Wat is een DDoS-aanval en welke preventieve maatregelen kun je nemen?
DDoS-aanvallen zijn tegenwoordig een reëel risico waar veel organisaties mee te maken krijgen. In 2021 waren er in Nederland bijvoorbeeld 2.796 DDoS-aanvallen, tegenover 1.610 in het jaar ervoor. In 2022 nam het aantal aanvallen licht af, maar zien we wel dat DDoS-aanvallen groter en complexer werden. In maart 2022 registreerde Cloudflare bijvoorbeeld de tot nu toegrootste DDoS-aanval ooitvia https.
Bovendien maken steeds meer DDoS-aanvallen onderdeel uit van zogenoemde multivectoraanvallen (aanvallen waarbij cybercriminelen meerdere methoden gebruiken en combineren). Voldoende reden dus om bedacht te zijn op deze vorm van cybercrime. Maar wat is een DDoS-aanval nou precies? Hoe gebruiken kwaadwillenden deze aanvalstechniek? En welke preventieve maatregelen kun je nemen om beter beschermd te zijn tegen DDoS-aanvallen? Je leest het in dit blogartikel.
Wat is een DDoS-aanval?
Een DDoS-aanval (Distributed Denial of Service) zorgt ervoor dat computers, netwerken of servers binnen korte tijd overspoeld worden met ontzettend veel verkeer. Het resultaat laat zich raden: apparaten, netwerken of servers raken overbelast, waardoor ze (tijdelijk) onbruikbaar worden. Je kunt het eigenlijk vergelijken met een opstopping op de snelweg, alleen dan vertaald naar het digitale domein van IT-diensten. In het ergste geval kunnen apparaten en servers zelfs crashen.
Een DDoS-aanval kan behoorlijk disruptief zijn. Processen komen tijdelijk stil te liggen omdat medewerkers hun taken niet fatsoenlijk kunnen uitvoeren, terwijl klanten geen gebruik kunnen maken van je website of online-diensten. Zo verlies je als organisatie tijd en loop je inkomsten mis, bijvoorbeeld omdat je webshop en websites niet bereikbaar zijn. Een slechte online-bereikbaarheid kan ook uitmonden in reputatieschade.
Hoe werkt een DDoS-aanval?
Maar hoe gaat een DDoS-aanval nu precies in zijn werk? De aanvaller maakt bij dit type aanval vaak gebruik van een botnet, een groep op afstand bestuurbare computers. Die genereren via (meestal stiekem geïnstalleerde) malware een stortvloed aan requests. De omvang van een botnet kan uiteenlopen van honderden tot soms wel miljoenen geïnfecteerde computers.
Een hacker of cybercrimineel stuurt de computers binnen een botnet aan vanuit een centraal punt en laat ze een bepaalde opdracht uitvoeren. Denk bijvoorbeeld aan het voortdurend bezoeken van een website of webshop zodat de servercapaciteit in het gedrang komt en de dienst onbereikbaar wordt. Je kunt botnets ook inzetten voor het versturen van grote hoeveelheden spam, waardoor mailboxen vollopen, maar ook de kans groeit dat iemand een mail opent en wellicht op een link klikt.
Een DDoS-aanval met een botnet heeft meestal de volgende anatomie:
- Een hacker besmet computers van meerdere eindgebruikers. Dit gebeurt doorgaans onder de radar.
- De hacker zet met die apparaten een botnet op.
- De hacker ontvangt geld voor het leveren van een botnet. Syndicaten die zich bezighouden met grootschalige cybercrime hebben meestal wel interesse in grote en goed opgezette botnets.
- Het botnet wordt ingezet voor het uitvoeren van DDoS-aanvallen of grootschalige spamcampagnes.
DDoS-aanvallen kun je indelen in grofweg drie categorieën:
- Een application layer attack (of layer 7 DDoS-aanval) richt zich meestal op de laag waar webpagina’s worden gegenereerd op de server en reageert op http-verzoeken (requests).
- Protocolaanvallen veroorzaken een verstoring van de dienst door alle beschikbare capaciteit van web application servers, of bronnen van tussenliggende apparaten zoals firewalls en load-balancers, te gebruiken.
- Een volumetric attackprobeert opstoppingen te creëren door alle beschikbare bandbreedte tussen het aanvalsdoel en het grotere internet te verbruiken. Grote hoeveelheden data gaan (vaak via een botnet) naar een bepaald doel om massaal verkeer te genereren.
Waarom een DDoS-aanval?
