Het is een veel voorkomende vraag in de Coaching calls: “Wat te doen tegen een DDOS?”
Of nog nog dramatischer “Als hackers het met een DDOS op jouw voorzien hebben dan helpt niets!”
Distributed Denial of Service (DDoS)-aanvallen zijn kwaadaardige pogingen om een (online) service onbeschikbaar te maken voor gebruikers, meestal door de services van de hostingserver tijdelijk te onderbreken of op te schorten. Gegevens die zijn onthuld in het Imperva DDoS Landscape-rapport 2021, suggereren sterk dat aanvallen voortdurend evolueren in omvang, volume, frequentie en complexiteit. Uit het rapport blijkt dat de duur van de aanval weliswaar is afgenomen in vergelijking met voorgaande jaren, maar dat het aantal DDoS-aanvallen per maand in 2021 vier keer zo groot is, het aantal aanvallen twee keer zo groot is en het aantal pakketten drie keer groter is dan de cijfers die in 2020 werden gerapporteerd. .
Ik zelf heb ook regelmatig te maken gehad met een DDOS aanvallen op klanten, ook in de jaren dat ik in SOC centers werkzaam was. En het is allesbehalve leuk, omdat je nooit weet hoelang het duurt en hoe heftig het kan zijn. In dit blogartikel daarom een overzicht van 5 spraakmakende DDoS-aanvallen. In alle gevallen is de omvang van de aanvallen enorm, maar vaak is de omvang slechts een deel van het verhaal. Welke lessen nemen we mee van deze incidenten , in de hoop om eventuele DDoS-aanvallen op uw organisatie te voorkomen en te verminderen.
Maart 2013 – Spamhaus
In 2013 maakten aanvallers gebruik van de kracht van relatief weinig computers om maar liefst 300 gigabit per seconde aan verkeer te genereren om zich te richten op Spamhaus, een spampreventieservice. Ze slaagden erin de internetservice voor miljoenen gebruikers in Europa te verstoren in een leerboek DDoS-aanval. De aanval, die ongeveer twee weken duurde, was terug te voeren op een medewerker van een Nederlands bedrijf dat door Spamhaus op de zwarte lijst stond wegens spamming.
Waarom is dit eng?
Volgens het Imperva Global DDoS Threat Landscape Report 2021 kunnen DDoS-aanvallen die netwerkbronnen en websites kunnen verlammen, online worden gehuurd voor slechts $ 5 per uur. De aanvaller van Spamhaus maakte gebruik van de kracht van relatief weinig computers om de resultaten te creëren waarnaar ze op zoek waren. Gecombineerd met de realiteit dat de wereld vol wraakzuchtige actoren is, kun je zien hoe aannemelijk het is dat een tegenstander een goedkope en effectieve DDoS-aanval uitvoert die onmiddellijk je merkreputatie kan schaden en grote logistieke problemen kan veroorzaken.
- September 2012 – Zes Amerikaanse banken
Op 12 maart 2012 werden zes toonaangevende Amerikaanse bankinstellingen getroffen door DDoS-aanvallen, het grootste aantal instellingen dat tot dan toe op één dag het doelwit was. De gevolgen van de aanval waren grote verstoringen van de banksystemen van klanten, variërend van intermitterende storingen van 30 minuten tot 100% online storingen die enkele uren aanhielden. De slechte bot die verantwoordelijk was voor de aanval, bekend als Brobot, genereerde meer dan 60 gigabit verkeer per seconde. Aanvallers overweldigden doelen met een scala aan DDoS-aanvalsmethoden in een poging een te identificeren die werkte.
Waarom is dit eng?
Ten eerste: als de best gefinancierde industriesector ter wereld met een van de meest gerichte beveiligingsstrategieën kan worden uitgeschakeld door DDoS-aanvallen, kan elke organisatie in elke sector dat. Dit incident onderstreept hoe belangrijk het is om klaar te staan om alle soorten aanvallen af te wenden, niet alleen de meest waarschijnlijke.
Ten tweede zouden de aanvallen zijn uitgevoerd door de militaire vleugel van de Palestijnse Hamas-organisatie. Ze zijn niet de enige goed gefinancierde terroristische organisatie die er belang bij heeft de inkomstengenererende capaciteit van financiële instellingen te schaden en hun merkreputatie en publieke imago te devalueren.
- Februari 2018 – GitHub
In 2018 hebben ISP en het cloud-native softwareontwikkelingsplatform GitHub de grootste bekende DDoS-aanval in de geschiedenis doorstaan. Aanvallers hebben een krachtig gedistribueerd geheugensysteem gekaapt dat “memcaching” wordt genoemd – dat normaal gesproken wordt gebruikt om websites en netwerken te versnellen – om de verkeersvolumes die naar GitHub werden gestuurd enorm te vergroten. Ze begonnen met het vervalsen van het IP-adres van GitHub en namen vervolgens de controle over memcached-instanties die volgens GitHub “per ongeluk toegankelijk waren op het openbare internet”. De aanval genereerde 1,35 terabit per seconde (Tbps) en duurde acht minuten. GitHub meldde dat hij vijf minuten volledig offline was en vier minuten lang onderbroken connectiviteit had.
