Een DDoS-aanval

Een Distributed Denial of Service (DDoS)-aanval verstoort de normale werking van de webhost of -server van een organisatie door deze te overbelasten met een enorme hoeveelheid paginaverzoeken. In het echte leven is dat te vergelijken met een monsterfile: een auto wil van punt A naar punt B, maar andere auto's blijven tussen hem en de eindbestemming komen, zodat hij vast komt te zitten. De denial of service-aanval maakt de webpagina en de diensten ze levert onbeschikbaar totdat de aanval stopt, wat kan leiden tot een aanzienlijk financieel en productiviteitsverlies voor de organisatie omdat ze deze diensten niet meer kan aanbieden.

Een goed uitgangspunt is naar je eigen websites surfen als was je een externe gebruiker. Als de website onbeschikbaar is, kan dat erop wijzen dat ze gecompromitteerd is en dat het om een DDoS-aanval gaat. De IT-verantwoordelijke moet een onderzoek instellen om de oorzaak van de onbeschikbaarheid van de website vast te stellen en het type aanval te bepalen.

Daarnaast kunnen detectiemiddelen worden ingesteld om vast te stellen of een indringing aan de gang is of al heeft plaatsgevonden. Het monitoren van alle kritieke systemen die de werking van een organisatie garanderen, is van cruciaal belang om te zorgen voor een goed beschermingsniveau tegen een websitehack. Als er daadwerkelijk iets aan de hand is, kunnen de IT-verantwoordelijke en zijn team worden gewaarschuwd via meldingen die ze vooraf hebben ingesteld. Daarnaast bestaan er verschillende websitebewakingstools die kunnen helpen bij het opsporen van (inhoudelijke) wijzigingen van een website, zoals een aanvaller die probeert de website te linken aan nieuw opgezette domeinen.

Wanneer een organisatie overweegt websitebewakingstools te implementeren, is het belangrijk om de kosten af te wegen tegen de baten. Er zijn doorgaans drie aspecten die deze tools kunnen controleren: beschikbaarheid, snelheid en inhoud. Er bestaat echter geen pasklare oplossing. De totale kosten zullen afhangen van hoe zwaar en regelmatig een organisatie de inhoud van haar website wil bewaken. Dat is verschillend voor elke organisatie, afhankelijk van de behoeften en eisen: als de website een sleutelelement is voor het uitvoeren van de dagelijkse werkzaamheden of het verlenen van diensten aan klanten, is het beter om te investeren in websitebewakingstools.

1.    Activeer en configureer een Web Application Firewall

De Web Application Firewall controleert inkomend en uitgaand netwerkverkeer om communicatie toe te staan of te weigeren op basis van gedefinieerde beveiligingsregels. Hij fungeert als een controleur tussen de server en de client en door het verkeer te ontsleutelen analyseert hij de verzoeken van de gebruikers om toegang tot het netwerk. Als hij dan volgens zijn configuratieregels iets verdachts detecteert, kan hij meldingen genereren en naar de IT-verantwoordelijke en zijn team sturen, die vervolgens beslissen welke acties er moeten worden ondernomen.

2.    Update alle software, besturingssystemen en internetbrowsers

Cybercriminelen zoeken altijd naar kwetsbaarheden om uit te buiten, dus het is belangrijk om alle systemen up-to-date te houden. Op die manier wordt steeds de laatste en veiligere versie geïnstalleerd.

3.    Hou alle webservercomponenten up-to-date

Zoals voor alle informatie- en technologiesystemen zijn ook updates van websitecomponenten van cruciaal belang om ervoor te zorgen dat bekende kwetsbaarheden worden verholpen, zodat hackers geen kans krijgen om ze uit te buiten.

De typische componenten van een webserver omvatten:

• de BIOS/firmware van de hardware waarop de organisatieserver draait;
• het besturingssysteem van de server;
• de gebruikte webservice (bv. Apache, nginx, IIS etc..);
• het content management-systeem (bv. Drupal, Joomla, WordPress etc.);
• optioneel de virtualisatielaag.

