- 24-04-24Status.bit.nl in nieuw jasje!
- 12-04-24Nieuw bij BIT: GPU hosting
- 25-03-24BIT breidt netwerkconnectiviteit uit met aansluiting op NL-ix^2
- 13-03-24No More Leaks: Samenwerken tegen cybercriminaliteit
- 03-03-24Geen verandering twee jaar na invoering sancties tegen Russische media: FOIC roept (wederom) op tot einde van ondemocratische censuur
- 29-01-24Onzichtbare upgrades
- 16-01-24BIT's Wido Potters wint Felipe Rodriquez Award voor inzet voor privacy
- 10-01-24BIT en partners zetten de koers voor een gedecentraliseerde Europese cloud met ECOFED-project
- 02-01-24Onze eigen stroom inkopen: de resultaten van 2023
- 24-11-23BIT Friday 2023
Wat te doen bij een DDoS-aanval
06-08-2015 11:00:00
We hebben het allemaal wel een keer gezien, het achtuurjournaal dat opent met een item over een nieuwe DDoS-aanval. De aanvallen die het nieuws halen, zijn vaak gericht op grote partijen als overheidsdiensten, verzekeraars of andere grote bedrijven. Maar we hoeven onszelf niets wijs te maken; DDoS-aanvallen vinden plaats tegen iedereen. Dit kost alle betrokkenen veel geld, doordat processen stil komen te liggen of omdat klanten simpelweg niet voorzien kunnen worden in producten of diensten. Daarom geef ik graag een aantal handvatten: hoe om te gaan met DDoS-aanvallen?
Breng regulier verkeer in kaart
Om te beginnen is het belangrijk om het netwerkverkeer rondom uw server(s) duidelijk in kaart te hebben. Zet monitoringtools in om bijvoorbeeld de gebruikte bandbreedte van de server te volgen en houd het aantal bezoekers en hun afkomst goed in de gaten. Dit stelt u in staat om te bepalen welk verkeer als regulier beschouwd kan worden, een soort nulmeting dus. Op basis hiervan kunt u een DDoS-aanval onderscheiden van bijvoorbeeld extra verkeer dat ontstaan is door een succesvolle online campagne. Zo ziet u tijdig een aanval aankomen in plaats van dat u de aanval pas herkent als er een server down gaat en er al kostbare tijd verstreken is.
Duidelijke en geldige procedures
Het eerste dat ontstaat bij een aanval is paniek. Het oplossen of weren van een DDoS-aanval dient zo snel mogelijk te gebeuren, zeker omdat vaak meer websites en servers dan alleen het doelwit te lijden hebben onder de aanval. Dit brengt dus tijdsdruk met zich mee. Om te voorkomen dat de tijdsdruk resulteert in verkeerd handelen, is het credo: zorg voor heldere en up-to-date procedures. Zorg dat duidelijk beschreven staat welke stappen er ondernomen moeten worden bij een aanval. Beschrijf welke handelingen er verricht moeten worden omtrent de firewall en bijvoorbeeld het omleiden van verkeer. Het is uiterst belangrijk dat deze procedures up-to-date zijn. Het mag bijvoorbeeld niet gebeuren dat een procedure niet doorlopen kan worden omdat er in de tussentijd apparaten zijn vervangen en/of een andere naam hebben gekregen. Draai dus periodieke tests om de geldigheid van procedures te checken. Zo wordt ook duidelijk of de procedures adequaat zijn en niet de dagelijkse werkzaamheden hinderen, doordat bijvoorbeeld een netwerk wordt uitgeschakeld dat ook gebruikt wordt om in de systemen te komen.
Breng afhankelijkheden in kaart
Wat is de impact van een DDoS-aanval? Dit is alleen nauwkeurig in te schatten op het moment dat u volledig inzicht heeft in de keten. Wat zijn de afhankelijkheden binnen de IT-infrastructuur en welke bedrijfsprocessen worden beïnvloed? Pas als u hier antwoord op kunt geven, kunt u beslissen wat u er tegenover moet zetten om het op te lossen.
Heldere afspraken met de ISP
Een goede ISP onderneemt vanaf zijn zijde natuurlijk ook de nodige acties rondom een DDoS-aanval. Zorg ervoor dat u deze op voorhand in kaart heeft, zodat u weet wat u bij een aanval kunt verwachten van uw ISP. De ervaring leert mij dat veel bedrijven niet op de hoogte zijn van deze diensten. Zo kan het gebeuren dat er tijdens een aanval contact opgenomen wordt met de ISP en er extra diensten afgenomen moeten worden. Hier zijn vaak extra kosten aan verbonden en daarom is het belangrijk dat van tevoren duidelijk is wie de beslissingsbevoegdheid heeft om hier akkoord op te geven. Hiermee wordt onnodig tijdverlies voorkomen. Breng dus ook autorisaties van het personeel in kaart. Dankzij een goed overzicht van de diensten van de ISP, weet u waar u voor betaalt en wat de eventuele additionele kosten zijn van diensten die kunnen worden ingezet bij een aanval. Zo kan het soms een overweging zijn om een aanval voorbij te laten gaan, omdat de oplossing op dat moment te hoge kosten met zich meebrengt.
Deze handvatten hebben één belangrijk ding gemeen: het gaat om voorbereidende maatregelen. Ook al heeft u nog niet met een aanval te maken gehad, vroeg of laat wordt u onverhoopt het slachtoffer. Onderneem nu actie, voordat u voor kostbare verrassingen komt te staan.
Door: Teun Vink