Octavia de Weerdt (NBIP): ‘We staan nergens meer van te kijken’

  1. 13 jul 2018
  2. 0 reacties

Disruptieve DDoS-aanvallen mogen inmiddels geen uitzondering meer heten. Eind mei waren ABN Amro en de Rabobank wederom het slachtoffer. En het einde is nog lang niet in zicht, zo blijkt uit het onlangs verschenen DDoS Data Rapport 2017 van de Stichting Nationale Beheersorganisatie Internetproviders (NBIP). Sterker nog, DDoS-aanvallen worden alleen maar slimmer en complexer. We spraken met Octavia de Weerdt, algemeen directeur van NBIP, over de onderzoeksresultaten, over trends en de toekomst van de Nationale Wasstraat (NaWas) tegen DDoS-aanvallen.

“Het is weer raak”, begint Octavia de Weerdt. Op de beursvloer van DHPA TechFest, het decor van het interview, gaat zojuist het nieuwtje rond dat ABN Amro en de Rabobank wederom het doelwit waren van een DDoS-aanval. Een stop op betaalverkeer heeft natuurlijk ontwrichtende consequenties voor de samenleving. Maar het grootste gevaar schuilt misschien wel in het denkbeeld dat burgers en bedrijven hebben bij DDoS-aanvallen, stelt De Weerdt.

“Dit soort berichten kunnen als gevolg hebben dat burgers gaan denken dat een DDoS-aanval iets is wat je nou eenmaal overkomt, waar niet veel aan te doen is. Ook denk ik dat bij het MKB of grotere bedrijven, die hun infrastructuur hebben uitbesteed, het idee leeft dat ze wel veilig zijn: ‘Wij hebben toch al wat geregeld’ of ‘Onze provider doet hier vast wat tegen’. Dat is dus schijnveiligheid.”

Gerichte DDoS-aanvallen

Regelmatig hebben grote bedrijven en instellingen te kampen met DDoS-aanvallen, en toch lijkt het alsof ze zich niet wapenen. Natuurlijk doen ze dat wel enigszins. Banken bijvoorbeeld stellen inmiddels dat ze juist veel aanvallen weten af te slaan. Ondanks dat zijn niet alle aanvallen voorkomen. Het rapport van NBIP verklaart misschien wel waarom dat gebeurt.

octavia-de-weerdt “Eén van de conclusies is dat DDoS-aanvallen kleiner worden qua aantal Gbps, en vele malen korter duren vergeleken met het jaar daarvoor. Daaruit concluderen wij dat er in 2017 veel gerichter is aangevallen.” Een logische ontwikkeling, stelt De Weerdt: “Een aanval net boven de capaciteit van de provider is namelijk moeilijker te detecteren dan een grote aanval. Een slimme aanval: gericht met groot effect.”

Die ontwikkeling van korte aanvallen heeft ook te maken met een gunstig verdienmodel dat dit soort aanvallen in stand houdt. Als je aanvallen kan inkopen, moet het het waard zijn om het te blijven doen. Dus des te eerder je met een aanval doelgericht kan zijn, des te meer je er als malafide verkoper aan verdient, zo legt De Weerdt uit.

Ook ziet de NBIP dat de opkomst van kortere aanvallen heeft te maken met afpersing of het aftasten van zwaktes. “Na een korte aanval worden er wel eens afpersmails gestuurd, met de boodschap: ‘betalen anders voeren we meer DDoS-aanvallen uit’. En bij deelnemers van onze NaWas of een ander ‘scrubbing center’ zie je wel eens korte aanvallen om te kijken of alles goed beveiligd is. Ze kloppen als het ware op de deur, maar zijn daarna ook weer gauw weg.”

Trends voorspellen

Het rapport, met data van deelnemers aan de NaWas, laat daarnaast andere trends zien. De zogenoemde multivector-aanval - een combinatie van een zwaardere DDoS-aanval en een kleinere, subtielere vorm - wordt steeds vaker gebruikt. In 2017 betrof het ruim 23 procent van de aanvallen, terwijl dat jaar ervoor nauwelijks zulke aanvallen waren waargenomen. “Eind 2016 waren multivector-aanvallen uitschieters. Maar vorig jaar heeft aangetoond dat multivector gemeengoed wordt. Het gaat voorlopig ook niet weg.”

