Nationaal Cyber Security Centrum waarschuwt voor hacktivisten en script kiddies

Het Nationaal Cyber Security Centrum (NCSC) heeft mede naar aanleiding van de recente cyberaanvallen op banken een reeds bestaande factsheet geactualiseerd. Het document met de titel Continuïteit van online diensten bevat tal van praktische adviezen die organisaties kunnen gebruiken om zich te wapenen tegen zogenoemde denial-of-service-aanvallen (DoS). In principe is elk BTG-lid dat een dienst op internet aanbiedt kwetsbaar voor een dergelijke DoS-aanval. Welkom in de wereld van hacktivisten en script kiddies.

Denial-of-service-aanvallen zijn elektronische aanvallen op organisaties en online diensten. Bij een DoS wordt de reguliere capaciteit van systemen, online-diensten en/of de infrastructuur aangevallen door deze te overbelasten of te overladen met dataverkeer. De diensten en de bijbehorende infrastructuur is dan niet meer of slecht bereikbaar voor legitiem dataverkeer. Een denial of service kan van een enkel systeem afkomstig zijn, maar ook van meerdere systemen tegelijkertijd. Een DoS-aanval vanaf meerdere systemen heet in jargon een distributed-denial-of-service (DDoS).

BTG heeft een projectgroep Beveiliging opgericht die binnenkort van start gaat. Meld je aan, het aantal plaatsen is beperkt (inloggen vereist).

Reële dreiging

Als een kwaadwillende denkt dat een DoS-aanval iets kan opleveren (een waarde of nut heeft) dan kan een organisatie geconfronteerd worden met een DoS-aanval. Veelal worden omgevingen aangevallen die een grote maatschappelijke zichtbaarheid hebben en/of actief zijn in vitale sectoren zoals bijvoorbeeld telecom. De motieven van de aanvaller bepalen daarbij de ernst van de dreiging in tegenstelling tot de gangbare gebruikte risico-inschattingen van een organisatie. Deze motieven zijn nauw gerelateerd aan het type aanvaller en het doel van de DoS-aanval. De opbrengsten voor kwaadwillenden zijn relatief groot, de pakkans is klein en de straffen zijn laag.

Doelwitten

In principe is elke dienst op internet kwetsbaar voor een DoS-aanval. De meeste aanvallen waarover geschreven wordt zijn aanvallen op websites, maar er zijn ook andere doelwitten mogelijk, bijvoorbeeld op de internetinfrastructuur, internetverbindingen van organisaties, mailservers, authenticatieservers of servers voor het uitvoeren van transacties en betalingen. DoS-aanvallen kunnen ook onbedoeld diensten treffen van een organisatie indien een aanval plaatsvindt op gedeelde infrastructuur, bijvoorbeeld bij de provider.

Slagingskans

Het succes van een DoS-aanval is afhankelijk van de middelen van een aanvaller en de weerbaarheid van een organisatie. Veel organisaties zijn onwetend dat dit soort aanvallen kunnen plaatsvinden en/of zijn onvoldoende voorbereid. Veelal ontbreekt het binnen het management aan ict-kennis, waardoor het besef van de risico’s en het belang van beveiligingsmaatregelen tegen DoS-aanvallen onderbelicht blijven. Veel organisaties beschikken daardoor over onvoldoende tegenmaatregelen en zijn daarom zeer kwetsbaar. Maar ook organisaties die wel maatregelen hebben genomen zijn kwetsbaar. Door de verschillende variaties van DoS-aanvallen hebben deze organisaties ook moeite om een DoS-aanval af te slaan. De aanval kan volgens het NCSC wel door de juiste respons in omvang en tijdsduur worden beperkt.

