Checklists voor goede DDoS-beveiliging en risico-analyse

Zoals zo vaak in IT bestaat een goede bescherming uit meerdere lagen. Als je bijvoorbeeld je website wil beschermen tegen een DDoS-aanval, zoek dan een een hostingaanbieder die je website analyseert en adviseert welke lagen voor jou interessant zijn. Zo krijg je een bescherming op maat.

 

Checklist: Hoe kies je een goede hostingprovider voor je DDoS-beveiliging

Hierbij een lijstje van 9 eigenschappen die je best in je achterhoofd houdt bij je keuze:

  1. Heeft de hoster een systeem waarmee DDoS-aanvallen worden herkend? Als zo’n systeem niet aanwezig is, heeft de hoster helemaal geen idee wanneer er een DDoS-aanval plaats vindt en kan hij dus ook helemaal geen verweer bieden.
  2. Kan de hoster (geautomatiseerde) blackholing aanbieden? Tegenwoordig zou deze dienst standaard moeten aangeboden worden op het netwerk van de hoster. Zo ben je zeker dat bij een aanval je systemen tenminste veilig worden gesteld en de aanvaller misschien de zin verliest om je verder aan te vallen.
  3. Heeft de hoster een mitigation-oplossing? Kan je mitigation-as-a-service afnemen bij de hoster? Kies bij voorkeur voor een hoster die je verschillende niveau’s van bescherming kan aanbieden: mitigation tot een bepaalde grootteorde van aanval bijvoorbeeld. Op die manier kan je zelf kiezen om bijvoorbeeld enkele honderden euro’s te besteden om 95% van de tijd beschermd te zijn en in die uitzonderlijke 5% naar blackholing over te gaan. Wil je meer bescherming, weet je dat daar een hoger prijskaartje aanhangt.
  4. Heeft de hoster een DDoS-beveiliging die niet enkel floods op netwerk- en serverniveau kan tegenhouden, maar ook meer gangbare DdoS-aanvallen zoals de HTTP slow en low aanvallen?
  5. Heeft de hoster een inline oplossing? Met andere woorden, is het een oplossing die altijd draait of enkel wordt ingeschakeld bij problemen? Dit laatste zorgt er immers voor dat er altijd eerst een probleem moet vastgesteld worden voor er ingegrepen wordt.
  6. Beschermt de oplossing ook tegen SSL-aanvallen? Aangezien deze steeds meer en meer voorkomen, is het belangrijk om te weten of de aangeboden oplossing hier ook op voorzien is.
  7. Heeft de hoster de mogelijkheid om bij die 1% supergrote aanvallen extra maatregelen te nemen? Er is altijd een punt waarop het netwerk van de hoster verzadigd kan worden. Heeft hij in zulk geval de mogelijkheid om met jouw verkeer uit te wijken naar een externe wasstraat zodat er meerdere mitigations samenwerken om uw verkeer te filteren?
  8. Vraag ook zeker of je verkeer in eigen land wordt gehouden, of binnen de Europese Unie of daarbuiten. Dit kan belangrijk zijn voor je compliance.
  9. Krijg je rapporten? Als je geld gaat spenderen aan een oplossing, wil jeook wel weten of je geld goed besteed is. In het beste geval merk je niks van DdoS-aanvallen en zou je je kunnen afvragen of je wel geld moet blijven besteden aan becherming. Rapporten kunnen meer inzicht verschaffen.

Hoe-goed-is-mijn-DDoS-beveiliging
Er zijn nog enkele andere vragen die eigenlijk buiten de scope van DdoS-beveiliging vallen, maar die toch de moeite lonen om ook te stellen:

  1. Heeft de hoster goede statefull firewalling? In deze dagen van cloud computing is het belangrijk om weten of er enkel een firewall aan de perimeter staat of dat iedere individuele server in de cloud beschermd is tegen aanvallen van buren in de cloud.
  2. Kan je hosten ook een Intrusion Prevention System/Intrusion Detection System (IPS/IDS) aanbieden? Al dan niet in combinatie met een Web Application Firewall (WAF)?
  3. Heeft je hoster een Security Information and Event Management system? Met andere woorden, heeft hij de nodige maatregelen genomen om op gedocumenteerde manier om te gaan met security en bijhorende inbreuken op die security? Een simpele ja volstaat niet als antwoord. Deze manier van omgaan met security is vaak zo cruciaal, dat het beter is dit extern te laten toetsen. Vraag daarom zeker of je hoster een ISO 27001 certificaat heeft.

 

Als u op één van volgende vragen ja antwoordt, dan bent u een interessant slachtoffer voor DDoS-aanvallers:

  • U heeft een webshop of werkt met online transacties
  • U zit in een erg concurrentiële markt
  • U bent een financiële instelling
  • U werkt met patiëntengegevens
  • U bent een politieke partij
  • U bent een bekend merk of u heeft een grote reputatie in de online wereld
  • U draait voldoende omzet om online afpersers aan te trekken
  • U bent al eerder het slachtoffer geweest van cyberafpersing, hacking of DDoS-aanvallen

 

Checklist: Ben je voldoende beschermd?

Indien uit bovenstaande checklist blijkt dat u effectief een potentieel doelwit bent, is het goed na te gaan of u voldoende beschermd bent tegen een DDoS-aanval. Volgende vragenlijstje kan daarbij helpen:

  • Beschikken we over minstens 4 gescheiden 10GE uplinks?
  • Beschikken we over een geavanceerde network monitoring tool die een DDoS-aanval kan onderscheiden en rapporteren?
  • Beschikken we over automatische bescherming van het netwerk voor aanvallen?
  • Beschikken we over een oplossing voor mitigation (van minimaal 5 Gbps met mogelijkheid tot meer)?

Als u vier maal ja heeft geantwoord, mag u (redelijk) gerust zijn. Is dat niet het geval, dan kan u best een gesprek hebben met uw hosting partner of op zoek gaan naar een betere oplossing.

Het is uiteraard geen exacte wetenschap, maar beide lijsten zijn een goede leidraad om uw bescherming tegen DDoS grondig onder de loep te nemen.

Download ons DDoS e-book