Hackers en cybercriminelen kunnen verschillende beweegredenen hebben voor het uitvoeren van een DDoS-aanval. Denk bijvoorbeeld aan chantage of afpersing. Als een website of webshop lange tijd uit de lucht is, kost dat bedrijven omzet. Cybercriminelen gebruiken ontregeling dan als drukmiddel: ze stoppen pas met hun disruptieve activiteiten als het slachtoffer met geld over de brug komt.
DDoS-aanvallen kunnen ook politiek gemotiveerd zijn. Door digitale kanalen van de overheid, belangrijke nutsbedrijven (denk bijvoorbeeld aan energieleveranciers) en zorginstellingen in een vijandig land lam te leggen, hopen de aanvallers verwarring en onrust te zaaien om de maatschappij te ontwrichten. Rusland past deze tactiek bijvoorbeeld regelmatig toe.
Tot slot kunnen DDoS-aanvallen ook ingegeven worden door ideële motieven (hacktivisme). Hackers zijn het niet eens met het beleid van een bedrijf, bijvoorbeeld omdat een onderneming het milieu sterk vervuilt of mensenrechten met voeten treedt. Een bedrijf ontregelen is dan een manier om druk te zetten en een organisatie aan te sporen tot ander beleid.
Hoe kun je een DDoS-aanval voorkomen?
Helaas is geen enkele organisatie helemaal immuun tegen DDoS-aanvallen. Zelfs als je jouw security prima op orde hebt, is het niet uit te sluiten dat je toch een keer te maken krijgt met deze vorm van cybercriminaliteit. Het goede nieuws? Met de onderstaande preventie- en veiligheidsmaatregelen ben je een stuk minder kwetsbaar.
Schep overzicht
Goed voorbereid zijn op DDoS-aanvallen en andere cyberdreigingen begint met het creëren van een gedetailleerd overzicht van je IT-infrastructuur, zowel on-premises als in de cloud. Wat heb en gebruik ik allemaal? Hoe zit het met onderlinge afhankelijkheden tussen applicaties en systemen? En waar zitten eventuele kwetsbaarheden?
Maak gebruik van een firewall voor webapplicaties
Een web application firewall (WAF) werkt goed tegen application layer attacks. Die zorgen voor congestie en overbelasting door zich te richten op de laag die webpagina’s genereert op de server in reactie op http-requests. Door een WAF te plaatsen tussen de server en het internet, filter je requests en kun je ze beter identificeren en blokkeren.
Pas meerdere securitytechnieken toe
Veel organisaties spitsen hun beveiliging vooral toe op preventie. Maar dat is te weinig in het huidige tijdperk. Door naast preventie ook sterk in te zetten op detectie (het vinden en in de juiste context plaatsen van cyberdreigingen) en response (de manier waarop je een veiligheidsincident of aanval oplost), creëer je een sterk framework voor end-to-end security. Probeer daarom meerdere technieken, zoals firewalls, SIEM en NDR, naast elkaar en op een complementaire manier te gebruiken.
Kijk verder dan alleen de techniek
Een goede bescherming tegen DDoS-aanvallen vraagt om meer dan alleen de juiste techniek. IT is namelijk voor een groot deel mensenwerk. De medewerkers en securityspecialisten binnen een organisatie zijn degenen die incidenten moeten monitoren, aanvallen dienen te herkennen en bij een DDoS-aanval adequaat moeten handelen. Vergeet daarom vooral niet om te investeren in interne kennis op het gebied van cybersecurity.
Jezelf wapenen tegen aanvallen met de juiste trainingen
Juist op dat laatste vlak kan Master IT je prima bijstaan. Ons trainingsaanbod herbergt namelijk diverse trainingen die je de fijne kneepjes bijbrengen van het interessante en complexe vakgebied dat cybersecurity heet.
De training ‘Certified Threat intelligence Analyst’ leert je bijvoorbeeld om proactief gegevens te verzamelen rondom cyberdreigingen. Na deze training ben je in staat om door het raadplegen van een divers scala aan bronnen informatie te vergaren over allerhande bedreigingen. Daarnaast kun je verschillende soorten aanvallen en malware onderscheiden en op elk type gepast reageren. De training ‘Certified Professional Ethical Hacker (CPEH)’ laat je denken als een hacker zodat je een dynamische verdediging op kunt zetten en proactief reageert op malware en virussen.
Wil je meer weten over de veiligheidsrisico’s die (kunnen) voortkomen uit DDoS-aanvallen? Of wil je een van onze cybersecuritytrainingen volgen? Bel dan gerust naar 06-48 94 37 60/040-23 23 390 of stuur een e-mail naar info@master-it.nl.