Een ddos-aanval wens je niemand toe. Maar is het ook te voorkomen? 6 vragen die je eigenlijk niet meer durfde te stellen.
Ziggo had er onlangs flink langs van. En ook de site van De Volkskrant was een tijdje uit de lucht vanwege een ddos-aanval. Leuk is het niet, en de schade is soms aanzienlijk. Wat is ertegen te doen?
#1. Wat is een ddos-aanval eigenlijk?
Ddos is een afkorting van ‘distributed denial of service’. Een DDoS-aanval is simpelweg een manier om heel veel internetverkeer op één server of groep servers te richten. Het gaat om aanvallen die worden uitgevoerd door zogenoemde botnets. 'Een botnet is eigenlijk een groot netwerk van geïnfecteerde computers die door kwaadwillenden op afstand kunnen worden bestuurd. Zo kan de computer bij jou thuis ook zonder jouw weten onderdeel zijn van een botnet', legt Pieter Lacroix, managing director bij beveiligingsbedrijf Sophos uit.
Botnets zijn dus netwerken van computers of andere met het internet verbonden apparaten die zijn besmet met schadelijke software. Vanuit een centraal 'moederschip' kunnen de apparaten vervolgens worden aangestuurd, bijvoorbeeld om spam te versturen. Kwaadaardige botnets kunnen honderdduizenden of zelfs miljoenen computers groot zijn. De mensen die een ddos-aanval willen uitvoeren op de servers van een bepaald bedrijf, sturen alle pc’s in zo’n botnet naar de website van dat bedrijf. De servers waarop die website draait, kunnen die enorme vraag niet aan en gaan plat. 'Dat is in het kort een ddos-aanval.'
#2. Kun je je ertegen wapenen?
Om maar gelijk met de deur in huis te vallen: er is vrij weinig dat organisaties kunnen uitrichten tegen ddos-aanvallen. Maar dat wil niet zeggen dat je lijdzaam moet toekijken hoe de servers van je website worden platgegooid, zegt Lacroix. 'Natuurlijk zijn er technologische maatregelen zoals intrusion prevention, web application firewalls en intrusion protection anti flooding, maar net als met gewone inbrekers geldt: als ze naar binnen willen, komen ze er echt wel in. De technologische maatregelen zijn solide sloten, maar daar heb je bar weinig aan als er iemand met een bulldozer door je pui rijdt.'
Je hebt weinig aan solide sloten op de deur als er iemand met een bulldozer door je pui rijdt'
Lacroix adviseert bedrijven om een goede risicoanalyse te maken en aan de hand daarvan te bepalen welke investeringen in solide sloten noodzakelijk zijn. 'Als een website slechts een digitale folder van het bedrijf is, kun je je afvragen hoe ernstig het is als die even onbereikbaar is. Maar is de site bedrijfskritisch, omdat je er bijvoorbeeld via een webshop je omzet mee haalt, dan zijn investeringen in maatregelen al meer gerechtvaardigd. Voor echt grote bedrijven met dito budgetten, die miljoenen omzet maken via hun website, is het logisch dat zij alles uit de kast halen om de uptime van de website te garanderen.'
#3. Wat als je website bedrijfskritisch is?
Dan is de meest eenvoudige manier om te zorgen voor uptime: het outsourcen naar een hostingpartij. Daarbij kun je ook ervoor kiezen om de site over meerdere datacenters te verspreiden, zodat je in geval van een aanval kunt uitwijken. 'Maar dat zijn vooral maatregelen om ervoor te zorgen dat je zo weinig mogelijk schade ondervindt van een aanval. Het zijn geen oplossingen om een aanval tegen te gaan, omdat die er feitelijk niet echt zijn', zegt Lacroix. Hij adviseert daarom: zorg dat je een duidelijk stappenplan hebt, zodat je weet wat er moet gebeuren op het moment dat de bedrijfswebsite ten prooi valt aan een ddos-aanval.
Oplossingen tegen een ddos-aanval zijn er feitelijk niet echt'
#4. Wat zet je in een stappenplan?
Lacroix heeft bewondering voor de wijze waarop Ziggo met de recente aanval is omgegaan en ziet daarin een voorbeeld voor andere bedrijven. 'Wat ze heel goed hebben gedaan is dat ze tijdens de aanval niet standaard hebben geroepen: ‘We doen er alles aan om het te voorkomen en zorgen dat het niet meer gebeurt’. Want bij een ddos-aanval kun je die garantie gewoon niet geven. En als je vervolgens nogmaals platgaat, is de imagoschade alleen maar groter. Je moet als bedrijf geen beloftes doen die je niet kunt houden. Daarnaast heeft Ziggo direct een pagina aangemaakt waarop het uitlegt wat een ddos-aanval is en dat een bedrijf daar vrij weinig invloed op heeft. De gemiddelde klant heeft geen idee wat ddos is, dus als je het goed kunt uitleggen, kan dat enorm schelen in imagoschade.'
De gemiddelde klant heeft geen idee wat ddos is, dus als je het goed kunt uitleggen, kan dat enorm schelen in imagoschade.'
#5. Wie doet die aanvallen eigenlijk?
Het aantal ddos-aanvallen stijgt gestaag, merkt Lacroix. Dat is te wijten aan het belang van internet. 'Pas de afgelopen jaren is internet voor veel bedrijven bedrijfskritisch geworden. De risico’s zijn groter, maar het gewin dus ook.' Hij ziet dat ddos-aanvallen niet alleen uit financiëel gewin worden uitgevoerd, maar dat er ook steeds meer sociaal-maatschappelijke aanvallen zijn. 'Een groep als Anonymous laat op zo’n manier heel duidelijk merken aan organisaties wat zij vinden dat correct is en wat niet. Het is een moderne manier van actievoeren.'
Het is een moderne manier van actievoeren.'
#6. Moet je een ddos-aanval altijd melden?
Nee, in principe hoeft een organisatie een ddos-aanval niet te melden onder de nieuwe meldplicht datalekken. Feitelijk staan ddos-aanvallen los van datalekken. Toch sluimert daar een gevaar, denkt Lacroix. 'Hoe weet een organisatie nou zeker dat het alleen een ddos-aanval was en dat er niet ook iemand binnen is geweest? Bij een ddos-aanval gaat alle aandacht daar naar uit. Als hackers kwaad willen, zouden ze dat met zo’n aanval kunnen maskeren. Het is een theoretische mogelijkheid, maar dat betekent dat in de toekomst ook ddos-aanvallen gemeld kunnen moeten worden.'
Meer over cybercrime:
-
Herken jij phishing e-mails? Doe de test!
-
Cybersecurity: eerst een managementvraagstuk
-
De beste digitale dienstverleners