21 oktober 2015 -
‘Hoe winnen we de cyberoorlog?’, was een veel gestelde vraag nadat kabelmaatschappij Ziggo twee langdurige DDoS-aanvallen te verduren had gekregen. Door deze aanvallen konden twee miljoen klanten twee dagen achter elkaar niet internetten.
Vooralsnog kunnen we echter beter de vraag stellen: ‘Waarom verliezen we de cyberoorlog?’
Alle cijfers tonen aan dat we aan de verliezende hand zijn. Zo becijferde Akamai in zijn State of the Internet Security-rapport uit het tweede kwartaal van 2015 dat het aantal DDoS-aanvallen in een tijdsbestek van negen maanden is verdubbeld. Op ongeveer hetzelfde moment concludeerde de Volkskrant dat het aantal meldingen van digitale aanvallen op websites en systemen van de Nederlandse overheid de afgelopen twee jaar is verdubbeld. De Volkskrant baseerde deze bevinding op cijfers van het Nationaal Cyber Security Centrum.
DDoS-verdediging voldoet niet
Hoe komt het dat we steeds zwaarder onder vuur komen te liggen? "Een deel van het antwoord heeft volgens te maken met onze verdediging," zegt Henk van der Heijden, Managing Director (a.i.) bij Comsec Consultancy Nederland & Partner bij TecHarbor. "Die is met name gericht op het pareren van grootschalige DDoS-aanvallen waarbij aanvallers lukraak hun wapens leegschieten op hun slachtoffers, of dat nu overheden, banken of kabelmaatschappijen zijn."
DDoS-aanvallers maken echter steeds vaker gebruik van verfijnde aanvalstechnieken die specifiek zijn ontworpen om een bepaald slachtoffer aan te vallen en daarbij heel gericht misbruik maken van bepaalde kwetsbaarheden in de verdediging. Aanvallers die van dergelijke technieken gebruikmaken, zullen er ook alles aan doen om de maatregelen te omzeilen die een organisatie heeft ingezet om DDoS-aanvallen te pareren.
Militaire precisie vereist
"Om dergelijke geavanceerde DDoS-aanvallen te kunnen afslaan, is het nodig om de eigen weerbaarheid continu te toetsen," geeft Van der Heijden aan. "Maar dan niet door de eigen verdediging lukraak onder vuur te nemen. Als we de cyberoorlog willen winnen, dan moeten we de intelligente DDoS-aanvallen zo goed als mogelijk simuleren." En dat volgens een plan met militaire precisie.
Stap 1: verkenning
"In mijn ogen begint een DDoS-simulatie met een ‘verkenning’. Het gaat hierbij om een vooronderzoek voor het krijgen van een zo goed mogelijk beeld van de infrastructuur die wordt aangevallen, van de zwakke plekken en de actuele dreigingen," aldus Van der Heijden.
Stap 2: de aanval
Op basis van deze informatie kan een gerichte aanval worden samengesteld. Deze ‘aanval op maat’ wordt door een ‘attack-team’ uitgevoerd. "Uiteraard wel volledig gecontroleerd en met de mogelijkheid een aanval op ieder moment te staken; het is immers niet de bedoeling dat een simulatie ook daadwerkelijk schade aanricht. De kennis dat een aanval wel of niet wordt afgeslagen, is voldoende."
Stap 3: monitor de reactie
In dit scenario brengt een ander team in kaart hoe een organisatie reageert op een aanval. "Zeker als de aanval onverwacht wordt uitgevoerd, komen er interessante dingen aan het licht."
Zo blijkt in de praktijk dat organisaties en instellingen in het geval van een incident processen vaak niet opvolgen. Denk bijvoorbeeld aan het feit dat degene die moet worden gealarmeerd simpelweg zijn telefoon niet opneemt. Alle investeringen die zij hebben gedaan in security blijken dan weggegooid geld te zijn.
Stap 4: hertest
Uiteraard is het belangrijk om na de simulatie de geconstateerde zwakheden aan te pakken en de simulatie nogmaals uit te voeren. Bij zo’n ‘hertest’ blijkt dan vaak dat een organisatie flinke stappen heeft gezet in haar volwassenheid, en misschien een beetje aan de winnende hand is.
"Het stappenplan garandeert nog niet dat we de cyberoorlog ook echt gaan winnen," aldus Van der Heijden. "Maar het garandeert wel dat organisaties goed zijn voorbereid op de geavanceerde DDoS-aanvallers. En cybercriminelen met een precisiebombardement onder vuur kunnen nemen."