Het is slechts één voorbeeld van een trend die de NBIP aan heeft zien komen. Ook memcached-aanvallen, die in 2017 voor het eerst werden gespot, zijn nu al een nieuwe vorm van DDoS-aanvallen die in gebruik zijn. “We staan nergens meer van te kijken. Omdat we nieuwe aanvalstypen al vroegtijdig analyseren en categoriseren, kunnen we ze beter herkennen en daarop reageren.”

Sinds de NaWas in 2014 operationeel live is gegaan, heeft de NBIP het aantal DDoS-aanvallen zien stijgen van één per twee dagen naar ruim twee aanvallen per dag. De NaWas wist elke DDoS-aanval op haar deelnemers te mitigeren.

“We hebben meer dan 2.150 aanvallen opgevangen en ‘schoon’ verkeer teruggestuurd naar de servers van onze deelnemers. Daar zijn we hartstikke trots op”, zegt De Weerdt.

NaWas vijf jaar

Een feestje is ook wel op zijn plaats - want in slechts vijf jaar tijd (het idee ontstond in 2013) is de NaWas een begrip in het Nederlandse internetlandschap. Wat is het grote geheim?

Volgens De Weerdt komt dat onder andere doordat de organisatie continu haar kennis bijhoudt. “Zo zijn we in staat geweest bij te blijven. We vragen ons ook steeds af: zijn we nog actueel? Alleen dan zet je iets op wat na vijf jaar niet redundant is.”

Dat die kennis is bijgehouden, komt ook door het coöperatieve model van de NaWas. Alle deelnemers dragen bij, zowel financieel voor de apparatuur om DDoS-verkeer te ‘wassen’, als qua kennis. “Hoe meer deelnemers, hoe beter DDoS-aanvallen te mitigeren zijn”, legt De Weerdt uit. “De gedachte is altijd geweest dat iedereen zich kan aansluiten, want daar heb je allemaal profijt van. Als je malafide verkeer dan op de juiste knooppunten mitigeert, dan heb je veel veiliger internetverkeer.”

Europese uitbreiding

Uitbreiding ligt dan ook in het verschiet. Op dit moment heeft de NBIP plannen klaar voor een tweede nationale wasstraat, maar ook wordt flink ingezet op een Europees initiatief, zo zegt De Weerdt. Waarom is daarvoor gekozen?

“Dat idee is begonnen als de verlenging van onze visie, een ‘veiligere digitale infrastructuur’. Een betere wereld begint natuurlijk bij jezelf, dus begonnen we bij onszelf. Maar in het verlengde daarvan ligt natuurlijk dat je op den duur die kennis niet bij jezelf moet gaan houden. We willen het beste jongetje van de Europese klas zijn. We hebben nu al enkele Europese deelnemers die zich bij ons hebben aangemeld. Elke ‘independent’ uit Europa kan zich aansluiten.” Daar komt nog eens bij dat er meer kennis beschikbaar komt in het hele netwerk, wat DDoS-mitigatie weer ten goede moet komen.

De Weerdt kijkt graag vooruit. Zo wordt er ook gedacht aan een scrubbing center op relevante posities in Europa. “Of die nou in Frankfurt staat of in Londen, maakt niet zoveel uit. Je zou 80 procent van de wasstraat eerstelijns lokaal kunnen opvangen, en de rest bij ons in Amsterdam. Op dit moment zijn we daarvoor met potentiële partners in gesprek.”

Maar, zo stelt ze ook, de vraag vanuit geïnteresseerden naar een volledige regionale mitigatie blijft relevant, hoe gek dat ook klinkt als je denkt in termen van een globaal internet. “De geografische gedachte blijft belangrijk, dat moet je niet onderschatten.”

Preventie versus mitigatie

Omdat de NBIP met de NaWas altijd heeft gekeken hoe het relevant kan blijven, evolueert de stichting continu. De toekomst laat zich daarom lastig beschrijven als het gaat om de dienstverlening. De Weerdt denkt daarom in doelen, niet in middelen. “We kijken hoe wij een schakel in de grotere keten van anti-DDoS-maatregelen kunnen zijn. Dus niet alleen inzetten op mitigeren. Je kan bijvoorbeeld aan de voorkant van een DDoS-aanval ingrijpen, in een botnet, of in de keten. Er zal helaas altijd een mitigatiedienst nodig zijn. Maar aan de preventieve kant zullen we in de toekomst ook wat kunnen betekenen, niet alleen aan de reactieve kant.”

Het DDoS data rapport 2017: De opkomst van slimme DDoS-aanvallen is te downloaden op de website van Stichting NBIP: www.nbip.nl

Lorenz van Gool