NCSC geeft advies tegen DDoS-aanvallen
Het Nationaal Cyber Security Center (NCSC) van het ministerie van Veiligheid en Justitie heeft een aantal technische en organisatorische adviezen online gezet waarmee organisaties zich tegen DDoS-aanvallen kunnen wapenen. Volgens het NCSC kunnen DDoS-aanvallen de bedrijfsvoering verstoren en voor zowel financiële als imagoschade zorgen.
De overheidsorganisatie benadrukt dat DDoS-aanvallen steeds groter en complexer worden en eenvoudiger en goedkoper zijn uit te voeren. Via twee factsheets, één nieuwe en één bijgewerkte uit 2013, worden adviezen en maatregelen gegeven om de impact van een aanval te verkleinen. Het gaat dan om technische maatregelen, zoals het installeren van updates, het gebruik van statische pagina’s of een webcache, het instellen van serverspecifieke maatregelen, het treffen van hardeningmaatregelen, het beschikken over voldoende capaciteit en het gebruik van een Content Distribution Network (CDN).
Daarnaast kunnen organisaties ook maatregelen nemen om te voorkomen dat hun infrastructuur wordt gebruikt voor het uitvoeren van DDoS-aanvallen op andere organisaties. Zo moet er worden gecontroleerd dat servers, bijvoorbeeld de dns-servers, niet kunnen worden gebruikt in reflectieaanvallen en is het belangrijk dat computers binnen de organisatie geen onderdeel van een botnet uitmaken. Ook wordt aangeraden om uitgaand netwerkverkeer te blokkeren dat zich voordoet als verkeer uit een ander netwerk.
Organisatorische adviezen
Naast het nemen van technische maatregelen geeft het NCSC ook organisatorische adviezen. Zo kan er worden nagegaan welke DDoS-maatregelen er bij elke externe leverancier al zijn genomen en wat daar de afspraken over zijn. Ook is het verstandig om een draaiboek te maken als een DDoS-aanval zich voordoet, waarin wordt beschreven hoe een aanval is te herkennen, wie welke stappen neemt en wie de gegevens verzamelt voor het doen van aangifte. Daarnaast wordt aangeraden een overzicht van de eigen infrastructuur te maken en die te monitoren, alsmede een communicatiestrategie op stellen voor uitingen naar de eigen medewerkers, klanten, overheid en andere partijen.
Het is eerder schokkend dat er met die adviezen al die tijd zo weinig gedaan wordt.
Op zich heb je gelijk. Echter ook: goedkoop is duurkoop. Op Beveiliging en kwaliteit wordt beknibbeld, het is iets voor later. Eerst de markt op of eerst betere financiële cijfers in boekhouding tonen. De schade wordt altijd wel bij de klanten gelegd hoe dan ook. Het nu heel eenzijdig kroten termijn gewin en risico-s negeren. (Je moest eens weten)
Je hoeft ook niet alle adviezen op te volgen. Het belangrijkste is de kosten/baten met een risico afweging maken. Die afwegingen moeten in balans zijn. Leg de gemaakte keuzes raadpleegbaar vast en het proces PDCA voor bewaking en verbetering. Op die manier minimaliseer je de schade voor een ieder.
Op zich heb je gelijk. Echter ook: goedkoop is duurkoop. Op Beveiliging en kwaliteit wordt beknibbeld, het is iets voor later.
Ik denk ook dat het beter is om het probleem bij de wortel aan te pakken:
1. de mensen die denken dat het leuk is om andermans spullen en diensten kapot te maken door middel van flinke
straffen duidelijk maken dat dit niet leuk is
2. de providers dwingen om source adres (BCP 38) filtering in te voeren
Je systemen updaten.. kleine moeite, gewoon automatiseren.
Zorgen dat je routers netjes dicht staan.. kleine moeite..
Management interfaces alleen via intern netwerk beschikbaar stellen..
En hoeveel bedrijven hebben er nou echt inkomende UDP nodig?
Sterker nog, naast ssh, sftp, (s)smtp, http en https heb je ook daar al bijna alles gehad.
SIP, en een VPN wellicht nog (dan wel UDP nodig helaas)
Externe DNS is vaak goedkoop en veiliger dan SOLIDE in-house oplossingen,
en je kan 90%+ van alle aanvalsverkeer bij de provider al laten droppen..
(Ja er zijn zat uitzonderingen maar heel veel bedrijven gebruiken het echt niet)
Geo routing.. kost je ook hooguit een paar uur arbeid en werkt prima als extra preventie slag.
Waar komen je klanten nou echt vandaan.. grote kans dat je 80%+ van de wereld en dus van de aanval vectoren uit kan sluiten terwijl je minder dan 0,1% van je klanten daar mee raakt..
Tuurlijk moet je naar level & aanvallen gaan kijken etc.. maar dat zijn een heel aantal effectieve aanval vectoren die je heel eenvoudig helpen met het verkleinen van je attack surface en die allemaal weinig tijd en weinig geld kosten.
Ik denk ook dat het beter is om het probleem bij de wortel aan te pakken:
1. de mensen die denken dat het leuk is om andermans spullen en diensten kapot te maken door middel van flinke
straffen duidelijk maken dat dit niet leuk is
2. de providers dwingen om source adres (BCP 38) filtering in te voeren
Maar neem nu bv ING in 2013 wisten ze niet eens wat een DDOS was terwijl ze werden aangevallen. Sox dnb basel etc gewoon gefaald. Preventie en kwaliteit wordt onder het mom van kosten gewoon genegeerd. Dat is ook een probleem dat bij de bron aangepakt moet worden. Falend bestuur en falende contrôle instanties zouden aangepakt moeten worden. Nu komen die er mee weg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
