A10: DDoS vergt steeds meer van de IT-professional

A10: DDoS vergt steeds meer van de IT-professional

A10 Thunder TPS ook via de MS Azure appstore leverbaar’

Paul Nicholson, Sr. Director of Product Marketing bij A10 Networks
11-02-2022 | door: Hans Steeman
Deel dit artikel:

A10: DDoS vergt steeds meer van de IT-professional

DDoS (Distributed Denial of Service) is, hoewel mogelijk wat minder prominent in de media, nog steeds een van de belangrijkste dreigingen op het gebied van cybersecurity. A10 Networks uit San Jose (Californië), brengt elk half jaar een rapport uit om inzicht te geven welke dreigingsontwikkelingen er in dit gedeelte van het internetverkeer zich zoal afspelen. Dutch IT-channel sprak met Paul Nicholson, Sr. Director of Product Marketing bij A10 Networks, over de meest recente inzichten.

Distributed Denial of Service is een fenomeen waarbij een internetomgeving zwaar onder vuur wordt gelegd door een extreem grote stroom van informatieverzoeken (requests) en daarmee onbereikbaar wordt voor de reguliere gebruikers. Om DDoS te pareren moet er goed inzicht worden opgebouwd over de technologie die cybercriminelen hier toepassen. Welke aanvallen zijn er, hoe omvangrijk zijn ze, wat wordt erbij ingezet en waar komen ze vandaan? A10 Networks maakt daar een speerpunt van. Zo wordt de omvang van het probleem inzichtelijk alsmede de nieuwste strategieën van de cybercriminelen met de Network layer en/of Application layer. Hier kan de beveiliging op worden aangepast.

Bronnen zijn vooral China en Verenigde Staten

Paul Nicholson: “Uit het meest recente rapport blijkt dat China en de Verenigde Staten (Italië in Europa) de grootste bronnen van potentiële wapens voor DDoS-aanvallen zijn. Uit nadere analyse van de informatie die verkregen wordt via het A10 research platform en speciale honeypots, blijkt dat het UDP-protocol het meest populair is. We hebben ook inzicht gekregen over de inhoud van de vectoren die gebruikt worden. Niet alleen het volume is belangrijk ook de inhoud (zoals executables) en de impact op het systeem dat onder vuur ligt. De verklaring voor het gebruikte protocol is dat UDP connection less is en IP-spoofing daarom redelijk eenvoudig mogelijk is. Hierdoor kan het IP-adres van de bron buiten schot blijven en zijn daders anoniem. Op het (dark)web zijn complete software bundels beschikbaar om een wapenarsenaal op te zetten. De impact hiervan is duidelijk zichtbaar. Noord-Korea heeft volgens het recente onderzoek maar 1 wapen ter beschikking, terwijl er via Zuid-Korea meer dan 1,3 miljoen worden gebruikt. De verklaring hiervoor is dat Noord-Korea kiest voor assisted aanvallen, één wapen schiet via een in stilte opgebouwd botnet buiten Noord-Korea met een veelvoud aan wapens. De Zuid-Koreaanse infrastructuur wordt hier dus simpelweg misbruikt.” Wereldwijd zijn er nu meer dan 15 miljoen wapens beschikbaar, een volume dat jaarlijks met miljoenen groeit.

Mirai was slechts een opmaat

Wie herinnert het zich niet meer? Mirai bracht de IT-wereld een paar jaar geleden in beroering. Mirai (Japans voor "toekomst”) is een malware die Linux-systemen verandert in op afstand bestuurbare bots, die als onderdeel van een botnet kunnen worden gebruikt bij grootschalige netwerkaanvallen. De software richt zich voornamelijk op online consumentenapparaten zoals IP-camera's en thuisrouters. Systemen die moeilijk te updaten zijn en daarmee relatief sensitief voor hacks. Het Mirai-botnet werd voor het eerst gevonden in augustus 2016 en is gebruikt in enkele van de grootste en meest ontwrichtende distributed denial of service (DDoS)-aanvallen, waaronder een aanval op 20 september 2016. Naar nu blijkt was Mirai, die maar 6 tot 7 aanvalsvectoren ondersteunt, de opmaat naar een groter probleem.

Mozi wordt steeds sterker

Het opbouwen van botnet’s wordt een steeds groter topic, dat is steeds duidelijker. Het onderzoek wijst naar een van de meest voorkomende malware hacks in de DDoS-wereld: Mozi. Het onderzoek maakt zichtbaar dat landen met een zeer verdichtte IP-infrastructuur in de kern een grote bron van risico’s zijn. Paul Nicholson: “Dankzij de moderne IoT (Internet of Things) kan elk aangesloten apparaat in een botnet misbruikt worden. Het onderzoek toont een groot scala aan producten waaronder digitale videorecorders, mediaboxen, routers, IP-camera’s die als element van een botnet (Mozi-node) gebruikt kunnen worden. Vele honderdduizenden Mozi-nodes zijn inmiddels op het internet geactiveerd. Mozi maakt gebruik van een Bittorrent-achtige Distributed Hash Table model voor de communicatie tussen de nodes. Door deze gedistribueerde benadering is het niet mogelijk het netwerk uit te schakelen via een centrale node. Men maakt gebruik maakt van een grote reeks Remote Code Executions (RCE's). Het is een wereldwijd probleem met een gigantische complexiteit en zeer grote schaal.”