Effecten

De effecten van DoS-aanvallen lopen uiteen: inkomstenderving (webwinkels), imagoschade, onmogelijkheid om online-aangifte te ontvangen (politie) of te doen (slachtoffer), slechte bereikbaarheid van bedrijven, verstoorde overheidscommunicatie, kosten van tegenmaatregelen, et cetera. Ook vitale sectoren, zoals telecom, zijn gevoelig voor deze aanvallen en kunnen hinder ondervinden, bijvoorbeeld omdat voorzieningen voor service en onderhoud op afstand niet bereikbaar zijn. Ook kunnen klachten van derden (bijvoorbeeld klanten, en leveranciers) over traagheid of ontbreken van de online dienst een signaal zijn dat er een DoS-aanval plaatsvindt. De meer technische effecten zijn:

  • een netwerk wordt overladen met dataverkeer, waardoor systemen of online-diensten niet meer (goed) bereikbaar zijn voor legitiem dataverkeer
  • overbelasting van een service en/of applicatie rond de online-dienstverlening, waardoor deze crasht en/of hapert en de dienstverlening slecht of onbereikbaar wordt
  • verstoring van de netwerkconnectie tussen twee systemen
  • het verhinderen van toegang van legitieme gebruikers tot online systemen en/of diensten
  • verstoring van de online dienstverlening doordat een andere organisatie bij dezelfde dienstverlener wordt aangevallen
  • het wegvallen van andere diensten van een organisatie zoals internetconnectiviteit voor de interne organisatie, e-mail, inloggen op afstand.

Niet alle effecten hoeven bij een aanval tegelijkertijd op te treden; als een van de genoemde effecten van toepassing is, kan er al sprake zijn van een DoS-aanval.

Vormen

Er zijn tientallen vormen van DoS-aanvallen bekend: op het IP-protocol zelf, de routering, de netwerkservices, en op de processorcapactiteit die nodig is voor het verwerken en onderhouden van de transacties. De aanvallen zijn tegenwoordig meestal multi-vector: meerdere aanvalstechnieken worden gelijktijdig en /of achter elkaar ingezet. Dit maakt de respons lastig en vereist een competente en flexibele organisatie die op elke aanvalsvorm met een juiste detectie, herkenning en mitigerende maatregelen reageert.

Botnets

DoS-aanvallen kunnen ook door middel van botnets worden uitgevoerd. Een botnet bestaat uit een groot aantal besmette computers en servers waarmee een kwaadwillende vrij gemakkelijk, vanuit één centraal punt, opdracht kan geven voor het doen van een DDoS-aanval. Bij een dergelijke aanval kan gebruik worden gemaakt van oneigenlijke IP-adressen of van adressen die niet gerouteerd worden op het internet. Dit laatste heet IP spoofing en wordt gebruikt om de eigen identiteit te verbergen en ook om systemen heel eenvoudig te overbelasten. Naast het feit dat de eigen infrastructuur kan worden aangevallen door een botnet kunnen ook servers en computers in de eigen organisatie die reeds besmet zijn, worden gebruikt voor een DoS-aanval. In dit geval is het noodzakelijk dat deze systemen worden herkend en worden afgesloten van internet.

Hoe kunnen organisaties zich nu het beste wapenen tegen een DoS-aanval? Hieronder volgt een aantal praktische adviezen.

Baseline

Stel een baseline vast en monitor de infrastructuur. In de baseline staat de strategie en de operationele aanpak van de organisatie op een aanval. Welke diensten van een organisatie zijn gevoelig voor een DoS-aanval? Welke tegenmaatregelen, zoals firewalls, intrusion detection system (IDS), detectiecapaciteit, heeft de organisatie genomen tegen aanvallen?. Welke prioriteiten zijn er? Wie doet wat en wanneer wordt actie ondernomen? Van belang daarbij is abnormaal gedrag van de infrastructuur en de online-diensten te kunnen herkennen en/of op meldingen van derden te kunnen reageren.

Een infrastructuur-baseline geeft de mogelijkheid op infrastructurele afwijkingen snel en eenvoudig te herkennen. Deze baseline stelt een organisatie vast op basis van een representatieve periode. Het is geen gemiddelde, maar een bandbreedte waarbinnen wordt gedefinieerd welk netwerkverkeer en systeemgedrag ‘normaal’ is. Monitoring betekent dat op regelmatige (geautomatiseerde) basis wordt gekeken of de gemeten variabelen significant afwijken van de vastgestelde baseline. Als zich een afwijking voordoet, is dit een signaal voor een beheerder om actie te ondernemen. Het type DoS-aanval, maar ook de werking van de tegenmaatregelen kan zo geanalyseerd worden. Ook de respons op een signaal van een ids of de constatering van significante afwijkingen van de baseline moet in een procedure zijn vastgelegd.