Waarom is dit eng?
Zelfs in een veilig cloud-native platform met een goede reputatie dat goed is voorbereid op incidenten, kunnen instanties publiekelijk toegankelijk worden gelaten waardoor kwaadwillenden massale DDoS-aanvallen kunnen faciliteren. Het toont ook de verstorende waarde aan van het opnemen van memcaching in het aanvalsscenario, omdat het hielp om het volume van het verkeer dat naar GitHub werd gestuurd te verhogen tot 50.000 keer de normale snelheid.
- 2017 – Google
In oktober 2020 meldde de Threat Analysis Group (TAG) van Google dat in 2017 verschillende Chinese ISP’s verschillende DDoS-aanvalsmethoden gebruikten om een UDP-versterkingsaanval uit te voeren op duizenden IP’s van Google. De aanval piekte op een enge 2,5 Tbps en duurde zes maanden. Hoewel het drie jaar duurde om de informatie openbaar te maken, beweert de TAG van Google dat het de grootste DDoS-aanval in de geschiedenis is tot op dat moment. Een Google-technicus merkte op: “De aanvallers gebruikten verschillende netwerken om 167 miljoen pakketten per seconde (Mpps) te vervalsen naar een combinatie van 180.000 blootgestelde CLDAP-, DNS- en SMTP-servers, die ons vervolgens grote reacties zouden sturen.”
Waarom is dit eng?
Er is een sterk vermoeden dat de Google-aanval waarschijnlijk het werk was van door de staat gesponsorde hackers. Dit soort aanvallers zijn meestal goed gefinancierd en geduldig. Ze kunnen niet alleen gemakkelijk informatie verzamelen over al uw netwerkbereiken en netwerkdiensten zoals andere cybercriminelen dat doen, maar ze zullen ook eerder een insider misbruiken om aanvallen te vergemakkelijken. Google had als technologiegigant de capaciteit om de aanval op korte (en lange) termijn te verspreiden. Kleinere organisaties kunnen dat niet.
1. February 2020 – AWS – AMAZON
In 2020 werd Amazon Web Services (AWS) geconfronteerd met een volumetrische netwerkaanval gericht op een niet-geïdentificeerde AWS-klant met behulp van een methode die bekend staat als Connectionless Lightweight Directory Access Protocol (CLDAP) reflectie. De aanvallers scanden en identificeerden een groot aantal kwetsbare CLDAP-servers van derden en verhoogden de hoeveelheid gegevens die naar het IP-adres van het slachtoffer werden gestuurd met 56 tot 70 keer. De aanval duurde drie dagen en genereerde een piekverkeersvolume van 2,3 Tbps, de grootste aanval in de geschiedenis tot op dat moment.
Waarom is dit eng?
Uiteindelijk was de verstoring die aan deze aanval werd toegeschreven minimaal. De grootste zorg is het enorme volume van de aanval en de verfijning ervan. AWS Amazon is een van de giganten van alles wat met computeren te maken heeft, dus net als Google in 2017 waren ze in staat om te reageren op een manier die de dreiging verzachtte en de aanval verijdelde. Het hebben van een robuuste strategie voor het beperken van DDoS-aanvallen, zoals de grote spelers, helpt uw inkomsten te beschermen en uw merkreputatie te behouden.
Moet het ergste nog komen?
Naarmate de wereld van cyberhacking en online afpersing blijft groeien, zullen ook de schaal en omvang van aanvallen toenemen. Het is essentieel dat we erkennen dat slechte acteurs zoals deze er zijn, op dit soort schaal, en dat ze een onaangenaam bijproduct zijn van het informatietijdperk. . Het zorgt voor ontnuchterende maand-op-maand overzicht, omdat het een eenvoudige verzamelde statistiek biedt om het cyberdreigingsniveau consistent in de tijd te volgen, evenals waargenomen trends. Op het moment van schrijven zien we dat het aantal aanvallen met meer dan 6% per maand (!)toeneemt, zonder onmiddellijk teken van enige uitstel.
Kun je je beveiligen tegen DDOS aanvallen? En wat kost dat? Toegegeven het zijn vaak gestelde vragen in coaching calls. Hoe hoog het risico is en wat de kosten zijn is onderdeel van een bredere analyse. Laten we eens afspreken om te zien hoe begeleiding jou kan helpen in betere Cybersecurity beslissing. Mentoren met +20 jaar ervaring staat voor je klaar!