Paul Nicholson gaat verder: “Mozi werd voor het eerst geïdentificeerd in 2019 en is sindsdien geëvolueerd en in omvang toegenomen. Het kan nu blijven bestaan op netwerkapparaten door te infiltreren in het bestandssysteem van het apparaat, en blijft zelfs functioneel nadat het apparaat opnieuw is opgestart. In de eerste helft van 2021 bereikte Mozi een hoogtepunt van meer dan 360.000 unieke systemen met meer dan 285.000 unieke bron-IP-adressen, waarschijnlijk als gevolg van adresvertalingen.”

De schade van een DDoS aanval

Als bedrijven door een DDoS-aanval getroffen worden brengt dat schade toe. Zo is de website tijdelijk niet bereikbaar waardoor de business (bijvoorbeeld de webportaal van een webwinkel of bank) onbereikbaar wordt. Dat kost omzet maar knaagt ook aan het vertrouwen van de klanten. Paul Nicholson: “DDoS wordt steeds vaker als rookgordijn gebruikt. Zodra een DDoS begint gaan alle alarmbellen rinkelen en gaat de IT -afdeling proberen de aanval te stoppen. Cyber criminelen gebruiken dat moment om via een achterdeur echt toe slaan. Het kan beginnen met DDoS en eindigen met ransomware.” Bedrijven moeten een goed communicatieplan voor de medewerkers hebben om dit te voorkomen.

DDoS aanvallen steeds krachtiger & complexer

Uit het A10 onderzoek blijkt dat DDoS aanvallen steeds krachtiger worden. Door het opbouwen van steeds grotere botnets kunnen de pijlen vanaf meer locaties op een target afgeschoten worden. Blijven we in Nederland wat dat betreft redelijk gespaard (volgens de DDoS wasstraat NAWAS had Nederland in het vierde kwartaal van 2020 te maken met 23 aanvallen van 20-40 Gbps een verveelvoudiging ten opzichte van drie aanvallen een jaar eerder. De omvang is vergeleken met de grote aanvallen die A10 Networks gevonden heeft beperkter, er zijn al aanvallen waargenomen (onder andere op Microsoft Azure) met een capaciteit van 2,5 Tbps. Het aanvalsverkeer was afkomstig van ongeveer 70.000 bronnen en uit meerdere landen in de regio Azië, zoals Maleisië, Vietnam, Taiwan, Japan en China, maar ook uit de Verenigde Staten. De aanvalsvector was een UDP-reflectie van meer dan 10 minuten met zeer kortstondige uitbarstingen, die telkens in enkele seconden opliepen tot terabitvolumes. In totaal volgden we drie pieken, de eerste met 2,4 Tbps, de tweede met 0,55 Tbps, en de derde met 1,7 Tbps.

DDoS bestrijding; niet de data, maar gedrag van data steeds bepalender

Bedrijven die zich niet adequaat beveiligen blijven een target voor de criminelen. Het verslecht hun imago en stoot klanten af. De impact van deze aanvallen is beheersbaar geworden met het A10 Thunder Threat Protection System (TPS®). Deze oplossing, ook verkrijgbaar via de Azure appstore, levert Azure-gebruikers de gewenste bescherming tegen de impact van DDoS-aanvallen op. Thunder TPS gaat uit van een 5 step strategie, beginnend met het constant vergelijken van het dataverkeer met bekende aanvalspatronen en bekende bron-IP adressen. Daarna wordt een analyse gedaan op basis van gedragspatronen van het verkeer. Hierdoor is het mogelijk ook onbekende (zero-day) aanvallen in een vroeg stadium te herkennen.

De aanvallen worden dus uiteengerafeld en onderzocht zodat veranderende datastromen opgemerkt en gemanaged worden. Speciale hulpmiddelen moeten die veranderingen in verkeerspatronen opmerken.

Omdat de vectoren niet langer vaste patronen zijn, is een aanpak op basis van patroonherkenning niet meer mogelijk. Niet de data, maar het gedrag van de data wordt dan bepalend voor de risicoanalyse.

In het geval dat een aanval niet door de geautomatiseerde processen wordt geblokkeerd bestaat altijd de mogelijkheid terug te vallen op directe hulp van het DDos Security Incident Response Team (DSIRT). Dit team van experts is wereldwijd 24/7 direct beschikbaar voor hulp.

Paul Nicholson, Senior Director of Product Marketing, A10 Networks

Paul Nicholson heeft 25 jaar ervaring met internet- en beveiligingsbedrijven in de VS en het VK. In zijn huidige functie is Nicholson verantwoordelijk voor wereldwijde productmarketing, technische marketing en relaties met analisten bij de in San Jose (Californië) gevestigde leider op het gebied van beveiliging, cloud- en applicatieservices A10 Networks. Voor A10 Networks bekleedde Nicholson diverse technische en managementfuncties bij Intel, Pandesic (het internetbedrijf van Intel en SAP), Secure Computing en diverse start-ups op het gebied van beveiliging.

Auteur: Hans Steeman

 

 

Terug naar nieuws overzicht

Tags

Security
Security