Zeer weinig organisaties bouwen hun website vanaf nul. Ze doen meestal een beroep op derden, die een grote hoeveelheid plug-ins en thema's aanbieden. Zorg ervoor dat die ook up-to-date zijn. De ontwikkelaars van derden zijn voortdurend op zoek naar nieuwe kwetsbaarheden. Het uitvoeren van updates is dus cruciaal om over de minst kwetsbare versie van de gebruikte componenten te beschikken.

4.    Beveilig de toegang tot en update het content management-systeem  

Zoals eerder vermeld, is een van de belangrijke stappen om een content management-systeem te beveiligen, het up-to-date houden van het systeem en de plug-ins. Cybercriminelen zijn altijd op zoek naar nieuwe kwetsbaarheden om uit te buiten, maar er worden beveiligingspatches uitgebracht om die kwetsbaarheden te verhelpen. Het is dus belangrijk om de updates te installeren zodra ze beschikbaar zijn.

Daarnaast kan het content management-systeem worden beschermd door geen gebruik te maken van de standaardconfiguratie voor accounts en wachtwoorden, maar een eigen admin-account aan te maken met een voldoende sterk wachtwoord, aangevuld met multifactorauthenticatie. Bij multifactorauthenticatie moet een gebruiker ten minste twee verschillende methoden hanteren (bv. wachtwoorden en pincode, pincode en een code via sms) om de identiteit te verifiëren en toegang te krijgen tot de bron die hij probeert te raadplegen.

Ten slotte moet het toegangsbeheerproces voorzien in een regelmatige herziening van de gebruikerslijst. Dit geldt niet alleen voor gebruikers die toegang hebben tot het content management-systeem, maar ook voor alle andere gebruikers binnen de organisatie in het algemeen. Door deze herziening kan de organisatie nagaan of er geen testgebruikers meer actief zijn, en of er geen onnodige gebruikers zijn toegevoegd.

5.    Gebruik sterke wachtwoorden en multifactorauthenticatie

Mensen hebben de neiging zwakke wachtwoorden te gebruiken omdat die gemakkelijker te onthouden zijn. Een gemakkelijk te onthouden wachtwoord is echter ook gemakkelijk te hacken. Het is dus belangrijk om alleen sterke wachtwoorden toe te staan, die hoofdletters en kleine letters, cijfers en symbolen bevatten. Daarnaast voegt multifactorauthenticatie een extra laag toe om de accounts te beschermen.

6.    Verzeker je ervan dat je internetprovider duidelijke procedures heeft om op een aanval te reageren en deze te voorkomen

Het is belangrijk om te bepalen of je organisatie rechtstreeks met het internet verbonden is, dan wel of ze een Internet Service Provider (ISP) gebruikt. Als er een contract is met een Internet Service Provider, kijk dit contract grondig na en ga na wat hun procedures zijn in geval van een aanval. Internet Service Providers vormen de poort tussen een organisatie en het internet. Dat leidt tot steeds meer bezorgdheid over DDoS-aanvallen en de complexiteit ervan. De meeste providers investeren fors in het voorkomen van die aanvallen.

Als jouw organisatie haar eigen netwerken beheert, denk er dan aan om verschillende beveiligingszones in het netwerk te creëren (bv. basisnetwerksegmentatie door middel van VLAN's of andere mechanismen voor netwerktoegangscontrole) en controleer/bewaak het verkeer tussen deze zones. Zorg er daarnaast voor dat ongebruikte diensten worden uitgeschakeld of uit het netwerk worden gefilterd en laat nooit het standaardwachtwoord op de internetrouter of andere systemen staan. Ten slotte moeten besturingssystemen, programma's en routers automatisch worden bijgewerkt.

