Beveiligingsstrategie voor toenemende cyberaanvallen

Vergelijkbaar met de wet van Moore moeten IT-managers eraan wennen dat cyberaanvallen op datacenters en bedrijfsnetwerken in omvang en complexiteit blijven toenemen. Daarom is het belangrijk om een langere termijn beveiligingsstrategie te ontwikkelen, waarin rekening wordt gehouden met een grote schaalbaarheid en alle lagen van het OSI-model.

Hoewel criminelen en hackers organisaties op meerdere manieren proberen aan te vallen, zijn de verschillende DDoS-vormen de meest bekende en risicovolle. Vanwege de ontwrichtende gevolgen daarvan en mogelijk afleidende functie voor een daaropvolgende subtielere inbraakpoging. Welke trends zijn op dat vlak zichtbaar:

• Frequentie: 50% groei in aanvallen per jaar, blijkt uit Akamai’s State of the Internet 2014
• Omvang: een derde is groter dan 20 Gbps, terwijl 60 en 100 Gbps aanvallen geen uitzondering meer zijn, volgens Neustar Annual DDoS attacks & Impact Report
• Hevigheid: de snelheden van DDoS-aanvallen zijn tussen 2011 en 2013 met 1.850% gegroeid tot ruim 7,8 Mpps, staat in Verizon’s data breach report 2014
• Complexiteit: 81% zijn multi-vector aanvallen, terwijl de botnets slimmer worden, volgens het Incapsula 2013-2014 DDoS Threat Landscape Report

DDoS-types 

Hoewel genoemde wereldwijde trendcijfers slechts een momentopname zijn, vragen de toenemende aanvallen om een strategie die leidt tot een effectieve lange termijn securityoplossing. Om deze beide te kunnen bedenken is inzicht in de verschillende aanvallen nodig. Technisch gezien zijn alle DDoS-aanvallen onder te verdelen in de volgende drie categorieën:

• Volumineuze aanvallen: zoals DNS- of NTP-aanvallen, die gericht zijn op het overbelasten van netwerkverbindingen (in februari bereikte de zwaarste een piekbelasting van ruim 400 Gbps).
• Netwerkprotocolaanvallen, zoals SYN-floods, ping of death en IP-anomalies, die de protocolstack proberen uit te putten.
• Applicatieaanvallen, zoals low-and-slow technieken, HTTP GET flood en SSL-gebaseerde aanvallen, die een applicatie proberen te overbelasten, of via een zwakheid in te breken.

DDoS-aanvallen worden al decennia uitgevoerd, alleen had je daar tot voor kort veel expertise voor nodig. Inmiddels kan iedereen voor een klein bedrag een online tool kopen om zo’n aanval te initiëren. 

Risicoanalyse en verzekering 

Net zoals hoge bomen meer wind vangen, zijn grote organisaties zichtbaarder in de markt en daarom eerder voor de hand liggende slachtoffers. Echter ook MKB-bedrijven moeten zich in toenemende mate bewust worden van zowel de kans van optreden als mogelijke gevolgen van cyberaanvallen. Zoals de omzet die men potentieel misloopt, imagoschade en mogelijk zelfs de rekening voor het excessieve dataverkeer. Uiteraard afhankelijk van het feit of men een eigen netwerk en servers heeft, of volledig in de cloud werkt via een Internet Service Provider. Als eerste stap naar een lange termijn beveiligingsstrategie en effectieve oplossing is het raadzaam om zelf of door gespecialiseerde derden een risicoanalyse uit te (laten) voeren. Afhankelijk daarvan moet men vervolgens een keuze maken uit verschillende oplossingsrichtingen voor de meest effectieve bescherming. Er zijn ook verzekeringen tegen cyberaanvallen, maar zoals met alle verzekeringen heeft u dan al schade geleden.

Gelaagde schaalbare beveiligingsoplossing 

Uit genoemde trends blijkt duidelijk dat een effectieve beveiligingsoplossing in ieder geval een grote verwerkingscapaciteit moet bezitten. Verder is inzage in al het netwerkverkeer en alle lagen van het OSI-model noodzakelijk. Dus ook encrypted SSL-verkeer, omdat daarin steeds vaker malware wordt verstopt. De beste verdedigingsstrategie is een gelaagde en flexibel schaalbare beveiligingsoplossing te implementeren. Oftewel een oplossing die met een combinatie van technieken het netwerkverkeer op verschillende lagen, monitort, filtert en beveiligt. Een goede basis daarvoor zijn Application Delivery Controllers (ADC). ADC’s zijn namelijk nieuwe generatie ‘load balancers’ die volledige inzage krijgen (laag 1 t/m 7) in alle datapakketten die een datacenter binnenkomen en weer uitgaan. Vanwege die vertrouwde positie worden ADC’s uitgebreid met steeds meer functies die de performance en beveiliging verhogen. Zoals Web Application Firewall, SSL offload & SSL intercept en gerichte DDoS-bescherming. De geavanceerde modellen kunnen tevens Deep Packet Inspecties uitvoeren.

C4L implementeert Thunder TPS-oplossing 

Een bedrijf dat proactief inspeelt op de toenemende cyberbedreigingen is C4L. Met in totaal zo’n 300 locaties, waaronder 8 in Amsterdam, zijn zij een grote Europese Internet en cloud service provider. C4L heeft in het hart van de netwerkinfrastructuur een A10 Thunder 6435 TPS-oplossing geïnstalleerd en gaat afhankelijk van de klantbehoeften extra units plaatsen. Genoemde Thunder TPS biedt hen uitgebreide en gelaagde functionaliteit om onregelmatigheden in het netwerkverkeer te ontdekken en te beschermen tegen meervoudige aanvallen. In eerste instantie met een capaciteit tot 310 Gbps en 446 miljoen pakketten per seconde. Alle A10 Thunder TPS-modellen bevatten speciale hardware om zware aanvallen te weerstaan. Zoals FTA-technologie (Flexible Traffic Accelerator), die real-time 50 veelgebruikte infrastructuuraanvallen kan detecteren en tegenhouden. C4L gaat met de oplossing van A10 Networks zowel de beveiliging en schaalbaarheid van alle eigen services verhogen, als klanten DDoS-bescherming in servicevorm aanbieden.

Samenwerken aan geïntegreerde oplossingen 

Omdat er geen allesomvattende oplossing tegen de toenemende cyberdreiging en DDoS-aanvallen bestaat, werken netwerkleveranciers ook samen aan het beter integreren van elkaars oplossingen. Zo is eind 2014 de A10 Security Alliance opgericht, een ecosysteem dat onder andere wordt gesteund door Arista Networks, FireEye, FlowTraq, IBM Security, Ping Identity, Pulse, RSA, Secure, Symantec, Vectra, Venafi en Webroot. Door de interoperabiliteit van elkaars producten te valideren, kunnen alle A10 Security Alliance partners beter gespecialiseerde oplossingen ontwikkelen voor het beschermen van kritische ICT-infrastructuren. Een recent bekendgemaakt voorbeeld daarvan is het valideren van de SSL Insight Technologie van A10 Thunder ADC’s, op basis van het RSA Ready Technology Partner Program. Dit soort integraties biedt de gezamenlijke klanten als voordeel dat zij naar eigen behoefte ‘best-of-breed’ beveiligingscombinaties kunnen implementeren. Vaak tegen lagere operationele kosten dan ‘all-in-one’ oplossingen van één fabrikant.