Communicatie

Instrueer de communicatieadviseur. Op het moment dat een organisatie publiekelijk over de (perfecte) beveiliging van haar website vertelt, beschouwen sommigen dat mogelijk als een provocatie. Bepaal een communicatie- en of een mediastrategie voor uitingen naar klanten, leveranciers, de overheid of andere stakeholders. Zorg ook dat een communicatieadviseur op hoofdlijnen weet wat de gevolgen zijn van een DoS-aanval op bijvoorbeeld de eigen online-diensten. Wat wordt er aan gedaan? Hoe lang kan het gaan duren? Waar kan men informatie vinden over de calamiteit en respons? Communiceer daarbij vooral geen onzeker- en onjuistheden.

Provider

Maak gebruik van de diensten van de provider. De rol van de provider wordt soms over het hoofd gezien of onderschat. De meeste providers kunnen getroffen ondernemers op een aantal gebieden helpen. Een goed anti-spoofing mechanisme blokkeert verkeer dat afkomstig is van RFC191814 IP-adressen of van adressen die de internet assigned numbers authority (IANA) nog niet heeft gealloceerd. Een detectiemechanisme, zoals een SIEM met Netflow, kan een DoS-aanval signaleren. Krachtiger systemen, zoals routers en internetverbindingen kunnen effectief een DoS-aanval stoppen of beperken. Upstream providers en andere netwerkrelaties van de provider kunnen aanvallen uit andere netwerken blokkeren.

Contractuele afspraken

Informeer naar de aanpak (weerstand en repressiemaatregelen) van de isp bij DoS-aanvallen en check de contractuele afspraken hierover. Neem contact op met de isp en verifieer of de namen en telefoonnummers van contactpersonen actueel zijn en of de contactpersonen zelf ook beschikbaar zijn bij incidenten. Welke ondersteuning biedt de provider om de gevolgen van een incident, bijvoorbeeld een DoS-aanval, te stoppen of te beperken? Welke maatregelen zijn al getroffen? Verifieer in het contract of de onlinediensten daar gebruik van maken. Hoe is het gesteld met de systeem- en netwerkcapaciteit van de online diensten? Zijn er externe audits, penetratietesten of zogenoemde load tests gepland?

Incident response

Denk na over de incident response en fail-over scenario’s van de online-diensten. Maak afspraken met de provider, hoster, isp en of proxy-dienstverlener over extra dienstverlening, responsmechanismen (aangifte, duiding, attributie, mandaten) en in- en externe (pers, overheid) communicatie. Een incident-responsproces en /of een operationeel security-centrum met de juiste mandaten biedt een organisatie de instrumenten om te kunnen reageren. Daarnaast zijn er dienstverleners die omgevingen en oplossingen aanbieden tegen DoS-aanvallen. Bij deze zogenaamde scrubbing of mitigatiedienst wordt verkeer omgeleid en geanalyseerd om legitieme van ongewenst verkeer te scheiden.

