Vraag uw webmaster (als hij uw relatie met de webhost beheert) of uw webhost om de Time to Live (TTL) te veranderen in 1 uur.
Time to Live (TTL) verwijst naar de tijdspanne of "hop" waarbinnen gegevens (in de vorm van pakketten) naar verwachting in een netwerk bestaan voordat de router ze wist. Door de standaardwaarde van 72 uur (drie dagen) voor die instelling aan te passen, kunt u uw site veel sneller omleiden wanneer ze wordt aangevallen.
Meld de aanval aan CERT.be
- Meld het incident aan CERT.be, het Federal Cyber Emergency Team.
- Dien een klacht in bij de politie.
Beveilig uw verkeer en uw router
- Sta alleen bekend verkeer en verkeer van goede kwaliteit toe: blokkeer alles standaard (deny all), gebruik toestemmingslijsten om alleen dat verkeer toe te staan.
- Consolideer uw router door het volgende uit te schakelen:
- IP-gericht uitzendadres (IP directed broadcast)
- HTTP-configuraties
- Ping ICMP
- IP bronroutering (IP source routing).
Vraag dat aan bij uw externe diensten.
Bepaal uw DDoS-mitigatiebehoeften
Zodra u de controle weer in handen hebt, gaat u na wat u nodig hebt op het vlak van processen om u doeltreffend te beschermen tegen DDoS-aanvallen. Kies voor een veilige hosting provider of ga gewoon door met uw DDoS-mitigatiedienst.
Bewaar bewijsmateriaal
Evalueer de schade van de cyberaanval en alle verloren gegane informatie. Verwijder geen bewijsmateriaal voordat u er zeker van bent dat u geen schade hebt geleden en geen reden hebt om bewijsmateriaal te bewaren.
Meer informatie
- Op de website van het Agentschap van de Europese Unie voor Cyberbeveiliging (Engelse site) vindt u de verschillende soorten DDoS-aanvallen en maatregelen om ze te beperken.
- Er zijn ook YouTube-video's over DDoS beschikbaar:
- Les bonnes pratiques anti-DDoS (presentatie in het Frans door Julien Simon van Amazon Web Services)
- Comment fonctionne un DDoS ? (presentatie in het Frans door Léo van TechMamer)