7.    Beperk het aantal paginaverzoeken per gebruiker

Beperk het aantal paginaverzoeken dat een gebruiker kan verzenden, bijvoorbeeld tot duizend verzoeken per persoon per 24 uur. Dat beperkt de mogelijkheid dat het netwerk overbelast wordt.

8.    Verkies clouddiensten boven lokaal gehoste diensten

Clouddiensten zijn veel beter beschermd tegen DDoS-aanvallen dan lokaal gehoste diensten, vooral als het gaat om e-maildiensten of andere online platforms. De extra beschermingslaag die de cloud biedt, is dat de diensten ruim beschikbaar blijven.

9.    Analyseer de website om de meest voorkomende kwetsbaarheden op te sporen

Een website testen op bekende kwetsbaarheden is een goede manier om vast te stellen of ze vanuit beveiligingsoogpunt klaar is om live te gaan of niet. Door de bestaande kwetsbaarheden te identificeren, is er meer tijd om ze te verhelpen voordat een cybercrimineel ze gebruikt en daadwerkelijk aanzienlijke schade veroorzaakt. Beveiligingsexperts kunnen bijstand verlenen door bijvoorbeeld penetratietests en audits uit te voeren om de veiligheid van een website te beoordelen.

1.    Meld het incident aan de IT-verantwoordelijke van de organisatie

Zodra een ongebruikelijke verandering op de website wordt vermoed, moet dit onmiddellijk worden gemeld aan de IT-verantwoordelijke binnen de organisatie, zodat deze de nodige herstelstappen kan nemen.

2.    Verzamel alle noodzakelijke forensische gegevens

Een DDoS-aanval is een cybermisdaad die bij de politie moet worden aangegeven. Om een klacht in te dienen, kan je verschillende elementen verzamelen om het dossier aan te vullen: screenshots van de aangevallen website, screenshots van alles wat vreemd lijkt op de apparaten en logbestanden van de firewall en de servers.

3.    Maak een kopie van alle gecompromitteerde apparaten

Indien mogelijk moeten alle geïnfecteerde apparaten voor forensische doeleinden op een fysieke drager worden gekopieerd.

4.    Meld het incident bij de politie en dien een klacht in

Een DDoS-aanval is strafbaar en moet aan de autoriteiten worden gemeld, zodat ze de verantwoordelijken kunnen opsporen en voorkomen dat ze andere aanvallen uitvoeren.

5.    Wijzig alle eventueel doorgegeven wachtwoorden  

Deze wachtwoorden moeten worden gewijzigd op alle gebruikte accounts.

6.    Maak een inventaris van alle gevoelige informatie waartoe toegang is verkregen of die is gestolen

Dit helpt om de omvang van de aanval te beoordelen om te anticiperen op wat de hacker in de toekomst zou kunnen doen om andere aanvallen uit te voeren.

7.    Identificeer en verhelp alle kwetsbaarheden die werden gebruikt om toegang te krijgen

Door precies te bepalen hoe de aanvaller toegang kreeg tot een bron, kunnen de nodige herstelmaatregelen worden genomen om ervoor te zorgen dat deze kwetsbaarheid niet opnieuw kan worden gebruikt voor andere aanvallen. Dit kan bijvoorbeeld door het installeren van een beveiligingspatch of het wijzigen van een gecompromitteerd wachtwoord.

8.    Informeer de websiteprovider en de Internet Service Provider

Als er een externe provider betrokken is, moet deze worden gecontacteerd en geïnformeerd over het incident, zodat deze ook de nodige stappen kan ondernemen om het probleem te verhelpen.

9.    Neem indien nodig contact op met officiële externe beveiligingsspecialisten

Niet elke organisatie beschikt over voldoende middelen om een cyberincident efficiënt te verhelpen. Er zijn verschillende beveiligingsspecialisten die kunnen worden ingehuurd om het incident te helpen oplossen. Die specialisten mogen alleen afkomstig zijn van officiële organisaties, zoals bekende adviesbureaus, om te voorkomen dat er een oplichter wordt ingehuurd.