18 mitigerende maatregelen

  1. Monitor actief het inkomende en uitgaande verkeer in het netwerk (ips, ids, et cetera). Maak hiervoor gebruik van bijvoorbeeld SIEM. Andere voorbeelden van open source software voor de analyse van Netflow-data zijn NFSen en NFDump.
  2. Neem maatregelen om het netwerk te kunnen loggen, zodat de aanval later geanalyseerd kan worden.
  3. Ken de omgeving en infrastructuur, weet waarvoor de verschillende it-systemen normaal (normale gebruikspatroon) gebruikt worden, welke mogelijk DoS-gevoelig zijn en welke systemen en diensten de organisatie beschikbaar heeft als reactie tegen eventuele DoS-aanvallen.
  4. Denk na over back-up- en fail-over-scenario’s van de online-diensten. Maak afspraken met de dienstverlener (cloud provider, host, isp en of proxy-dienstverlener) over extra dienstverlening, responsemechanismes (aangifte, duiding, attributie, mandaten) en in- en externe (klanten, leveranciers, pers, overheid) communicatie.
  5. Verspreid de (cruciale) online diensten op/bij verschillende locaties, providers en/of (BGP-4)-netwerken. Bij een aanval worden dan niet alle diensten van de organisatie getroffen.
  6. Richt een toegewijd SIC/SoC (security intelligence (operational) centre) en/of een CSIRT (DoS) team op dat autonoom en met de juiste bevoegdheden en middelen kan optreden in geval van een DoS-aanval. Zorg dat dit team goede directe contacten heeft met het hoger management en de technische teams. Zorg dat dit team ook de juiste managementtaal kan spreken en dat het management dit team vertrouwt en erkent.
  7. Het testen van de plannen door onder andere zogenoemde red-team oefeningen geeft de organisatie kennis over de werking van de maatregelen.
  8. Controleer de gehele infrastructuur op de aanwezigheid van malware. Een DoS-aanval kan gebruikt als afleiding om via een ander aanvalsvector malware te installeren.
  9. Voorkom dat stateful firewalls en intrusion prevention-apparatuur gebruikt worden als beschermingsmaatregel direct voor de website. Deze apparatuur kan namelijk de DoS-aanval versterken. Het is beter om netwerk-policies te implementeren op routers en switches.
  10. Een verdediging bestaat uit het combineren en het juist inzetten van een DDoS-filter, ids en firewall. Een best practice is daarbij om de wan/isp-capaciteit circa 3 maal de piekcapaciteit en de FW/IDS/DDoS-filter circa 2 maal te dimensioneren.
  11. Splits de online-dienstverlening en ondersteunende/onderliggende infrastructuur (host, isp, BGP-4 AS, IP, FQDN en netwerkservices).
  12. Sta op de perimeter alleen inkomend verkeer toe op protocollen die akkoord zijn; voor een standaard webserver is TCP/80 en TCP/443 voldoende. DNS-servers maken gebruik van UDP/53 en TCP/53. Verkeer naar UDP/80 kun je blokkeren, het http-protocol maakt hier geen gebruik van.
  13. Gebruik reverse-proxy servers bij voorkeur in een clusteromgeving op basis van web cache communication protocol V2 (WCCP V2) om de load op de webserver te beperken. Tevens biedt dit de mogelijkheid om gecontroleerd kwaadaardig http-verkeer te blokkeren.
  14. ‘Proxy-cache’-omgevingen moeten altijd zo dicht mogelijk bij de webserver-omgeving geplaatst worden, in ieder geval achter load balancers en stateful-apparatuur die in het netwerk aanwezig zijn.
  15. IDMS (intelligent DoS mitigation system) en RTBH (remotely-triggered black hole) voorkomen overbelasting van web-, DNS- en mailservers. Ze zijn ook een goede oplossing als stateful-apparatuur om wat voor reden dan ook niet uit het netwerk verwijderd mag of kan worden. Daarnaast zijn ze in staat om load balancers te beschermen.
  16. Zorg ervoor dat authoratieve DNS-servers en recursive/caching DNS-servers logisch gescheiden zijn, door ze in aparte netwerken te plaatsen.
  17. Je kunt aanvallen op een online-dienst naar een dood punt leiden, dit is de zogenoemde NULL-routering. De rest van het netwerk heeft dan geen last meer van de DoS-aanval, maar het nadeel is dat de online-dienst zelf ook geen verkeer meer ontvangt, dus ook het normale verkeer niet meer.
  18. Je kunt de aangevallen online-dienst afscheiden van de rest van het netwerk. In dit geval hebben andere klanten geen last meer van de aanval. Nadeel is wel dat tijdens de DoS-aanval de betreffende online dienst onbereikbaar is, dus ook voor het normale verkeer.

De recente cyberaanvallen hebben duidelijk gemaakt hoe gemakkelijk het is voor kwaadwillenden om een DoS-aanval te doen. De slagingskans van een DoS-aanval is bovendien vrij groot. De indruk kan bestaan dat tegen DoS-aanvallen weinig valt te doen. Er zijn echter allerlei maatregelen te nemen die de online dienstverlening en infrastructuur weerbaarder maken tegen dit soort aanvallen, ook al kunnen deze kostbaar zijn. Een incident response-proces en/of een operationele security-afdeling met de juiste mandaten biedt een organisatie de instrumenten om te kunnen reageren. Maak daarnaast goede afspraken met de ict-dienstverlener en internet serviceprovider over repressiemaatregelen tijdens een aanval. Tot slot: doe altijd aangifte van een DoS-aanval op de infrastructuur.

Belangenorganisatie BTG heeft een projectgroep Beveiliging opgericht die binnenkort van start gaat. Je kunt je nog aanmelden (inloggen vereist)..

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.